Intrusion dans la base de données de l’Agence mondiale antidopage
Rapport de conclusions d’enquête en vertu de la LPRPDE no 2018-006
Le 7 février 2018
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)
- Le 13 septembre 2016, le Commissariat a été mis au courant d’une intrusion dans l’Anti-Doping Administration and Management System (ADAMS) [Système d’administration et de gestion antidopage] de l’Agence mondiale antidopage (AMA) à la suite de la divulgation publique de renseignements personnels sur des athlètes, y compris des renseignements personnels sur leur santé. Plus précisément, un groupe appelé « Fancy Bear » a divulgué, sur son site Web et ailleurs, les noms de certains athlètes qui ont participé aux Jeux olympiques de 2016 à Rio ainsi que leurs renseignements personnels qui ont été extraits d’ADAMS.
- Convaincu qu’il existait des motifs raisonnables d’enquêter sur cette affaire, le 9 décembre 2016, le Commissaire à la protection de la vie privée a pris l’initiative d’une plainte, en vertu du paragraphe 11(2) de la Loi. Plus précisément, l’enquête a principalement porté sur la question de savoir si l’AMA disposait de mesures de sécurité appropriées pour protéger les renseignements personnels qu’elle avait sous sa garde et son contrôle, conformément aux principes 4.7, 4.7.1, 4.7.2, et 4.7.3.
Résumé de l’enquête
Compétence
- La partie 1 de la LPRPDE s’applique à l’AMA en vertu du paragraphe 4(1.1) et de l’annexe 4 de la Loi, qui, ensemble, ont pour effet de rendre la collecte, l’utilisation et la divulgation de renseignements personnels par l’AMA dans le cadre de ses activités interprovinciales et internationales assujetties aux exigences de la Loi. Dans ce cas, les renseignements personnels en cause sont ceux qui sont contenus dans la base de données ADAMS de l’AMA et qui ont trait à des athlètes de partout dans le monde et que l’AMA a recueillis dans le cadre de ses activités antidopage.
- Pour parvenir aux conclusions formulées dans le rapport, le Commissariat a pris en compte les renseignements suivants :
- Les renseignements que le Commissariat a obtenus de sources publiques et qu’il a analysés concernant l’intrusion;
- Les documents fournis et les observations formulées par l’AMA;
- Les renseignements obtenus pendant une visite du bureau principal de l’AMA, lesquels comprenaient des entrevues avec le personnel des services juridiques, administratifs et techniques de l’AMA;
- Une démonstration du fonctionnement d’ADAMS et un examen technique de celui-ci;
- Les renseignements obtenus à partir des entrevues avec des membres du Comité international olympique (CIO).
Historique
- Créée en 1999, l’AMA est une agence internationale indépendante composée d’organismes de sport et de gouvernements du monde entier, et financée par ceux-ci. Les principales activités de l’AMA comprennent la recherche scientifique, l’éducation, le renforcement des capacités de lutte contre le dopage et la surveillance du Code mondial antidopage (le Code)Note de bas de page 1.
- Le bureau principal de l’AMA se trouve à Montréal (Québec), et celle-ci gère la base de données ADAMS à partir de cet endroit.
ADAMS
- En termes généraux, ADAMS est un bureau central pour les renseignements antidopage qui est géré par l’AMA dans le cadre de son rôle de supervision du régime antidopage.
- Selon l’AMA, ADAMS a été créé afin de coordonner les activités antidopage et de fournir un mécanisme servant à aider les parties concernées dans la mise en œuvre du Code. Environ 130 fédérations internationales, plus de 220 organisations nationales antidopage, 35 laboratoires et 20 000 athlètes entrent et partagent des données dans ADAMS grâce à ses fonctions Web. Bien que facultatif à un certain moment, les intervenants soumis à des obligations en vertu du Code doivent maintenant soumettre certains renseignementsNote de bas de page 2 au moyen d’ADAMS.
- ADAMS contient un grand nombre de renseignements personnels concernant les athlètes en raison de ses quatre principales fonctions, à savoir :
- La plateforme de localisation des athlètes – certains athlètesNote de bas de page 3 entrent des données sur leur localisation et les intervenants se servent de ces renseignements pour faire des contrôles inopinés, hors compétition.
- Un centre d’information – entreposage de résultats de laboratoire, autorisations d’usage à des fins thérapeutiques (« AUT ») et violations des règles antidopage.
- Plateforme de contrôle antidopage – les organisations antidopage et d’autres intervenants se servent d’ADAMS pour planifier, coordonner, ordonner la tenue de tests et gérer les résultats des tests.
- La gestion des AUT – permet la gestion des demandes d’AUT.
- Les AUT sont des exemptions qui permettent à des athlètes de consommer des substances qui sont autrement interdites afin de traiter un problème de santé. L’octroi d’AUT est régi par le Code et fait partie intégrante du régime antidopage.
- ADAMS est accessible grâce à un portail Web et à une application mobile. Au moment de l’intrusion, les utilisateurs ne devaient que fournir un nom d’utilisateur et un mot de passe afin d’accéder au système par l’entremise du Web.
Les comptes, les contrôles et les autorisations d’ADAMS
- L’AMA supervise la base de données ADAMS et est chargée de réglementer l’accès à celle-ci et de veiller à ce que les renseignements qu’il contient soient protégés. Sauf en ce qui concerne ses propres employés, l’AMA n’accorde pas directement aux utilisateurs, comme les athlètes, l’accès à ADAMS. L’AMA crée plutôt des comptes pour les organisations antidopage, qui à leur tour, peuvent créer des comptes ADAMS pour les utilisateurs athlètes et non athlètes au sein de sa propre organisation.
- Lorsqu’elle crée un compte administrateur pour une organisation antidopage, l’AMA attribue aux organisations antidopage l’autorisation d’accéder à divers modules au sein d’ADAMS. L’octroi d’autorisations doit reposer sur le principe du besoin de connaître et est lié au rôle de l’organisation au sein du système antidopage.
- Les organisations antidopage se servent du compte d’administrateur pour créer des comptes d’utilisateur, créer et attribuer des justificatifs de connexion pour chaque utilisateur et attribue les autorisations d’accès nécessaires pour chaque compte d’utilisateur. Les comptes d’administrateur ne peuvent pas accéder aux données sur les athlètes dans ADAMS en soi, mais ils peuvent créer des comptes d’utilisateur qui ont le droit d’accéder à des données appartenant à des athlètes relevant de la compétence des organisations antidopage.
- Les organisations antidopage qui ont des comptes d’administrateur doivent conclure une entente avec l’AMA concernant l’utilisation et l’échange de renseignements dans ADAMS. Dans le cadre de son enquête, le Commissariat a examiné l’entente que l’AMA avait avec le CIO à l’époque de l’intrusion. Entre autres, l’entente précise les circonstances pour lesquelles le CIO peut créer des comptes d’utilisateur, et impose à chaque partie l’obligation de protéger les renseignements personnels contenus dans ADAMS.
- L’AMA a également mis en place le Standard international pour la protection des renseignements personnels (le « Standard »)Note de bas de page 4, que toutes les organisations antidopage doivent respecter. Le point 9.2 du Standard dispose que les organisations antidopage appliqueront « toutes les garanties de sécurité nécessaires […] pour prévenir la perte ou le vol, ou la consultation, la destruction, l’utilisation, la modification ou la divulgation (y compris les divulgations par voie électronique) non autorisées de renseignements personnels » que les organisations antidopage traitent dans le cadre de leurs activités antidopage.
- À titre de gestionnaire de la base de données ADAMS, l’AMA gère les mécanismes de sécurité liés à la base de données. L’AMA mentionne sur son site Web que le système d’accès multiniveau d’ADAMS protège la sécurité et la confidentialité des données et que son degré de sécurité est le même que celui des systèmes qui sont habituellement utilisés par les institutions financièresNote de bas de page 5.
Les comptes ADAMS du CIO visés par l’intrusion
- Comme il sera indiqué en détail plus loin, l’intrusion impliquait deux comptes ADAMS liés au CIO. L’un était un compte d’administrateur (le « compte d’administrateur ADAMS du CIO ») qui a été créé en 2009 par l’AMA pour le CIO et qui a permis au CIO de créer des sous-comptes avec droits d’accès aux données d’ADAMS. En règle générale, le CIO a été autorisé, par l’entremise de ce compte, à créer des sous-comptes avec droits d’accès à certaines données pour tous les athlètes qui participent à des Jeux olympiques. L’accès du CIO à ces données dans ADAMS a généralement été limité à la période au cours de laquelle les Jeux olympiques ont eu lieu, bien que le CIO eût également accès, à des fins de reprises de tests, pendant une période maximale de huit ans, conformément au Code, aux résultats des tests subis par les athlètes ayant participé à des Jeux olympiques antérieurs. Ce compte a été géré par un employé du CIO qui était le seul à avoir accès au compte.
- Le deuxième compte ADAMS visé par l’intrusion a été créé par le CIO en juin 2016, dans la période qui a précédé les Jeux olympiques de Rio, pour un employé de l’AMA qui avait le statut d’observateur indépendantNote de bas de page 6 aux Jeux et qui devait donc accéder aux renseignements nécessaires pour surveiller les tests de dépistage de drogue effectués sur les athlètes participant aux Jeux (le « compte d’observateur indépendant »). Dans le cadre du processus de création du compte, le CIO a envoyé par courriel à l’employé de l’AMA le nom d’utilisateur et le mot de passe du compte. L’AMA a confirmé que l’employé de l’AMA ne s’est pas beaucoup servi du compte durant la période des Jeux, car il avait déjà un compte distinct qui lui permettait d’accéder à ADAMS, et qu’il n’avait pas modifié les justificatifs originaux qui lui avaient été envoyés par courriel.
Les événements qui ont mené à l’incident
- Afin de placer l’affaire en contexte et de connaître le motif de l’intrusion, il est important de souligner les événements dramatiques qui se sont produits avant la tenue des Jeux olympiques de 2016 à Rio.
- En juillet 2016, l’AMA a publié les résultats d’une enquête indépendante qui a confirmé certaines allégations de manipulation par l’État russe de la procédure de contrôle antidopage lors des Jeux olympiques d’hiver de 2014 à SotchiNote de bas de page 7. Des dénonciateurs russes avaient prétendu qu’il y avait eu participation de l’État dans une opération de dopage d’envergure en Russie, une chose que la Russie a niée avec force.
- Par la suite, l’AMA a recommandé publiquement que le CIO et le Comité international paralympique (« CIP ») interdisent à tous les athlètes russes de participer aux Jeux olympiques et aux Jeux paralympiques de 2016 à Rio.
- Le 24 juillet 2016, le CIO a annoncé qu’il n’imposerait pas d’interdiction générale concernant la participation des athlètes russes aux Jeux olympiques de Rio, mais qu’il laisserait aux fédérations de sport le soin de décider. Pour sa part, le CIP, a suspendu le Comité paralympique russe et a interdit à ses athlètes de participer aux Jeux paralympiquesNote de bas de page 8.
- Les Jeux olympiques de 2016 ont eu lieu à Rio du 5 au 21 août 2016 et 118 athlètes russes ont été frappés par une interdiction d’y participer.
Détails concernant l’atteinte à la protection des données
- Le 4 août 2016, l’AMA a été fait l’objet d’une campagne d’hameçonnageNote de bas de page 9 dans le cadre de laquelle des courriels ont été envoyés à des employés de l’AMA, supposément par le dirigeant principal de la technologie de l’AMA. L’AMA a confirmé que, suite à cette campagne, les comptes de courriel de trois de ses employés, notamment l’employé auquel le compte d’observateur indépendant avait été attribué, ont été compromis.
- L’AMA a coupé l’accès aux comptes de courriel, mais dans les heures qui ont suivi le moment où elle a appris qu’il y avait eu attaque par hameçonnage, elle a confirmé que les pirates avaient néanmoins pu accéder aux courriels sauvegardés dans les comptes, et ce pendant une période de 31, 40 et 72 minutes, respectivement pour les trois comptes.
- À partir du 8 août, et pendant plusieurs jours, des efforts concertés ont été déployés par les pirates qui ont utilisé des méthodes d’exploitation de l’application pour accéder à ADAMS. Selon l’AMA, ces attaques ont échoué.
- Le 9 août, l’AMA a affiché sur le babillard d’ADAMS un message indiquant aux utilisateurs que des courriels de nature illégitime ressemblant à des courriels provenant de l’AMA avaient été envoyés et qu’ils ne devaient cliquer sur aucun des liens contenus dans les courriels. L’AMA a affiché au cours des jours suivants des messages semblables sur le babillard, auquel tous les utilisateurs d’ADAMS ont accès.
- Le 10 août, l’AMA a appris que le compte d’ADAMS d’un athlète avait été compromis. L’AMA a immédiatement fermé le compte et avisé l’athlète touché qui l’avait prévenu que leurs comptes de courriel personnel avaient été piratés.
- Le 19 août 2016, l’AMA a modifié les exigences en matière de complexité des mots de passe permettant d’accéder à ADAMS et a exigé que tous les utilisateurs modifient leurs mots de passe afin de satisfaire aux nouvelles exigences.
- Le 25 août 2016, les pirates ont accédé au compte d’observateur indépendant ADAMS en se servant de justificatifs valides. Les pirates ont modifié le mot de passe permettant d’accéder au compte et ont ensuite commencé à l’utiliser au cours des jours suivants afin d’accéder aux renseignements contenus dans le compte ADAMS.
- Le 6 septembre 2016, les pirates ont également accédé au compte d’administrateur ADAMS du CIO à la suite d’une réinitialisation du mot de passe permettant d’accéder à ce compte. Les pirates se sont servis du compte d’administrateur ADAMS du CIO pour créer un autre compte d’administrateur lequel a ensuite été utilisé pour créer un sous-compte qui a servi pour accéder aux renseignements contenus dans ADAMS.
- Selon l’AMA, ce n’est que le 12 septembre 2016 qu’elle a appris que deux nouveaux comptes ADAMS avaient été compromis (c.-à-d., en plus du compte d’athlète susmentionné) à la suite de la publication en ligne, par l’entremise du site Web Fancy Bear, de renseignements personnels appartenant à certains athlètes. Comme il a déjà été mentionné, ces comptes appartenaient à l’employé du CIO qui avait l’accès administrateur et à l’employé de l’AMA qui avait le statut d’observateur indépendant aux Jeux olympiques.
- Après avoir fait un examen de ses registres, l’AMA a constaté que le pirate a fait des milliers de demandes de consultation de données au cours de la période de l’intrusion, probablement grâce à des outils d’automation. Ni l’employé de l’AMA ni l’employé du CIO n’ont accédé aux comptes ADAMS touchés durant l’intrusion et ceux-ci ne savaient pas que leurs mots de passe avaient été modifiés.
Les renseignements personnels touchés par l’intrusion
- Le 12 septembre 2016, et pendant les trois semaines qui ont suivi, les pirates ont publié six lots de renseignements personnels appartenant à 127 athlètes de différentes nationalités qui avaient participé aux Jeux de Rio. Il s’agissait des renseignements suivants : des AUT, des rapports de test et des résultats d’analyse anormaux. Des résultats d’analyse anormaux indiquent la présence de substances interdites dans un échantillon ou l’utilisation d’une méthode interditeNote de bas de page 10.
- En plus des noms des athlètes, de leur nationalité, de leurs dates de naissance, de leur sexe, et de leur discipline, les renseignements publiés comprenaient également des renseignements personnels sensibles comme la substance ou le médicament interdit qui a été prescrit à l’athlète conformément à l’AUT, et, dans certains cas, le trouble médical ou la maladie sous-jacent à l’AUT.
- Toutefois, compte tenu des fonctionnalités et des autorisations des comptes ADAMS qui ont fait l’objet de l’intrusion, l’utilisation probable d’outils d’automation et le nombre important d’activités et d’événements enregistrés ayant trait aux pirates, il est possible que les renseignements personnels compromis comportent des renseignements autres que ceux qui ont été publiés.
- À cet égard, le Commissariat souligne que les pirates étaient capables d’accéder dans ADAMS à différents modules auquel le CIO avait accès pour superviser le contrôle de dopage aux Jeux olympiques de Rio. Les renseignements accessibles aux pirates, outre les AUT et les résultats d’analyse (qui comprennent des résultats d’analyse négatifs, atypiques et anormaux), comprennent également des formulaires de contrôle de dopage des renseignements sur la localisation, les violations des règles antidopage et les sanctions pour dopage. Le sous-compte créé par les pirates avait un rôle fonctionnel ADAMS lié aux passeports biologiques des athlètesNote de bas de page 11, mais l’AMA garanti au Commissariat que le sous-compte aurait nécessité des autorisations additionnelles pour que l’on puisse vraiment accéder à ces renseignements. Étant donné que le CIO ne détenait pas les autorisations exigées dans ADAMS, les pirates n’ont pas pu accéder aux passeports biologiques des athlètes.
- L’AMA a indiqué que, au total, les renseignements de 11 837 athlètes ont été rendus accessibles aux pirates. Toutefois, le Commissariat souligne que le CIO conserve l’accès aux résultats des contrôles de dopage pendant toute la période durant laquelle, selon le Code, il doit y avoir, s’il y a lieu, conservation et nouvelle analyse de biomatériaux fournis par les athlètes qui ont participé à des Jeux olympiques antérieurs. Par conséquent, il est possible que les pirates aient pu accéder à des renseignements datant d’aussi loin que 2010 et appartenant à des athlètes qui ont subi des tests de dépistage à des Jeux olympiques antérieurs.
- Les pirates ont également publié des douzaines de courriels qui ont été extraits des comptes de courriel d’employés de l’AMA et un certain nombre parmi ceux-ci contenaient des renseignements personnels sensibles, notamment des résultats positifs à des contrôles de dopage subis par des athlètes. Les pirates se désignent sous le nom de « Fancy Bears » sur leur site Web, et se décrivent comme une « équipe de piratage internationale ».
Les mesures prises par l’AMA à la suite de l’intrusion
- Le 13 septembre 2016, l’AMA a publié un communiqué de presse confirmant l’intrusion dans ADAMS et a déclaré qu’elle [traduction] « a étendu son enquête en collaborant avec les autorités compétentes chargées de l’application de la loi, qu’elle procède à des vérifications internes et externes de la vulnérabilité de la sécurité et qu’elle prend les mesures nécessaires pour veiller à ce que les intervenants gèrent en toute sécurité les mots de passe permettant d’accéder à ADAMS ainsi que son utilisation ». L’AMA a avisé, séparément, tous les athlètes dont les renseignements personnels ont été publiés en ligne ainsi que leur organisation antidopage.
- Après avoir appris qu’il y avait eu intrusion dans ADAMS, l’AMA a pris un certain nombre de mesures préventives et (ou) correctives afin d’améliorer ses mesures de sécurité. Il s’agit des mesures suivantes :
- (i) désactivation des comptes ADAMS du CIO;
- (ii) désactivation de la fonction « mot de passe oublié;
- (iii) augmentations de ses capacités d’enregistrement et de surveillance d’ADAMS;
- (iv) désactivation des comptes inactifs;
- (v) mise en place d’une meilleure méthode d’authentification au moyen de questions de vérification personnelle.
- L’AMA a embauché une firme experte en cybersécurité judiciaire afin d’enquêter sur l’intrusion. Par conséquent, l’AMA a pu déterminer que les pirates ont réussi à accéder à ADAMS au moyen du compte de l’observateur indépendant et du compte de l’administrateur du CIO.
- L’AMA a également fait des demandes de suivi au CIO afin de déterminer la cause de l’intrusion dans le compte administrateur ADAMS du CIO. Le CIO a indiqué qu’il a communiqué de vive voix à l’AMA les résultats de sa propre enquête judiciaire, mais que la rencontre qui avait été prévue pour discuter davantage de l’intrusion n’a jamais eu lieu. Pour sa part, l’AMA a demandé, par écrit, des renseignements supplémentaires au CIO, lesquels ne semblent pas avoir été fournis. Durant notre enquête, les deux organisations avaient entamé des discussions dans le but de rétablir l’accès du CIO à ADAMS avant les Jeux olympiques d’hiver de 2018 à PyeongChang, en Corée du Sud. Avant la conclusion de notre enquête, l’AMA a rétabli l’accès du CIO à ADAMS.
Les vecteurs susceptibles d’avoir été utilisés pour effectuer l’intrusion
- Il n’est pas possible de savoir avec exactitude comment les pirates ont pu accéder aux compte observateur indépendant ADAMS et au compte d’administrateur du CIO, mais les éléments de preuve donnent à penser que les pirates ont d’abord compromis les comptes de courriel des employés de l’AMA et du CIO auxquels les deux comptes ADAMS avaient été attribués.
- Dans le cas de l’employé de l’AMA, celle-ci a confirmé que le compte de courriel de l’employé a été compromis dans le cadre de la campagne d’hameçonnage. L’AMA a également confirmé que le compte de courriel contenait un courriel avec les justificatifs de connexion du compte d’observateur indépendant qui lui avait été envoyé lorsque le compte avait été créé. L’AMA a prétendu qu’il était peu probable que les pirates aient pu accéder à ce renseignement, car il était conservé dans un sous-dossier de courriel et que le compte ne fut compromis que durant une brève période. Toutefois, malgré l’intervention relativement rapide de l’AMA, cette possibilité ne peut pas être écartée compte tenu de la durée de la période au cours de laquelle les pirates ont eu accès au compte.
- Il semble également que le compte de courriel du titulaire du compte d’administrateur ADAMS du CIO ait également été compromis. À cet égard, le Commissariat souligne que les pirates ont pu se servir de la fonction de réinitialisation du mot de passe d’ADAMS pour réinitialiser le mot de passe du compte d’administrateur ADAMS du CIO, ce qui a provoqué l’envoi d’un nouveau mot de passe par courriel. Le CIO a confirmé qu’un courriel contenant le nouveau mot de passe a été trouvé dans le dossier supprimé du compte de courriel de l’employé du CIO et que l’employé du CIO ne se rappelait pas avoir vu le courriel ou de l’avoir placé dans ce dossier. Le CIO ne peut expliquer comment cela s’est produit, toutefois, il nie l’information voulant qu’il y ait eu une campagne d’hameçonnage ciblant son organisme à l’époque ou que selon certains éléments de preuve le compte de courriel de son employé a été compromis. Le Commissariat souligne que les justificatifs de connexion du compte d’observateur indépendant se trouvaient peut-être également dans le dossier Éléments envoyés de ce compte de courriel.
- Peu importe le moyen précis par lequel les justificatifs ont été obtenus, le fait est que les pirates ont pu accéder aux comptes ADAMS en se servant simplement de noms d’utilisateur et de mots de passe (c.-à-d., aucune vérification additionnelle n’était requise afin d’accéder aux comptes).
Application
- Pour tirer ses conclusions, le Commissariat a appliqué les principes 4.1.4, 4.7, 4.7.1, 4.7.2 et 4.7.3.
- Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes énoncés à l’annexe 1 de la LPRPDE, y compris :
- la mise en œuvre des procédures pour protéger les renseignements personnels;
- la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite;
- la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation;
- la rédaction des documents explicatifs concernant leurs politiques et procédures.
- Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. D’après le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.
- Selon le principe 4.7.2, la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés.
- Le principe 4.7.3 précise que les méthodes de protection devraient comprendre :
- des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
- des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif basé sur un « besoin de savoir »;
- des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
Conclusions
Mesures de sécurité
- Pour déterminer le niveau de sécurité requis, il faut évaluer le degré de sensibilité des renseignements en cause. Selon la LPRPDE, une évaluation valable du niveau de sécurité requis doit être fondée sur le contexte, proportionnelle au degré de sensibilité des données et éclairée par le risque potentiel de préjudice à des personnes qu’entraîneraient la consultation, la communication, la copie, l’utilisation ou la modification non autorisées de ces données.
