AshleyMadison.com : volage rime avec piratage

RisquesSécurité
ashley-madison-volage-piratage

AshleyMadison.com (rencontres extraconjugales) a été piraté : les données de 37 millions de membres ont été aspirées.

La sécurité IT sur les sites de rencontres constitue un sujet sensible au regard des risques de cyber-attaques.

Ces services populaires sur Internet pour flirter ou rencontrer l’amour de sa vie hébergent des viviers de données confidentielles (personnelles et bancaires) que les pirates peuvent monnayer en cas de vols.

Les internautes exigent légitimement une « discrétion » en fréquentant ces plateformes communautaires. Mais ce n’est pas évident au regard des turpitudes rencontrées par le site AshleyMadison.com (« rencontres extraconjugales discrètes ») du groupe canadien Avid Life Media.

Un groupe pirate baptisé The Impact Team menace de dévoiler les données personnelles, les frasques et les fantasmes des 37,7 millions de membres de « la plateforme la plus célèbre dans le domaine de l’infidélité et des rencontres pour personnes mariées » (46 pays couverts dont la France).

Mais il pourrait aller au-delà selon les informations publiées sur le blog de sécurité KrebsOnSecurity : les pirates pourraient publier des éléments financiers de la société visée, du code source et des échanges d’e-mails.

Le kit complet pour déstabiliser le business du dating d’ALM.

« Nous avons récemment été victimes d’une tentative d’intrusion dans nos systèmes par un tiers non autorisé », admet Avid Life Media par voie de communiqué.

« Nous nous excusons pour cette intrusion injustifiée et criminelle dans les données de nos clients. »

Tout en poursuivant : « La confidentialité des informations concernant nos utilisateurs a toujours été notre plus grande priorité, pour cela nous avons mis en place des mesures de sécurité rigoureuses, notamment à travers la collaboration avec les fournisseurs de services informatiques leaders dans le monde. »

Parmi les prestataires de sécurité IT sollicités, ALM cite Joel Eriksson, CTO de Cycura du nom d’une société installée à Toronto qui traite divers aspect : prévention et détection des attaques et réactions vis-à-vis des cyber-attaques.

Parallèlement, une enquête policière a été ouverte.

ALM assure que son panel de sites Internet qui explorent des segments du marché de la rencontre en ligne (AshleyMadison.com, CougarLife.com et EstablishedMen.com) a été « sécurisé » et « les points d’accès non autorisés ont été autorisés ».

Vengeance, hacktivisme ou cyber-chanteurs

Quelles sont les motivations des assaillants ?

L’argent n’apparaît pas la première revendication de The Impact Team. Mais on ignore en fait si cette affaire cache ou non une demande de rançons pour éviter la propagation des données sur Internet. Mais le groupe pirate a déjà fourni un premier échantillon qui prouve qu’il ne plaisante pas.

Selon les éléments recueillis par KrebsOnSecurity, The Impact Team a dénoncé le comportement volage des hommes mariés « qui regardent ailleurs » (qualifiés de « salauds » par les pirates) sur AshleyMadison.com et EstablishedMen.com (CougarLife.com est exclu) et les pratiques commerciales présumées trompeuses.

AshleyMadison.com ne respecterait pas ses engagements d’effacer complètement les données personnelles de ses membres à leurs demandes.

Pourtant, cette suppression complète des données confidentielles (profils, photos, échanges avec les autres membres…) fait l’objet d’une prestation payante spécifique facturée 19 dollars sur le site Internet qui favorise les rencontres extraconjugales, à côté du traditionnel abonnement premium.

Sur ce dernier point, ALM se défend : « Contrairement à ce que rapportent les médias dans l’actualité, et sur la base des accusations mises en ligne par un cybercriminel, l’option ‘payer pour supprimer le profil’ proposée par AshleyMadison.com efface bien toute information concernant le profil d’un membre et son activité. »

Tout en poursuivant : « Le processus consiste en une élimination minutieuse du profil de l’utilisateur ayant effectué cette requête, et inclut la suppression des images publiées et de tous les messages envoyés à d’autres utilisateurs dans la boîte de réception. Cette option a été développée suite à la demande spécifique des membres et conçue sur la base de leurs retours. »

Selon Reuters, cette option payante a été désactivée après le cyber-assaut. Tout membre peut désormais exiger par défaut la disparition globale de ses traces sur le site de rencontres.

ITespresso.fr a demandé des précisions par e-mail sur les motifs des pirates et le contexte de la cyber-attaque. Mais le service de communication d’ALM nous renvoie à leurs messages officiels sans apporter de détails supplémentaires.

Néanmoins, KrebsOnSecurity cite Noel Biderman, CEO d’Avid Media Life, quo déclare que cette attaque ne provient pas de l’un de ses employés mais qu’elle a probablement visé les services techniques du groupe.

Cette affaire Ashley Madison survient après le vol massif de données sur le site de rencontres « hot » AdultFriendFinder.com (réseau FriendFinder Networks, basé en Califonrine) qui a été détecté fin mai et qui a affecté 64 millions de membres dans le monde.

En règle générale, les acteurs de la rencontre en ligne sont discrets sur les mesures de sécurité IT mises en place pour protéger les données personnelles de leurs membres.

En avril 2013, un bug avait été signalé sur le site français de rencontres AdopteUnMec.com. Il donnait l’accès public à des milliers de profils privés via Google mais la brèche a été colmatée rapidement.

Mais, au regard du dynamisme du marché de la rencontre (2000 sites en France) avec des services bien installés sur le marché comme Meetic mais aussi des challengers qui parient sur la mobilité comme Tinder ou Happn, les internautes qui flirtent sans complexe ont intérêt à scruter la manière dont les données personnelles sont exploitées et protégées en lisant scrupuleusement les CGU.

(Crédit photo : Shutterstock.com – Droit d’auteur : Borja Andreu)

 

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur