Sélection de la langue

Recherche

Une enquête sur une atteinte visant MGM illustre comment évaluer le risque et la nécessité d’une évaluation en temps opportun

Conclusions en vertu de la LPRPDE no 2022-004

Le 19 mai 2022


Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Rapport de conclusions

Aperçu

En février 2020, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a pris connaissance de reportages dans les médias concernant une atteinte importante à la protection des données visant MGM en 2019. Comme le Commissariat n’a pas reçu de rapport à propos de cette atteinte, il a communiqué avec MGM afin d’obtenir des informations supplémentaires sur l’atteinte et sur les renseignements personnels de Canadiens affectés par l’atteinte.

Après avoir reçu la confirmation que l’atteinte a touché des renseignements personnels de Canadiens, le commissaire a pris lui-même l’initiative d’une plainte afin d’enquêterNote de bas de page 1 pour déterminer si MGM avait respecté ses obligations sur la déclaration obligatoire des atteintes conformément à la LPRPDENote de bas de page 2. Cette initiative a été prise en raison des répercussions possibles sur les Canadiens qui avaient été touchés par l’atteinte mais qui n’étaient pas encore au courant de la situation et en raison de la très longue période écoulée depuis la confirmation de l’atteinte par MGM.

Notre enquête a permis d’établir que MGM a contrevenu aux dispositions relatives à la déclaration obligatoire des atteintes de la LPRPDE. Bien que MGM ait déterminé qu’il y a eu une atteinte à ses mesures de sécurité au cours de l’été 2019, il n’a pas rapidement déterminé si l’atteinte présentait un risque réel de préjudice grave (RRPG) à l’endroit des Canadiens touchés. Nous avons découvert que l’atteinte présentait un RRPG et que MGM n’a pas signalé l’atteinte au Commissariat ni avisé les personnes touchées dès que possible.

En réponse aux recommandations formulées par le Commissariat, MGM a convenu d’apporter des modifications à son cadre ou à son processus d’intervention en cas d’atteinte à la vie privée d’ici le 30 juin 2022. Ainsi, lorsque MGM apprendra qu’il y a une atteinte pouvant viser des renseignements personnels de Canadiens, a) il réalisera rapidement une évaluation du RRPG conformément aux lignes directrices publiées du Commissariat; si MGM détermine que l’atteinte présente un RRPG, b) il fournira un rapport au Commissariat à la protection de la vie privée et c) avisera les personnes touchées le plus tôt possible.

Par conséquent, nous avons conclu que la question est fondée et conditionnellement résolue.

Contexte et plainte

  1. Le groupe MGM Resorts International (MGM) est une entité américaine qui détient et exploite un certain nombre d’hôtels et de casinos aux États-Unis. MGM interagit fréquemment avec ses clients canadiens dans le cadre de ses activités de marketing, lors des réservations en ligne et dans le cas des partenariats avec des organisations canadiennes comme Vacances Air Canada, le Cirque du Soleil et l’Association canadienne des automobilistes.
  2. En février 2020, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a pris connaissance de reportages dans les médiasNote de bas de page 3 concernant la publication de renseignements personnels d’environ 10,6 millions de clients de MGM sur un forum de piratage. Selon ces rapports, les renseignements comprenaient les noms, les coordonnées et les dates de naissance des clients et, dans le cas d’environ 1 300 personnes, certains identifiants (numéro de permis de conduire, numéro de passeport ou numéro de carte d’identité militaire). Dans ces reportages, MGM a également confirmé qu’une atteinte s’est produite pendant l’été 2019 et qu’il avait communiqué avec tous les clients des hôtels touchés conformément aux lois des États.
  3. Étant donné que le Commissariat n’a pas reçu de rapport de MGM concernant l’atteinte à cette époque, il a communiqué avec MGM en février 2020 afin d’obtenir des informations supplémentaires au sujet de l’atteinte et des renseignements personnels de Canadiens mis en cause.
  4. MGM a indiqué que, selon son enquête sur l’atteinte, il a déterminé que vers le 7 juillet 2019, une tierce partie non autorisée a réussi à accéder à un serveur infonuagique externe contenant des données sur les clients de MGM. Cette tierce partie a accédé au serveur en se connectant à une plateforme d’un tiers utilisée par les réalisateurs de logiciels de MGM à l’aide des justificatifs d’identité d’un employé de MGM (qui avaient été compromis lors d’une atteinte précédente à la protection des données qui n’était pas liée à MGM – il s’agissait d’une attaque par bourrage de justificatifs) et en profitant d’une erreur de codage (sur la plateforme d’un tiers) pour contourner l’authentification à facteurs multiples. La tierce partie non autorisée a alors repéré un jeton d’accès temporaire et elle s’en est servi afin d’accéder aux données des clients de MGM situées sur un serveur infonuagique externe. Grâce à ce jeton, le pirate informatique a accédé à la base de données pendant environ une heure. Il en a profité pour extraire un jeu de données contenant des renseignements sur les clients de MGM, qu’il a mis en vente en ligne. Selon MGM, le pirate informatique a précisé dans l’offre de vente que le jeu de données avait peu de valeur, car il était en mauvais état. MGM n’a pas présenté d’éléments de preuve corroborant cette affirmation.
  5. MGM a ajouté qu’il a appris l’existence de l’offre de vente affichée en ligne vers le 10 juillet 2019. À ce moment-là, MGM a embauché un « expert indépendant faisant autorité en sécurité des données » et un « expert en recherche électronique » pour réaliser une enquête judiciaire et aider MGM à comprendre et à évaluer l’incident ainsi que les données touchées. Grâce à ces experts indépendants, MGM a pris des mesures pour faire en sorte que la tierce partie non autorisée ne puisse plus accéder aux données des clients de MGM situées sur le serveur infonuagique externe. Après avoir consulté des organismes américains d’application de la loi, MGM a également acheté un exemplaire du jeu de données auprès du pirate informatique le 24 juillet 2019 en échange de l’accord du « fournisseur » de supprimer la vente affichée en ligneNote de bas de page 4. Sur la foi des travaux avec ses experts indépendants, MGM a déclaré que le jeu de données était en mauvais état et difficile à utiliser.
  6. Après que le Commissariat eut communiqué avec MGM en février 2020, MGM a entamé une analyse plus approfondie et a ensuite confirmé que 1 934 090 Canadiens ont été touchés par l’atteinte et que les identifiants de documents délivrés par le gouvernement (p. ex. numéro de passeport, numéro Nexus, numéro de carte d’assurance-maladie, numéro de carte d’identité militaire) de 5 635 de ces Canadiens ont été compromis. À la fin avril 2020, MGM a indiqué qu’il aviserait les Canadiens touchés sous peu.
  7. En outre, dans le rapport sur l’atteinte que MGM a remis au Commissariat le 3 juin 2020, il explique les mesures correctives mises en œuvre en vue d’éviter qu’une atteinte semblable se reproduise et de protéger les personnes touchées contre tout préjudice éventuel. Citons par exemple la correction de l’erreur de codage par la plateforme du tiers, l’amélioration des mesures de contrôle de l’accès par MGM (p. ex. renforcer l’utilisation de l’authentification à facteurs multiples à MGM, empêcher les réalisateurs de logiciels de MGM d’utiliser leurs adresses électroniques personnelles pour exécuter des tâches liées à MGM et faire en sorte que les comptes soient créés selon le principe du droit d’accès minimal) et les mesures de surveillance de crédit offertes aux personnes touchées.
  8. En raison des répercussions possibles pour les Canadiens touchés dont l’identifiant de document délivré par le gouvernement a été compromis (mais qui n’avaient pas encore été avisés de la situation) et compte tenu de la très longue période écoulée entre la confirmation de l’atteinte par MGM et son évaluation de la situation par rapport aux Canadiens, le commissaire a pris lui-même l’initiative d’une plainte afin d’enquêterNote de bas de page 5 pour déterminer si MGM a respecté ses obligations sur la déclaration obligatoire des atteintes conformément à la LPRPDENote de bas de page 6. L’enquête du Commissariat portait sur les répercussions pour les Canadiens.
  9. Nous tenons à signaler que MGM a remis un rapport sur l’atteinte au Commissariat et qu’il a commencé à aviser les Canadiens touchés le 3 juin 2020. Il a fini de prévenir les personnes en question le 17 juillet 2020.

Analyse

Enjeu : Est-ce que MGM avait l’obligation de déclarer l’atteinte au Commissariat et d’aviser les Canadiens touchés? Dans l’affirmative, est-ce que MGM a rempli son obligation le plus rapidement possible?

  1. Afin que le commissaire à la protection de la vie privée du Canada et toutes les personnes touchées soient au courant des atteintes à la sécurité des données qui présentent un risque réel de préjudice grave et qu’ils reçoivent des renseignements uniformes à ce propos, l’article 10.1 de la LPRPDE prévoit une déclaration obligatoire des atteintes pour les organisations qui sont victimes d’une atteinte à la sécurité des données (dans la LPRPDE, il s’agit « d’atteintes aux mesures de sécurité »)Note de bas de page 7.
  2. Lorsqu’une organisation est victime d’une atteinte à ses mesures de sécurité, elle doit évaluer si cette atteinte pose un risque réel de préjudice grave (RRPG) à l’endroit des personnes touchées. S’il est raisonnable de croire que l’atteinte présente un RRPG pour une personne dans les circonstances, l’organisation doit déclarer cette atteinte au commissaire à la vie privée conformément à la LPRPDENote de bas de page 8. De plus, l’organisation doit aviser toutes les personnes touchées au sujet de l’atteinte, à moins que la loi ne l’interdise, pour leur permettre de prendre des mesures, s’il y a lieu, en vue de réduire ou d’atténuer le risque de préjudice qui pourrait découler de l’atteinteNote de bas de page 9. Dans les deux cas, l’organisation doit déclarer l’atteinte le plus tôt possibleNote de bas de page 10.
  3. À la lumière de ce qui précède, notre analyse visait à déterminer si l’atteinte à la sécurité des données de MGM en 2019 a satisfait le critère de déclaration quant au RRPG et si MGM a signalé l’atteinte au Commissariat et avisé les Canadiens touchés le plus tôt possible.

Enjeu secondaire 1 : Est-ce que l’atteinte à la vie privée de MGM a satisfait le critère de déclaration et d’avis quant au RRPG?