- Il va sans dire qu’une grande partie des renseignements personnels contenus dans ADAMS sont hautement sensibles. Il s’agit de renseignements personnels sur la santé comme des problèmes médicaux, des médicaments et des prescriptions, des analyses d’échantillons de substances corporelles et d’échantillons de matériel biologique et même les renseignements génétiques figurant dans le passeport biologique d’un athlète. De plus, ADAMS contient également des renseignements sur les violations des règles antidopage et sur la localisation.
- Les préjudices que peut causer la fuite de ces renseignements sont importants et multiples. L’accès non autorisé à certains renseignements personnels sur la santé et la divulgation de ceux-ci peut causer à des personnes de la stigmatisation, de la discrimination et des torts psychologiques. La diffusion de résultats d’analyse anormaux qui, pour des raisons légitimes, n’ont pas été rendus publics peut être source d’embarras et de honte pour les athlètes, et avoir une grande incidence sur leur réputation, leur image et leur vie personnelle et professionnelleNote de bas de page 12. À cet égard, le Commissariat souligne que l’AMA a reconnu dans son communiqué de presse que l’intrusion « sera très éprouvante pour les sportifs visés et suscitera de l’appréhension chez tous ceux qui ont participé aux Jeux olympiques de Rio 2016 »Note de bas de page 13.
- Certains athlètes dont les renseignements médicaux ont été diffusés en ligne ont expliqué leur situation dans un effort visant à défendre leur réputation. Même les renseignements sur la localisation, lesquels indiquent le moment précis auquel une personne se trouve à un endroit donné, peuvent avoir une incidence sur la santé et la sécurité d’une personne.
- L’impact potentiel que la compromission de tels renseignements personnels peut avoir sur la réputation est également considérable, et peut même se faire ressentir sur les athlètes qui ont participé à des Jeux antérieurs, sur le Mouvement olympique et sur les pays et les équipes qui ont participé aux Jeux olympiques dans la mesure où elle vise à miner l’intégrité du système antidopage.
- Le rôle de l’AMA à titre de chien de garde de l’antidopage dans le cadre duquel elle prend des décisions qui peuvent avoir une incidence défavorable sur des athlètes et les pays qu’ils représentent fait en sorte qu’elle est très susceptible d’être la cible d’une attaque. L’attaque qui a occasionné l’intrusion dans l’AMA était, selon le Commissariat, hautement sophistiquée tant sur le plan de la planification que sur le plan de l’exécution. Étant donné sa nature, une telle attaque n’a pas pu être commise par une seule personne, mais plutôt par une équipe composée de plusieurs personnes disposant de nombreux outils, notamment d’outils d’automatisation. Le Commissariat souligne que, selon certains rapports, le groupe Fancy Bear est lié à des efforts de piratage menés par des ÉtatsNote de bas de page 14.
- Tout cela tend à montrer que l’AMA, lorsqu’elle conçoit ses mesures de sécurité, doit veiller à prendre en compte la valeur des renseignements qu’elle détient pour les personnes qui peuvent chercher à les obtenir par de vils moyens et de la possibilité qu’elle continue d’être la cible d’attaques sophistiquées.
- De plus, ADAMS enregistre et traite d’énormes quantités de données sensibles sur des personnes, des renseignements qui, selon le Code, doivent être fournis par les athlètes au mouvement antidopage. Par conséquent, il est impératif de s’assurer qu’ADAMS dispose de mesures de sécurité et de protection adéquates afin d’assurer que les personnes qui participent à des sports organisés et le Mouvement olympique continuent à avoir confiance et de préserver l’intégrité du système antidopage.
- Enfin, le fait qu’ADAMS est essentiellement une base de données accessible à des intervenants du monde entier grâce à une interface Web publique augmente la possibilité et le risque d’accès non autorisé.
- Pour les motifs susmentionnés, le niveau des mesures de sécurité employées par l’AMA devrait être très élevé, conformément aux principes 4.7 et 4.7.2.
- L’AMA avait mis en place un certain nombre de mesures de sécurité de nature technologique, physique et organisationnelle, mais elles n’étaient pas toutes suffisamment robustes ou du niveau auquel on est en droit de s’attendre de la part d’une organisation qui détient des renseignements hautement sensibles. Ces questions qui ont eu une incidence directe ou indirecte sur l’accès non autorisé et la divulgation de renseignements personnels durant l’intrusion et les effets néfastes qui se sont produits, impliquent les secteurs suivants :
- (i) les contrôles d’accès;
- (ii) la surveillance et la consignation;
- (iii) les politiques, les procédures et la formation;
- (iv) le chiffrement.
Contrôles d’accès
- Bien qu’ADAMS ait été créé afin de permettre un accès par niveaux, certains contrôles d’accès étaient manifestement médiocres. La gestion des mots de passe est une préoccupation cruciale. Plus particulièrement, la réinitialisation du mot de passe pour les nouveaux comptes n’était pas une pratique obligatoire. L’AMA a déclaré qu’elle incitait les organisations qui avaient des comptes d’administrateur de prévoir des réinitialisations du mot de passe forcées lorsqu’elles créaient de nouveaux comptes d’utilisateur, mais la pratique n’était pas obligatoire et c’était finalement les administrateurs qui décidaient et qui devait cocher manuellement une case de réinitialisation du mot de passe au moment de créer un nouveau compte. Les nouveaux mots de passe ne venaient pas à expiration après un certain temps. Par conséquent, il était possible, lorsque des administrateurs envoyaient par courriel aux utilisateurs leurs justificatifs, que des justificatifs valides destinés à des utilisateurs multiples pouvaient demeurer indéfiniment dans des comptes de courriel (dans une boîte de réception ou dans un dossier Éléments envoyés). Dans les circonstances, il semble que cela a été un vecteur probable en ce qui concerne l’intrusion, du moins en ce qui concerne le compte d’observateur indépendant.
