scandale

Le piratage d’Ashley Madison fracasse la sphère privée sur le web

Les révélations se multiplient après le piratage du site de rencontre adultère. Les hackers ont mis en évidence les pratiques douteuses d’Ashley Madison. Désormais, plus aucun site n’est sûr

Ashley Madison, le choc mondial

Scandale Les révélations se multiplient après le piratage du site de rencontres adultères

Les hackers ont mis en évidence les pratiques douteuses d’Ashley Madison

Désormais, plus aucun site n’est sûr

Josh Duggar est l’homme qui a reçu le traitement le plus brutal. Ultraconservateur, défenseur des valeurs familiales et ex-star de la téléréalité américaine, l’homme a eu droit à une mise à nu intégrale de la part du site Gawker. Il s’est créé deux comptes sur le site de rencontres adultères AshleyMadison.com pour lesquels il a payé au total 986,76 dollars. Il cherchait notamment à «expérimenter», «donner et recevoir du sexe oral» et «prendre un bain de mousse à deux». Ses conquêtes devaient avoir «des seins naturels» et «de l’imagination». Pour son second compte, Josh Duggar a payé un forfait de 250 dollars, donnant droit à 1000 crédits sur le site, lui assurant d’être remboursé s’il n’avait pu avoir une aventure dans les trois mois.

Ces dernières heures, un déballage planétaire a débuté avec l’exploitation de la base de données d’AshleyMadison.com. Les pirates se cachant derrière le pseudo The Impact Team ont mis leur menace à exécution. Ils ont publié, via le réseau décentralisé BitTorrent, plus de 10 Go de données compressées – un volume colossal – sur plus de 32 millions d’utilisateurs du site de rencontres. Un temps désireux d’attaquer en justice ceux qui publiaient ces informations, les dirigeants du site ont vite abandonné. Depuis se multiplient les sites proposant une partie du listing. Certains permettent d’interroger directement la base de données en effectuant des recherches via des adresses e-mail.

Et les noms tombent. Des employés de l’administration vaudoise, des services de l’Etat français, du Vatican ou des Nations unies… Aux Etats-Unis, plus de 15 000 militaires et employés fédéraux seraient concernés. Un scan des fichiers sera fait par les autorités: l’adultère étant incompatible avec certaines fonctions, des sanctions pourraient être prises. Le fichier volé contient aussi des milliers d’adresses en. sa: l’adultère est un crime en Arabie saoudite et les personnes démasquées vivent depuis dans la crainte.

Toutes ces personnes se sont inscrites sur Ashley Madison avec une adresse e-mail comportant… leur vrai nom. Et il s’agit souvent de leur adresse professionnelle. Pourquoi ont-elles agi ainsi? «C’est un mélange de naïveté et de paresse qui ne me surprend pas: pour éviter la multiplication des mots de passe, certains internautes ont utilisé leur adresse professionnelle, qui leur assurait aussi, a tort, un sentiment d’impunité», analyse Michel Jaccard, associé de l’étude id est avocats à Lausanne et spécialisé dans les nouvelles technologies. Le comportement des internautes va-t-il évoluer? «Je ne suis pas certain, relève Dominique Vidal, fondateur de la société romande SecuLabs. Ceux qui auront été touchés seront bien sûr plus prudents et créeront des adresses e-mail avec pseudo pour ce genre de sites. Mais la majorité des internautes ne changera rien et tout risque d’être oublié d’ici deux semaines. Et n’oublions pas que les données de cartes de crédit ne peuvent, elles, de toute façon pas être fournies de manière anonyme.»

Il y a les victimes. Et il y a le bras de fer entre The Impact Team et la direction d’Ashley Madison. Les premiers se sont drapés d’un étendard éthique, affirmant que «ces pourritures d’infidèles ne méritent pas notre discrétion». Ils ont aussi fustigé le site Establishedmen.com, qui met en relation des hommes mûrs fortunés avec des jeunes femmes – site qui appartient à l’éditeur d’Ashley Madison. The Impact Team a aussi mis le doigt sur un point très précis: le site de rencontres adultères demandait 19 dollars pour effacer définitivement un profil. Or, il n’a apparemment jamais tenu cette promesse. Rien qu’en 2014, 90 000 internautes auraient versé 1,7 million de dollars au site pour faire disparaître leurs traces. En vain. «Cette promesse non tenue est extrêmement choquante et je ne serais pas étonné que, rapidement, des «class actions» soient lancées contre la société, qui risque de se retrouver en grande difficulté financière», affirme Michel Jaccard. Vendredi, une plainte collective a été lancée au Canada contre Avid Life Media, propriétaire d’Ashley Madison, au nom de tous les utilisateurs canadiens dont les données ont été publiées. Les plaignants réclament l’équivalent de 509 millions d’euros.

De manière plus générale se pose la question de la confiance des internautes dans les sites de rencontres. Car Ashley Madison n’est pas une première. En mai, les préférences sexuelles de 4 millions d’utilisateurs d’AdultFriendFinder ont été mises en ligne. Deux ans plus tôt, 42 millions de mots de passe de comptes sur le réseau de sites Cupid Media sont publiés. Et plus récemment, le site russe de rencontres Topface se fait voler les données de 20 millions d’utilisateurs – il aurait ensuite apparemment payé pour qu’elles ne soient pas publiées.

Tinder, Match.com ou Swissfriends seront-ils les prochaines victimes? Dominique Vidal se veut optimiste: «Bien sûr, les pirates exploitent absolument toutes les failles, ils scrutent les sites pour passer à l’attaque dès que possible, parfois en se basant sur les données de sites tiers, moins protégés. Mais je pense que le cas Ashley Madison va inciter les responsables de sites à mieux les protéger. Sinon, le risque de disparaître est important.» Pour Michel Jaccard, il devient difficile pour les sites de rencontres d’assurer une sécurité totale: «Il y a les failles techniques. Mais il y a aussi la façon de communiquer avec ses clients. Ashley Madison aurait pu immédiatement s’excuser auprès de ses membres, qui auraient dû être leur priorité, au lieu, me semble-t-il, d’espérer peut-être la non-diffusion des données par les pirates, ce qui était illusoire vu la masse de données volées et le dommage potentiel.»

Noel Biderman, le directeur général d’Avid Life Media, n’a pas encore présenté d’excuses. Et même certains de ses e-mails ont été rendus publics par les pirates.

«La promesse d’effacer les comptes, non tenue par Ashley Madison, est extrêmement choquante»

Publicité