Piratage du site de rencontres extraconjugales Ashley Madison

L’excuse typique « ce n’était pas moi » ne va pas fonctionner pour les membres de Ashley Madison, le site de rencontres s’étant fait dérober les dossiers personnels de 37 millions d’utilisateurs. Les hackers menacent de rendre public l’ensemble de la base de données si les propriétaires ne ferment pas deux de leurs sites de rencontres.

Le site populaire de rencontres « Ashley Madison », au slogan provocateur « La vie est courte. Prenez un amant. » (en anglais, « Life is short. Have an affair. »), et le site « Established Men », qui met en contact des hommes riches avec des femmes, appartiennent tous deux à l’entreprise Avid Life Media (ALM). Les hackers prétendent punir ALM pour ses pratiques malhonnêtes : d’après certaines sources, les utilisateurs doivent s’acquitter d’une somme de 19 dollars pour voir leurs profils complètement effacés, alors que l’entreprise conserve en réalité les données de ses clients.

Les hackers déclarent : « dans la plupart des cas, les utilisateurs paient par carte de crédit et, contrairement à ce qui est prévu, les informations sur leur transaction ne sont pas effacées. Or, elles comprennent notamment leur nom réel et leur adresse, ce qui constitue précisément les informations les plus importantes que les utilisateurs souhaitent voir effacées.
En se posant en défenseurs de la justice, les hackers exigent d’ALM qu’elle ferme définitivement ses deux sites Web, sous toutes les formes. Dans le cas contraire, les vrais noms et adresses de ses utilisateurs, ainsi que toutes les informations relatives à leurs fantasmes sexuels secrets, seront publiés sur Internet.

Cléments, les hackers permettent à l’entreprise de maintenir d’autres sites en ligne (en réalité, le seul autre site qui appartient à ALM est « Cougar Life », qui met en relation des femmes mûres avec des jeunes hommes). L’entreprise se défend en accusant les hackers de commettre un acte criminel.

#TDSBreakingNews Cheating website Ashley Madison hacked. Back to cheating the old-fashioned way: with wife's sister.

— The Daily Show (@TheDailyShow) July 20, 2015

KrebsOnSecurity rapporte que, pour prouver leur piratage, les hackers ont déjà publié en ligne certains échantillons des données qu’ils ont volées, mais qu’ALM est parvenue à les effacer rapidement. L’entreprise a confirmé le vol et a déclaré qu’il appartenait aux « meilleurs experts en investigation informatique et aux professionnels de la cybersécurité de déterminer l’origine, la nature et l’étendue de l’incident ».

Il est possible qu’une personne ayant un accès interne sur le réseau de l’entreprise soit impliquée (peut-être un ancien employé ou un contractuel). Une preuve indirecte de cette théorie serait le mot d’excuse envoyé par les hackers au directeur de la sécurité d’ALM : Nos excuses s’adressent uniquement à Mark Steele. Vous avez fait tout ce que vous pouviez, mais aucune de vos actions n’aurait pu nous arrêter ».

Dating site, Match are putting user data at risk with non-HTTPS login. Via @arstechnica – http://t.co/8ojiCWsxbL pic.twitter.com/3gmkxE7w83

— Kaspersky Lab (@kaspersky) April 21, 2015

Pour ALM, ce sont ses recettes énormes qui sont en jeu : selon les hackers, le service de suppression aurait, à lui seul, permis à l’entreprise d’empocher 1,7 million de dollars en 2014. Tout le projet d’Ashley Madison est estimé à 1 milliard de dollars.

D’un côté, l’entreprise ALM ne semble pas prête, pour le moment, à se plier aux exigences des hackers en fermant ses sites Web. De l’autre, la vie privée de 37 millions de personnes infidèles pèse dans la balance. En dehors des problèmes moraux et des possibles crises familiales engendrés par ce vol, les données pourraient être utilisées par d’autres cybercriminels pour des attaques d’hameçonnage ou de fraude bancaire.

Il n’est pas évident de savoir qui est à blâmer en premier : ALM, qui avait promis de protéger ses utilisateurs, ou bien les membres eux-mêmes des sites. Electronic Frontier Foundation rapporte que les sites de rencontres sont très dangereux du point de vue de la protection de la vie privée. Il y deux mois seulement, un autre site de rencontre avait été piraté, et les préférences sexuelles, les fantasmes et les secrets de 3,5 millions de personnes avaient été dévoilés.

6 heartbreaking #privacy and #security flops on major online dating sites – and what you can do about it. https://t.co/jrY3xXw8

— EFF (@EFF) February 10, 2012

En payant par carte de crédit pour des biens et des services intimes, vous partagez des informations sensibles avec le vendeur – et avec tout hacker suffisamment audacieux pour pirater le système du vendeur. Une fois que les données sont publiées en ligne, il n’y a plus rien à faire pour les retirer.

C’est pourquoi il faut absolument penser à des règles de sécurité de base :
– Utilisez des canaux de communications sécurisés,
– Payez en liquide si vous ne souhaitez pas voir vos données enregistrées et utilisées par des vendeurs peu scrupuleux,
– Créez-vous une autre messagerie électronique et un pseudonyme pour les sites de rencontres.

Dating in the digital age & staying safe online. http://t.co/FVE0ylNElM #onlinedating #onlinesecurity pic.twitter.com/PdNZZMIzuS

— Kaspersky Lab (@kaspersky) February 21, 2015

ALM affirme être sur le point d’identifier les hackers en cause. Malheureusement, l’enquête ne sera peut-être pas bouclée à temps pour protéger la vie privée de millions d’utilisateurs.