- L’AMA ne se servait également pas d’un mécanisme d’authentification robuste, comme une authentification à deux facteurs. L’authentification à deux facteurs nécessite généralement que l’utilisateur fournisse deux éléments parmi les trois catégories suivantes : une chose connue, comme un mot de passe, une chose possédée, comme un jeton, et une chose qui lui est propre, comme des données biométriquesNote de bas de page 15. Compte tenu de la sensibilité des renseignements en cause, il était, selon le Commissariat, insuffisant qu’ADAMS soit accessible au moyen d’une interface Web publique qui ne nécessitait qu’une authentification à un facteur, comme l’utilisation d’un simple mot de passe, pour accéder aux comptes. Cette lacune sur le plan de l’authentification a déjà été soulignée par Datatilsynet, l’autorité de protection des données de la Norvège, qui s’était également dite préoccupée par le fait qu’il n’y avait pas d’authentification à deux facteurs pour pouvoir accéder à ADAMSNote de bas de page 16.
- Dans les circonstances, les pirates ont pu accéder au compte d’observateur indépendant en se servant de justificatifs de connexion valides, lesquels semblent avoir été obtenus au moyen d’un accès non autorisé à des comptes de courriel. Si l’accès à ADAMS avait nécessité une authentification à deux facteurs, il y aurait eu une barrière de sécurité additionnelle et les pirates auraient eu beaucoup plus de difficulté à accéder à ADAMS de la manière qu’ils s’y sont pris.
- L’AMA a depuis introduit des questions de vérification personnelles dans son processus d’authentification, mais il s’agit toujours d’un processus à un facteur (p. ex., « une chose connue »). En juin 2017, l’AMA a introduit une authentification à deux facteurs au moyen d’un code SMS ou d’un mot de passe à usage unique, mais cette fonction de sécurité n’est pas obligatoire et n’est pas activée pour tous les utilisateurs.
- En ce qui a trait à la création de comptes, le Commissariat craint que le système ADAMS permette la création de plusieurs comptes pour le même utilisateur, même lorsqu’aucun compte n’est requis. En l’espèce, il ne semble pas que l’employé de l’AMA avait besoin d’un compte distinct pour exécuter ses fonctions d’observateur indépendant, car il détenait déjà son propre compte ADAMS, mais un nouveau compte a quand même été créé pour lui. La possibilité de créer plusieurs comptes qui ne sont pas nécessaires sur le plan opérationnel présente un risque inutile et ne fait qu’augmenter le nombre de vecteurs d’attaque potentiels. Étant donné la nature hautement sensible des données en jeu, le Commissariat a estimé que les mesures de sécurité procédurales en place ne permettaient pas de réduire ce risque.
- Le Commissariat est également préoccupé par la façon dont l’AMA supervise les organisations antidopage qui détiennent des droits administratifs sur ADAMS. L’AMA conclut des ententes contractuelles avec les organisations antidopage, mais l’entente conclue avec le CIO que le Commissariat a examinée ne contenait que des dispositions générales concernant l’obligation du CIO de mettre en place des mesures de sécurité. L’entente ne contenait aucune disposition accordant à l’AMA la capacité de vérifier et d’inspecter les pratiques en matière de sécurité et de protection des renseignements personnels du CIO afin de vérifier si celui-ci respecte ses obligations contractuelles.
- Dans les circonstances de l’intrusion en cause, l’AMA et le CIO n’ont pas suffisamment échangé de renseignements relativement à l’intrusion, et le rapport judiciaire que le CIO a commandé à la suite de l’intrusion n’a jamais été transmis à l’AMA. Il était donc difficile pour l’AMA de pleinement évaluer les causes de l’intrusion. Ce manque d’échange de renseignements est décevant étant donné le rôle central et le rôle de collaboration que les deux organisations doivent jouer pour protéger les données sur les athlètes.
- L’AMA devrait intégrer des fonctions de supervision plus robustes quant aux organisations antidopage étant donné qu’elle doit protéger les renseignements traités dans ADAMS. Le Commissariat souligne que l’AMA a déjà avisé le groupe de travail Article 29 qu’elle veillerait au respect du Standard, lequel, comme il a déjà été souligné, impose aux organisations antidopage l’obligation de protéger les renseignements personnels des athlètes au moyen d’évaluations périodiquesNote de bas de page 17. L’AMA a indiqué qu’en raison du manque de ressources, elle n’a fait aucune évaluation périodique. Le Commissariat souligne également que l’AMA n’a pas prévu le droit d’effectuer ces évaluations dans ses ententes contractuelles avec les organisations antidopage. Selon le Commissariat, à tout le moins, l’AMA devrait pouvoir inspecter ou évaluer en tout temps les systèmes d’information des organisations antidopage, d’abord afin de prévenir les atteintes à la sécurité et, dans le cas d’une intrusion, afin de s’assurer que celle-ci a été maîtrisée et que les mesures correctives nécessaires ont été mises en place.
- Le Commissariat est également préoccupé par la portée des droits administratifs accordés aux organisations antidopage. Les comptes d’administrateur, surtout dans le cas du CIO, disposent de droits importants avec la capacité de créer des comptes comportant des droits d’accès égaux ou moindres qui comprennent la capacité de créer d’autres comptes d’administrateur. Le CIO a souligné qu’il n’exige pas cette capacité. Il peut être raisonnable de déléguer aux organisations antidopage la création de sous-comptes, mais la création de comptes d’administrateur, des comptes qui, par définition, ont la capacité de créer des comptes d’utilisateur disposant de droits d’accès important à ADAMS, aurait dû être contrôlée plus étroitement par l’AMA.
- Enfin, le Commissariat est préoccupé par le fait que l’AMA n’a mis en place aucun système de signalisation ou d’avertissement aux utilisateurs à propos d’actions ou d’activités importantes et (ou) inhabituelles concernant des comptes. Le CIO a souligné, par exemple, qu’il n’y avait eu aucun avertissement selon lequel son compte d’administrateur avait été utilisé pour créer un nouveau compte d’administrateur et un nouveau compte d’utilisateur. L’envoi, par exemple, d’une alerte par courriel à un utilisateur lorsque certaines activités importantes se produisent dans son compte est une pratique courante en ce qui concerne de nombreuses applications Web et il permettrait d’atténuer le risque que le compte ADAMS soit utilisé sans autorisation pendant plusieurs jours, comme ce fut le cas en l’espèce.
Surveillance et consignation
- La capacité limitée de l’AMA de détecter des anomalies et des intrusions dans ADAMS et d’analyser ses registres était un autre facteur préoccupant. Les pirates ont pu générer, durant une courte période de temps, des milliers d’événements qui n’ont pas été immédiatement détectés. De plus, ces événements se sont produits à un moment où l’AMA était déjà au courant de l’existence d’une campagne d’hameçonnage et qu’il y avait de nombreuses tentatives visant à obtenir un accès non autorisé à ADAMS, comme en témoigne le message qu’elle a affiché dans le babillard à l’intention des utilisateurs au début d’août. L’AMA s’est procurée des outils de consignation et d’analyse plus robustes à la suite de la campagne d’hameçonnage en août 2016, mais ceux-ci n’étaient pas encore adéquatement configurés et ils se sont donc révélés inefficaces.
Politiques, procédures et formation
- L’AMA soutient qu’elle a une politique générale de sécurité de l’information fondée sur une norme de l’Organisation internationale de normalisation (« ISO »), mais notre examen des documents fournis par l’AMA ont confirmé qu’elle ne disposait pas des politiques et des procédures écrites permettant de donner effet à cette norme. Diverses exigences prévues par la norme sont mentionnées dans la politique générale de sécurité de l’information, toutefois le Commissariat a relevé peu d’éléments de preuve démontrant que l’AMA avait des politiques et des procédures écrites visant à faire respecter ces exigences, dont certaines auraient pu atténuer l’intrusion ou mieux préparer l’AMA durant et après celle-ci.
- L’AMA ne disposait pas d’un plan d’intervention adéquat en cas d’incident au moment de l’intrusion, comme l’exige la norme ISO énoncée. L’AMA a pris un certain nombre de mesures importantes, notamment aviser les utilisateurs d’ADAMS de l’existence d’une campagne d’hameçonnage, mais son intervention fut ponctuelle. La mise en place d’un plan d’intervention en cas d’incident est essentielle pour limiter l’exposition d’une organisation en veillant à ce qu’il y ait une intervention rapide, efficace et ordonnée en cas d’incidents liés à la sécurité de l’information. En l’espèce, une exécution correcte d’un plan adéquat d’intervention en cas d’intrusion après la campagne d’hameçonnage par courriel aurait pu permettre d’atténuer l’incidence de l’intrusion dans ADAMS ou d’atténuer la possibilité qu’il y ait intrusion dans ADAMS. Par exemple, à la suite de la campagne d’hameçonnage, certaines mesures internes de sécurité préventive qui auraient dû être prises ne l’ont pas été comme forcer immédiatement la réinitialisation des mots de passe des comptes du personnel. Un membre du personnel de l’AMA a proposé cela, mais une réinitialisation forcée des mots de passe n’a pas été faite parce qu’on craignait que cela pourrait [traduction] « causer des problèmes » avec les utilisateurs se rendant à Rio.
- Le Commissariat n’a également relevé aucune preuve de l’existence d’un cadre de gestion des risques documenté indiquant comment l’AMA décide quelles mesures de sécurité il conviendrait d’adopter compte tenu des risques auxquels elle est exposée. Il n’a également relevé aucune preuve que l’AMA effectuait des évaluations des menaces ou des vulnérabilités. L’analyse des menaces et des vulnérabilités peut aider à déterminer les exigences relatives à la sécurité de l’information en accord avec les besoins et les risques propres à l’organisation. De plus, lorsqu’il lui a été demandé comment elle planifie et priorise la mise en place de mesures de sécurité, l’AMA a dit qu’elle préfère une approche plus souple, car la planification de ces tâches exige beaucoup trop de ressources. Cette approche peut être acceptable pour une organisation qui gère des renseignements de moindre sensibilité, mais le Commissariat estime qu’elle ne convient pas à une organisation comme l’AMA qui traite des renseignements hautement sensibles.
- L’absence de procédures, de processus ou de modèles écrits pour assurer la conformité d’un cadre de sécurité de l’information contrevient au principe 4.1.4 de la LPRPDE qui exige que les organisations mettent en place des politiques et des pratiques, incluant la mise en place de procédures afin de protéger des renseignements personnels, afin de donner effet aux principes. Des politiques en matière de sécurité et des plans de mise en œuvre documentés permettent de clarifier les attentes et les exigences; ils assurent l’uniformité et aident à cerner et à gérer les risques d’une organisation. Par conséquent, une documentation adéquate constitue en soi une protection cruciale.
- L’AMA a fourni peu d’éléments de preuve démontrant qu’elle communiquait à son personnel, grâce à de la formation ou grâce à d’autres moyens, des renseignements concernant la sensibilisation à la sécurité comme l’exige le principe 4.1.4 c) de la Loi. Des programmes de sécurité ne sont efficaces que si les personnes responsables de la mise en œuvre et du respect de ceux-ci sont au courant de leur contenu, de leur raison d’être et des conséquences applicables s’ils ne s’acquittent pas de leurs responsabilités. L’AMA devrait être dotée de programmes permanents de formation sur la vie privée et la sécurité afin de veiller à ce que le personnel soit au courant des procédures en matière de sécurité et suive celles-ci.
- Par ailleurs, l’AMA dispense de la formation aux organisations antidopage qui ont obtenu des droits administratifs ainsi qu’à d’autres utilisateurs et elle a conçu un Guide de l’utilisateur ADAMS, mais il semble que la plus grande partie de cette formation et de ces documents porte sur la façon d’utiliser ADAMS plutôt que sur les mesures de sécurité importantes et les pratiques exigées liées au système et au processus de création de comptes. Par exemple, le Commissariat a été avisé que la pratique non obligatoire consistant à forcer la réinitialisation du mot de passe lors de la création d’un compte d’utilisateur a été transmise de vive voix par l’AMA aux administrateurs et n’a pas été consignée par écrit.
- Selon le Commissariat, l’AMA aurait dû être dotée de programmes permanents de formation sur la vie privée et la sécurité destinés à tous les membres du personnel et à tous les intervenants d’ADAMS, en particulier aux intervenants qui ont des droits administratifs. L’AMA aurait dû faire un examen exhaustif des mesures de sécurité dont elle dispose pour protéger les renseignements personnels et accroître son cadre de sécurité de l’information à un niveau correspondant au degré de sensibilité des données contenues dans ADAMS. Pour cela, il aurait fallu qu’elle documente adéquatement ce cadre et ses processus de sécurité de l’information en général et prenne des mesures, y compris l’élaboration et la prestation de programme de formation adéquat, pour s’assurer que les membres du personnel et les intervenants connaissent et suivent les procédures de sécurité.
