En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de nos cookies afin de vous offrir une meilleure utilisation de ce site internet. Pour en savoir plus et paramétrer vos cookies, cliquez ici.

Des hackers dévoilent 37 millions de profils d'un site d'adultère

Les données personnelles de 37 millions d'utilisateurs du site Ashley Madison, un site de rencontres extra-conjugales, ont été dévoilées par des hackers. Oups.

hackers

Dans le monde feutré des avocats spécialisés dans le divorce, ce 19 juillet 2015 devrait rester dans les mémoires comme un Noël avant l'heure. Cette nuit, l'équipe de hackers Active Team, qui avait annoncé avoir piraté, le 20 juillet dernier, le site de rencontres extra-conjugales canadien Ashley Madison (au slogan particulièrement épicurien "La vie est courte. Tentez l'aventure"), vient de dévoiler les informations personnelles des 37 millions d'utilisateurs du site.

Ces 10 GB de données (désormais disponibles sur les plateformes de torrent classiques) qui contiennent les adresses, coordonnées physiques, historiques de transactions bancaires et adresses IP des clients, étaient jusqu'alors utilisés comme moyen de chantage par l'équipe de hackers. Le mois dernier, Active Team lançait  un ultimatum bravache à Avid Life Media (ALM), la société derrière Ashley Madison, pour que le site, ainsi que les services similaires Established Men et Cougar Life soient mis hors ligne. "Dommage pour ces types, qui sont des ordures infidèles et ne méritent pas cet anonymat", déclaraient alors les hackers. "Dommage pour ALM, vous aviez promis du secret mais vous n'avez pas pu tenir vos promesses."

Quelques jours après avoir admis le piratage, ALM proposait à ses membres une suppression complète et gratuite de leur profil. Une option "Full Delete", jusqu'alors facturée 19$, qui aurait permis à la société, selon Active Team, d'engranger 1,7 millions de dollars... tout en étant parfaitement inefficace.

Les hackers écrivaient alors :

Les clients payent systématiquement par carte de crédit, et ces informations ne sont pas effacées comme promis, et incluent le nom et l'adresse du payeur, ce qui est évidemment l'information la plus importante à faire disparaître.

Banquiers, fonctionnaires anglais et...Tony Blair?

Les données, mises en ligne via le réseau parallèle Tor, se sont rapidement propagées sur les plateformes de chat 4Chan et 8Chan avant d'arriver aux oreilles de Twitter, de s'installer confortablement en tête des sujets les plus discutés et d'être finalement vérifiées par Ars Technica. Après avoir digéré l'événement et vérifié (autant que faire se puisse) la légitimité de cette information, les différentes communautés d'Internet se sont attaquées à l'analyse des montagnes de données fournies par Active Team.

Et très vite, des résultats surprenants sont apparus. Des listes d'adresses email, triées par nom de domaine, révèlent qu'un nombre conséquent d'utilisateurs d'Ashley Madison se connecte au site en utilisant... son adresse professionnelle. Logique, quelque part, car s'il y a bien un endroit où bobonne/bobon ne peut pas fureter, c'est bien au boulot.

Et c'est là que débute, sur Twitter ou 4Chan, l'infâme ruée vers l'identification des utilisateurs : des employés de CNN, de Bank of America, JP Morgan, Harvard, Yale, Amazon et des Nations Unies sont rapidement reconnus en liant l'adresse mail et les profils LinkedIn, accompagnés des commentaires habituels. Un embryon de moteur de recherche apparaît, rapidement saturé par les requêtes (entrer le nom de son conjoint dans la barre de recherche, suer avant de cliquer). Mais la liste d'adresses la plus reprise est sans doute celle liée à la fonction publique britannique (du moins pour le moment, les fonctionnaires américains et néo-zélandais faisant aussi leur apparition).

Selon les images partagées sur 4Chan, plusieurs milliers d'adresses enregistrées dans les serveurs d'Ashley Madison se termineraient par ".gov.uk". Pompiers, policiers, gardiens de prison ou profs, les fonctionnaires britanniques semblent partager un appétit commun pour les plaisirs défendus de l'adultère. Alors qu'on croit avoir fait le tour de la question, une nouvelle information émerge : une adresse mail avance le nom de... Tony Blair, l'ancien Premier ministre anglais. Hilarité générale... et information capitale pour établir la pertinence de ces données.

Devenez qui vous voulez

Il semble évidemment peu probable que Tony Blair, marié depuis 1980 à la très britannique Cherie, se soit aventuré, yolo, sur un site de rencontres public, dans le souci tout politique de pénétrer l'intimité de ses concitoyens. Ces listes d'adresses mail sont donc à prendre entre le pouce et l'index, avec toute la circonspection qui s'impose, car sur Ashley Madison, tout le monde n'est pas utilisateur "vérifié".

Les pseudos sont légion, et si vous souhaitez vous inscrire sur le site en vous faisant passer pour Obama, fausse adresse courriel à l'appui, rien ne vous en empêche. Pour preuve, de nombreuses adresses sont présentes en doublon, itérations d'un même utilisateur ayant peut-être tendance à oublier ses identifiants.

Quid, alors, des données bancaires ? La liste, que nous avons pu consulter, est effrayante : des tableaux Excel, un par journée de transactions, qui courent du 21 mars 2008 au 21 juin 2015. Sept ans d'intimité, fragmentés en colonnes vertigineuses qui exposent coordonnées bancaires et postales indistinctes.

Une liste qui pourrait tout aussi bien s'avérer fausse. Selon l'excellent blog Krebson Security, qui a pu s'entretenir avec Raja Bhatia, directeur technique d'Ashley Madison, le site "ne stocke pas ces informations, mais uniquement des identifiants de transaction." Idem pour les listes d'adresses email, selon l'employé. Parole contre parole.

Le nouvel Internet se fout du droit au secret

Fausse ou pas, cette fuite et ses conséquences (en premier lieu desquelles la brutale prise de conscience collective) est et restera un précédent. Une frontière. Comme de nombreux sites américains le soulignent, c'est la première fois de l'histoire d'Internet que l'on assiste à la divulgation à grande échelles d'informations "sensibles" qui menacent directement monsieur-tout-le-monde et ses inoffensifs petits secrets (le hack d'Adult Friend Finder en mai dernier, toujours en cours, ne tient pas la comparaison d'échelle).

Une arme, jusqu'à présent pointée sur les seules tempes bien entourées des personnages publics (Celebgate) et des décideurs (Sony Leak, Cable Leaks), qui se met soudainement à tirer dans le tas. Et si nous regardions alors, comme un feu d'artifice, les effets collatéraux des précédentes fuites sur des élites trop haut perchées pour que l'on en distingue nettement les détails, cette fois-ci, si les fuites sont avérées, tout risque de se passer à hauteur de voisin, de collègue. À hauteur de regard. Divorces. Thérapies de couple. Suicides. Des centaines de cataclysmes microscopiques dans des foyers sagement malhonnêtes.  En d'autres termes, c'est la fin de la récré.

D'aucuns, sur les réseaux sociaux, n'hésitent pas à parler de justice à l'encontre des vilains pécheurs. Les apôtres de la transparence jubilent. Les avocats du secret s'étranglent. D'autres, dans un coin, voient enfin ça comme une bonne occasion de se faire un peu de pognon. Chacun pour soi. Si vous venez de vous lever, bienvenue dans le premier jour du reste de votre vie privée.

Science, tech, culture numérique et galéjades. Internet est mon église.