Piratage de la base de données d’un concours en ligne

Résumé d’incident n^o 9

Incident

Dans le cadre d’un concours en ligne organisé par une entreprise commerciale à l’intention de la population canadienne, les participants devaient fournir certains renseignements personnels, à savoir leurs nom, adresse, date de naissance et sexe, le nombre d’enfants, leur adresse de courriel et un mot de passe pour le concours (mais aucun renseignement financier). L’information était stockée dans une base de données hébergée par un fournisseur de services tiers.

Peu après que l’entreprise eut constaté une activité anormale dans la base de données, le point d’entrée que l’on soupçonnait les pirates d’avoir utilisé pour avoir accès à la base de données a été fermé. Le problème technique a été réglé, et l’entreprise a ensuite signalé l’incident aux forces de l’ordre de même qu’aux commissaires à la protection de la vie privée chargés de la surveillance dans le secteur privé. Une fois les soupçons initiaux confirmés, l’entreprise commerciale en cause a retenu les services d’un enquêteur en informatique judiciaire indépendant, qui a déterminé que la base de données avait effectivement été piratée. L’entreprise a alors fait parvenir un avis officiel aux quelque 70 000 personnes touchées. Au cours de ses discussions avec le Commissariat, l’entreprise a expliqué que l’incident était le résultat de failles de sécurité de la part du fournisseur de services tiers hébergeant la base de données.

Résultat

Après avoir informé le Commissariat de l’incident et amorcé des discussions avec lui, l’entreprise a apporté plusieurs modifications à ses pratiques afin d’éviter que la situation se reproduise. En l’occurrence, elle a :

• indiqué qu’elle ne recueillerait plus la date de naissance des clients à des fins de marketing;
• adopté une nouvelle politique en vertu de laquelle elle consultera son service juridique avant de lancer toute initiative en ligne faisant appel à un tiers et qui prévoira un examen détaillé et l’élaboration d’un rapport en collaboration avec l’équipe de sécurité avant l’approbation ou le refus d’une initiative proposée;
• prévu l’application de sanctions rigoureuses (pouvant aller jusqu’au congédiement) en cas de non-conformité à la politique;
• défini l’expression « renseignement sensible » dans sa politique en précisant que la date de naissance d’une personne constitue un renseignement sensible;
• organisé une séance de formation sur la protection de la vie privée obligatoire pour tous les employés de l’équipe de marketing.

Observation finale

Le Commissariat est satisfait des mesures prises par l’entreprise par suite de l’atteinte à la sécurité des données ainsi que du nombre de mesures de sécurité mises en œuvre à l’échelle de l’entreprise pour éviter que la situation ne se reproduise. Il s’agit en grande partie d’un résultat direct de l’intervention du Commissariat.