  1. Conformément au paragraphe 10.1(8) de la LPRPDE, l’évaluation du RRPG doit tenir compte du degré de sensibilité des renseignements personnels en cause et de la probabilité que les renseignements personnels aient été mal utilisés ou soient en train ou sur le point de l’être. Selon nous, comme nous l’expliquons ci-dessous, les renseignements en cause sont sensibles et la probabilité qu’ils sont mal utilisés dans le cas de l’atteinte est suffisamment élevée pour établir que l’atteinte satisfait le critère de déclaration quant au RRPG.
Degré de sensibilité des renseignements personnels
  1. Le premier facteur d’évaluation du RRPG dont il faut tenir compte est le degré de sensibilité des renseignements personnels en cause. Bien que la LPRPDE ne donne pas la définition du terme « sensibilité », le principe 4.3.4 de la LPRPDE indique que « [s]i certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte ». Dans ce cas, nous avons déterminé que les renseignements personnels en cause sont sensibles.
  2. En réponse à la demande d’information du Commissariat concernant l’évaluation des risques, MGM a indiqué qu’il n’y avait aucun RRPG pour les résidents canadiens touchés étant donné l’état médiocre et désorganisé des données, la possibilité que les renseignements en cause soient expirés ou non valides et la nature non sensible des données (à l’exception des numéros de documents délivrés par le gouvernement) contenues dans les dossiers visés.
  3. Tout d’abord, les identifiants de documents délivrés par le gouvernement des 5 635 Canadiens touchés constituent des renseignements sensibles, car ils peuvent être très utiles dans le contexte de la fraude et du vol d’identité.
  4. Quant aux autres renseignements personnels en cause (noms, dates de naissance, numéros de téléphone, adresses électroniques et adresses personnelles complètes ou partielles), il ne s’agit pas nécessairement de données sensibles en soi. Toutefois, nous sommes d’avis que leur degré de sensibilité peut être plus élevé s’ils sont combinés à d’autres renseignements personnels ou si les circonstances d’une atteinte à la sécurité augmentent la possibilité que les renseignements soient utilisés d’une façon qui pourrait causer un préjudice à l’endroit des personnes touchées.
  5. Dans ce cas, la sensibilité des autres renseignements personnels est accrue lorsqu’ils sont associés à un identifiant d’un document délivré par le gouvernement. De plus, nous soulignons que les renseignements ont été mis en vente sur un forum de piratage à l’intention d’acteurs malveillants sur le Web clandestin, ce qui pourrait entraîner un mauvais usage des renseignements à des fins préjudiciables comme la fraude d’identité, les préjudices financiers et l’hameçonnageNote de bas de page 11.
  6. Par conséquent, nous concluons que les renseignements personnels des Canadiens ayant fait l’objet de l’atteinte sont sensibles.
Probabilité d’un mauvais usage
  1. Le deuxième facteur d’évaluation du RRPG dont il faut tenir compte est la probabilité que les renseignements personnels aient été mal utilisés ou soient en train ou sur le point de l’être. Dans cette situation, nous sommes d’avis que la probabilité d’un mauvais usage corrobore la conclusion que l’atteinte présente un RRPG pour les personnes touchées.
  2. Selon le document d’orientationNote de bas de page 12 du Commissariat, il est important de tenir compte de divers facteurs lorsqu’on évalue la probabilité d’un mauvais usage :
    1. Qui a eu accès aux renseignements personnels ou aurait pu y avoir accès?
    2. Depuis combien de temps les renseignements personnels ont-ils été exposés?
    3. L’intention malveillante a-t-elle été démontrée (p. ex. vol, piratage)?
    4. Le risque d’un mauvais usage est-il élevé en raison du nombre de renseignements personnels touchés par l’atteinte?
    5. Les renseignements ont-ils été exposés à des personnes ou à des entités inconnues, ou à un grand nombre de personnes (alors que certaines personnes pourraient utiliser ou partager les renseignements d’une façon qui pourrait causer un préjudice)?
    6. Un préjudice s’est-il matérialisé?
    7. Les renseignements personnels ont-ils été récupérés?
    8. Les renseignements personnels étaient-ils difficiles d’accès (p. ex. étaient-ils protégés par un chiffrement adéquat ou une anonymisation pertinente)?
  3. Dans cette situation, la tierce partie non autorisée a fait preuve d’une intention malveillante lorsqu’elle a piraté le serveur infonuagique externe de MGM, extrait des données sur les clients de MGM et tenté de réaliser un profit en mettant les données en vente sur un forum de piratage du Web clandestin. Ce faisant, les données ont été exposées à un certain nombre d’acteurs malveillants qui voulaient acheter les données et, tout probablement, mal les utiliser pour causer un préjudice (p. ex. la fraude d’identité ou l’hameçonnage, comme nous l’avons indiqué plus tôt).
  4. Nous soulignons également qu’une quantité considérable de renseignements personnels de millions de personnes ont été touchés par l’atteinte, ce qui augmente la valeur de ces renseignements et la probabilité d’un mauvais usage.
  5. En ce qui a trait à l’accessibilité des renseignements en cause, MGM a indiqué que le jeu de données était tellement en mauvais état qu’il serait très difficile pour quelqu’un qui ne connaît pas les systèmes sources ou qui n’a pas les compétences nécessaires en matière de reconstruction des données d’utiliser le jeu de données judicieusement. Selon MGM, il faut connaître ses systèmes sources pour comprendre les renseignements compromis.
  6. Cependant, d’après l’analyse technique d’un échantillon du jeu de données fourni par MGM, le Commissariat a conclu qu’un acteur malveillant pourrait, en peu de temps et sans trop d’effort, organiser les données d’une façon permettant de déterminer les renseignements personnels qui s’y trouvent. En effet, les analystes techniques du Commissariat ont réussi à le faire. Ainsi, nous avons conclu que les renseignements sont raisonnablement accessibles.
  7. Bien que MGM ait souligné qu’aucune preuve ne laissait penser qu’un préjudice s’était concrétisé pour les personnes touchées, il se peut que les données aient été mal utilisées d’une façon que MGM n’a pas encore détectée ou qu’elles puissent l’être à l’avenir. MGM a obtenu une copie du jeu de données en juillet 2019 et il était convenu que la mise en vente affichée en ligne soit supprimée. Toutefois, le jeu de données a été remis en vente sur le Web clandestin en février 2020.
  8. Compte tenu du degré de sensibilité des renseignements en question et du mauvais usage possible de ces renseignements par des acteurs malveillants, nous sommes d’avis que cette atteinte présentait un RRPG pour les Canadiens touchés et que MGM était tenu de signaler l’atteinte au Commissariat et d’aviser les Canadiens touchés.

