Les créateurs du site Ashley Madison devront maintenant se défendre en cour. Deux firmes d’avocats ontariennes ont conjointement déposé un recours collectif de 760 millions de dollars au nom de tous les Canadiens dont les renseignements personnels ont été dévoilés. Le plaignant est un citoyen d’Ottawa, Eliot Shore, veuf et handicapé. Il dit s’être inscrit au site après le décès de sa femme, morte d’un cancer du sein après 30 ans de vie commune, et n’y avoir jamais rencontré personne. Par ailleurs, le groupe de pirates informatiques qui a publié les données de millions d'utilisateurs d'Ashley Madison a comparé, hier, le site de rencontres extraconjugales à un « trafiquant de drogue qui abuse des accros », tout en menaçant de mener de nouvelles attaques.

— Jean-François Codère, La Presse

UN SITE PEUT-IL ÊTRE 100 % SÉCURITAIRE ?

Tous les experts consultés par La Presse sont formels : c’est impossible. « En sécurité, le 100 % n’existe pas, rappelle José Fernandez, professeur à Polytechnique Montréal. Cela dit, il y a du 99 %, du 90 %, du 50 % et du 10 %. » Même en se projetant dans l’avenir, il est difficile d’imaginer la perfection.

« Il y a toujours une motivation pour des pirates d’avoir accès à vos informations, estime Marc-André Léger, professeur à l’Université de Sherbrooke. Plus on sécurise, plus des gens se concentrent à trouver des façons de contourner. C’est le jeu du chat et de la souris. »

EST-CE QUE L’ENTREPRISE TORONTOISE AVID LIFE MEDIA AVAIT TOUT FAIT POUR PROTÉGER SON SITE ASHLEY MADISON ?

Les détails précis manquent quant à la façon dont les pirates s’y sont pris, mais il y avait clairement des lacunes évidentes dans les méthodes de l’entreprise, relève Éric Parent, fondateur de Logicnet et EVA-Technologies, qui a longuement critiqué l’entreprise dans quelques billets de blogue.

« Ils n’ont pas cessé de lancer des absurdités comme dire qu’ils avaient embauché les meilleurs ou qu’ils allaient retirer les données d’internet », dit-il. La simple nature des données exposées démontre, à son avis, une forme d’incompétence en ce sens que « tous les morceaux se trouvaient au même endroit ».

DE FAÇON GÉNÉRALE, LES LACUNES SONT-ELLES DUES À LA COMPLEXITÉ OU AUX COÛTS ?

Offrir un niveau de sécurité décent n’est pas cher, arguent les experts. « C’est plus cher, mais ce n’est pas cher », fait valoir M. Fernandez, selon qui le problème vient d’un manque d’incitatif, positif ou négatif. « Personne ne va vous emmener en prison si votre site n’est pas sécuritaire, déplore-t-il. Au pire, on a une crise de communications sur les bras, on embauche une firme de communications et ça passe. Il peut y avoir un soubresaut en Bourse mais même là, ça finit par rebondir. Il suffit de regarder Target. »

Les consommateurs ont aussi leurs torts, selon M. Fernandez. « La sécurité ne vend pas, les consommateurs ne sont pas prêts à payer pour. Ils sont habitués à la gratuité. Et quand on ne paie pas, on ne peut pas voter avec notre portefeuille. »

COMMENT UNE ENTREPRISE DÉTERMINE-T-ELLE LE NIVEAU DE SÉCURITÉ DONT ELLE DOIT FAIRE PREUVE ?

« En théorie, il faut faire une analyse de risque, voir ce que l’on est prêt à tolérer, enseigne Marc-André Léger à ses étudiants. C’est un peu comme un individu qui doit assurer sa maison ou son auto et doit déterminer le risque qu’il est prêt à prendre, en fonction de son budget.

« Mais en pratique, très peu d’entreprises le font. Elles essaient toujours d’en faire le moins possible pour un minimum d’exposition. Les banques mettent beaucoup d’argent dans la sécurité parce que, pour elles, le risque est facilement quantifiable. »

QUELLES MESURES SUPPLÉMENTAIRES LES BANQUES PRENNENT-ELLES ?

L’utilisation du cryptage des données, entre autres, est beaucoup plus répandue chez les banques. Pour le spécialiste en cryptage Claude Crépeau, de l’Université McGill, il « n’aurait pas été épouvantablement compliqué » pour Avid Life Media de crypter les bases de données contenant les données de ses clients. 

« On tient pour acquis que les gens ne vont pas se rendre aux données, déplore-t-il. Là, une fois rendu, tout est en clair. » Il est même théoriquement possible d’obtenir une sécurité à 100 % avec des données cryptées, croit-il.

« Possible, mais très impraticable. Il faut une information secrète aussi importante que l’information qu’elle protège. »

Autrement dit, pour protéger une base de données d’environ 3 gigaoctets comme celle d’Ashley Madison, il aurait fallu un mot de passe de 3 gigaoctets, soit plusieurs milliards de caractères…

SI LA SÉCURITÉ COMPLÈTE EST IMPOSSIBLE, DOIT-ON CONTINUER À ENVOYER DES DONNÉES SUR L’INTERNET ?

Certes, on peut décider de vivre en ermite et d’éviter l’internet, mais ce n’est pas très réaliste, conviennent les experts. « Les transactions bancaires et par cartes de crédit sont un risque qu’on ne peut plus refuser », estime M. Fernandez. Pour Claude Crépeau, « si on est prêt à vivre avec le risque, parce que la fuite ne serait pas grave ou parce que la banque garantit notre transaction, par exemple, il n’y a pas de problème ».

« Mais je ne donnerais pas mon nom et mon adresse à un site où il y a des activités auxquelles je ne voudrais pas que les gens sachent que je participe. »