Chiffrement
- Enfin, le Commissariat a noté que l’AMA se sert du chiffrement pour protéger les données en transit, mais elle ne s’en sert pas pour les données statiques dans ADAMS. L’AMA souligne que le protocole de chiffrement SSL de 128 bits utilisé pour les données en transit est une norme de sécurité du réseau semblable à celles qui sont utilisées dans le secteur bancaire. Toutefois, le Commissariat n’a relevé aucun élément de preuve démontrant que l’AMA s’est servie du chiffrement en ce qui concerne les données statiques dans ADAMS, ce qui a pour conséquence de les exposer à des risques si leur réseau était compromis. Étant donné la sensibilité des renseignements conservés dans ADAMS, l’AMA aurait dû se servir du chiffrement en ce qui concerne les données statiques afin de mieux protéger les données sur les athlètes pendant qu’elles sont sous sa garde.
Recommandations
- Dans son rapport préliminaire, le Commissariat a recommandé que l’AMA augmente ses mesures de sécurité à un niveau adéquat afin d’assurer la sécurité et la confidentialité des renseignements personnels qui sont sous son contrôle en :
- Élaborant un cadre de sécurité de l’information exhaustif qui comprend des politiques et des procédures écrites afin de garantir que les risques possibles ont été traités. À tout le moins, cela comprendrait :
- l’identification, l’analyse et la documentation des risques internes et externes qui peuvent avoir une incidence sur les renseignements personnels dans tous les systèmes (y compris le système mobile) et les processus qui pourraient occasionner des divulgations non autorisées, une mauvaise utilisation, une perte, une modification, une destruction, ou une autre compromission de ces renseignements, et l’évaluation du caractère adéquat des mesures de sécurité mises en place pour contrôler ces risques;
- la conception et la mise en place de mesures de sécurité raisonnables pour contrôler les risques relevés au moyen d’une évaluation des risques et d’essais réguliers;
- l’évaluation et l’ajustement du programme de sécurité de l’information à la lumière des essais et de la surveillance mentionnés plus haut;
- l’élaboration d’un programme de formation destiné aux employés, aux entrepreneurs et aux intervenants portant sur les politiques et les procédures en matière de gestion de la sécurité de l’information mentionnées plus haut.
- Mettant en place des mesures de sécurité adéquates relativement aux contrôles d’accès, y compris :
- des modifications obligatoires de mot de passe pour les nouveaux comptes et des périodes d’expiration pour les mots de passe temporaires;
- une authentification à deux facteurs obligatoire pour tous les utilisateurs;
- une mise à jour des ententes contractuelles de l’AMA afin de lui permettre de vérifier et (ou) d’inspecter les organisations antidopage qui ont accès à ADAMS afin de garantir le respect des politiques en matière de sécurité et de protection des renseignements personnels;
- un contrôle exclusif des comptes d’administrateur fournis à des tiers en supprimant leur capacité de créer d’autres comptes d’administrateur;
- l’envoi d’avis aux utilisateurs lorsque des mesures importantes sont prises ou lorsqu’une activité inhabituelle est détectée dans leur compte.
- Chiffrant des données statiques d’ADAMS que l’AMA détient.
- S’assurant que la sécurité des applications et la détection des intrusions sont bien configurées et que les systèmes et les registres font l’objet d’une surveillance active et adéquate.
- Fournissant au Commissariat un rapport émanant d’une tierce partie qualifiée et indépendante et documentant les mesures que l’AMA a prises pour respecter les recommandations susmentionnées.
- Élaborant un cadre de sécurité de l’information exhaustif qui comprend des politiques et des procédures écrites afin de garantir que les risques possibles ont été traités. À tout le moins, cela comprendrait :
- En réponse au rapport préliminaire du Commissariat, l’AMA a accepté d’appliquer toutes les recommandations à l’exception de l’imposition d’une authentification à deux facteurs pour ce qui est des athlètes. Malgré que l’AMA ait accepté de rendre obligatoire l’authentification à deux facteurs en ce qui concerne tous les utilisateurs d’ADAMS qui ne sont pas des athlètes, elle a indiqué que la méthode devrait être facultative pour ce qui est des athlètes. L’AMA a déclaré que cette méthode d’authentification peut ne pas être nécessaire ou possible pour tous les athlètes étant donné que certains athlètes provenant de pays en développement ou moins développés ne disposent peut-être pas des capacités technologiques ou des moyens permettant la mise en place de l’authentification à deux facteurs. De plus, l’AMA a déclaré que les athlètes n’ont accès qu’à un sous-ensemble restreint de leurs renseignements personnels et que, par conséquent, le risque auquel ces renseignements sont exposés doit être soupesé au regard de l’aspect pratique et efficace pour les athlètes lorsqu’ils entrent leurs renseignements dans ADAMS.
- Après mûre réflexion, le Commissariat accepte la proposition de l’AMA qui consiste à offrir sur une base facultative aux athlètes une authentification à deux facteurs (alors que cette méthode est obligatoire pour tous les autres utilisateurs) à la condition que l’AMA recommande de façon active et continue son utilisation et fournissent aux athlètes des renseignements sur la façon dont ils peuvent se prévaloir de cette méthode d’authentification plus sécuritaire et la raison pour laquelle ils devraient s’en prévaloir.
Conclusion
- Par conséquent, le Commissariat conclut que l’affaire est fondée et conditionnellement résolue.
- Le Commissariat continuera à s'assurer que l’AMA instaure les mécanismes nécessaires pour se conformer pleinement à la Loi. Par conséquent, le Commissariat surveillera de près la mise en œuvre de ses recommandations par l’organisation et, à cette fin, il a conclu un accord de conformité avec l’AMA en vertu du paragraphe 17.1(1) de la Loi.
- Date de modification :