Enjeu secondaire 2 : Est-ce que MGM a avisé le Commissariat et les Canadiens touchés le plus tôt possible?

  1. MGM indique que le 4 août 2019, après la reconstruction du jeu de données, il a été en mesure de cerner les renseignements précis contenus dans les dossiers touchés. Il a commencé à avertir certains organismes de protection de la vie privée et certains clients américains le 5 septembre 2019.
  2. Cependant, MGM a attendu au 28 février 2020 pour effectuer la reconstruction et l’analyse du jeu de données touché en lien avec les données des Canadiens. Le 3 juin 2020, il a signalé l’atteinte au Commissariat et il a commencé à aviser les Canadiens touchés, et ce, près de 11 mois après avoir appris l’existence de l’atteinte. MGM a confirmé qu’il a fini d’aviser les résidents canadiens touchés le 17 juillet 2020. Selon nous, MGM aurait facilement pu réagir plus tôt.
  3. Le Commissariat reconnaît qu’il peut s’écouler plusieurs semaines ou plusieurs mois pour mener une enquête à terme et confirmer l’ampleur de l’atteinte. Toutefois, dans cette situation, il est évident que MGM a mis trop de temps à analyser les données, à déterminer que 1,9 million de Canadiens ont été touchés et à effectuer son évaluation du RRPG. MGM a attendu près de six mois après avoir commencé à aviser les organismes de protection de la vie privée et les clients touchés aux États-Unis pour entamer son évaluation. Il l’a seulement entamée après que le Commissariat eut communiqué avec lui au sujet des reportages des médias liés à l’atteinte. Selon nous, MGM aurait dû commencer son analyse des données concernant les répercussions sur les Canadiens en même temps que son analyse liée aux clients américains.
  4. Si MGM avait commencé son analyse des données liées aux Canadiens immédiatement, comme il l’a fait dans le cas des Américains, il aurait pu terminer son analyse du RRPG plus tôt et avertir les Canadiens touchés bien avant juin ou juillet 2020. Ainsi, nous avons conclu que MGM a contrevenu à l’article 10.1 de la LPRPDE, car il n’a pas signalé l’atteinte de 2019 au Commissariat et il n’a pas avisé les Canadiens touchés le plus tôt possible.

Recommandations

  1. En réponse aux recommandations formulées par le Commissariat et dans le but de respecter les obligations aux termes de l’article 10.1 de la LPRPDE, MGM s’est engagé à apporter des modifications à son cadre d’intervention en cas d’atteinte à la vie privée d’ici le 30 juin 2022. Ainsi, lorsque MGM apprendra qu’il y a une atteinte mettant en cause les renseignements personnels de Canadiens :
    1. Il réalisera rapidement une évaluation pertinente en vue de déterminer si l’atteinte présente un RRPG, conformément au document d’orientation applicable du CommissariatNote de bas de page 13;
    2. S’il détermine que l’atteinte présente un RRPG, conformément à l’article 10.1 de la LPRPDE, il :
      1. remettra un rapport au Commissariat à la protection de la vie privée du Canada le plus tôt possible;
      2. avisera les personnes touchées par l’atteinte le plus tôt possible.
  2. Nous avons également recommandé, et MGM a accepté, de remettre un rapport et un élément de preuve documentaire connexe d’ici le 30 juin 2022 au Commissariat en vue de démontrer qu’il a honoré son engagement visant à modifier son cadre d’intervention en cas d’atteinte à la vie privée.

Conclusion

  1. Étant donné que MGM a maintenant signalé l’atteinte à la vie privée et avisé les Canadiens touchés et compte tenu des engagements de MGM susmentionnés, nous sommes d’avis que la question est fondée et conditionnellement résolue.
Date de modification :