Les sites de rencontres, cibles privilégiées des piratages
Les sites de rencontre, cibles privilégiées des piratages
Par Damien Leloup
Les données de plus de 30 millions d’utilisateurs du site de rencontres extraconjugales Ashley Madison ont été mises en ligne à la suite d’un piratage.
La version coréenne du site de rencontre Ashley Madison. | Lee Jin-man / AP
Un groupe de pirates se faisant appeler « The Impact Team » a publié sur le Web les données personnelles de 33 millions de comptes du site Ashley Madison, spécialisé dans les rencontres extraconjugales. Le FBI a confirmé, mercredi 19 août, qu’il enquêtait sur ce piratage. Noms, préférences sexuelles, numéros tronqués de cartes de crédits, numéros de téléphone... La base de donnée comporte de nombreuses informations personnelles. Mais les pirates ont également publié plusieurs documents internes à l’entreprise, mémos stratégiques et mots de passe du réseau interne.
Par son ampleur et la confidentialité des informations - les fichiers publiés contiennent plusieurs milliers d’adresses courriel d’employés de l’armée américaine - où l’adultère est passible de sanctions, il s’agit de l’un des plus importants piratages de sites de rencontres de l’histoire. Mais le piratage dont a été victime Ashley Madison est aussi le dernier en date d’une longue série.
- Janvier 2011 : le site Plenty of Fish reconnaît avoir été piraté. Une faille de sécurité permettait d’accéder aux informations personnelles de 28 millions d’utilisateurs, dont des mots de passe stockés en clair, c’est-à-dire non chiffrés. Les informations ne furent pas mises en ligne.
- Juin 2012 : une liste de 1,5 million de mots de passe dérobés au site eHarmony apparaît sur le Web ; ils sont protégés par un chiffrement peu efficace.
- Janvier 2013 : 42 millions de mots de passe liés à des comptes sur le réseau de sites de rencontres Cupid Media sont publiés en clair.
- Janvier 2015 : Top Face, un service de rencontres russe, se fait dérober les adresses de 20 millions d’inscrits.
- Mai 2015 : les informations de 4 millions d’utilisateurs d’Adult Friend Finder sont mises en ligne, dont leurs préférences sexuelles.
Payer pour éviter une publication
La liste est longue – et on pourrait y ajouter des failles de sécurité ayant touché certains sites importants, comme Match, sans que l’on sache si elles ont été exploitées de manière malveillante avant d’être corrigées. Les sites de rencontres, et notamment ceux qui comptent un grand nombre d’utilisateurs, sont en effet des cibles privilégiées pour des pirates. Notamment parce que ce sont des entreprises qui ont un besoin impérieux d’avoir la confiance de leurs utilisateurs – elles sont donc a priori plus que d’autres prêtes à payer une rançon.
Au début de février, Top Face a reconnu avoir payé pour éviter une publication de sa base de données d’adresses électroniques. « Nous avons pu contacter le pirate qui avait publié une annonce offrant notre base de données à la vente. (…) Nous avons passé un accord pour qu’il s’engage à ne pas la diffuser. Etant donné qu’il n’avait transmis les données à personne et n’avait pas l’intention de le faire, nous avons décidé de ne pas porter plainte et de lui verser une prime pour avoir découvert une faille de sécurité », écrivait l’entreprise dans un communiqué.
Faire chanter des utilisateurs
Même lorsqu’elles ne contiennent pas d’informations aussi confidentielles que les préférences sexuelles ou les mots de passe, ces bases de données intéressent fortement les escrocs. D’une part parce qu’elles peuvent être utilisées pour envoyer du spam en grande quantité, mais également parce que de nombreux internautes utilisent un même mot de passe pour plusieurs services en ligne – en utilisant les données de ces listes, il est statistiquement facile de pirater des boîtes électroniques, par exemple, ce qui permet d’avoir accès à des comptes PayPal ou, dans certains cas, bancaires.
Par ailleurs, ces données fournissent une très bonne base pour tenter de faire chanter des utilisateurs, en particulier dans le cas d’un service spécialisé dans les aventures adultères. Une éventualité d’autant plus intéressante que les inscrits utilisent relativement souvent des adresses professionnelles, ce qui permet d’identifier aisément des cibles de valeur. Les premières analyses faites sur la base de données volée à Ashley Madison montrent que de très nombreuses adresses sont liées à des ministères, des grandes sociétés, l’armée : 15 000 adresses correspondent à des boîtes électroniques de l’armée et des administrations américaines.
Pourquoi des utilisateurs se servent-ils d’adresses professionnelles, y compris lorsqu’ils travaillent à des postes à risque, sur des sites dont la fréquentation peut les rendre vulnérables à des tentatives de chantage ou d’escroquerie ? « Le raisonnement est souvent qu’il est moins risqué d’utiliser une adresse professionnelle qu’une adresse personnelle lorsqu’on veut cacher des choses à son conjoint », estime Damien Damuseau, de l’entreprise de sécurité informatique Cybel Angel, qui travaille notamment au repérage de publications d’informations personnelles en ligne. « Et d’autre part les utilisateurs n’imaginent souvent pas qu’un grand site comme Ashley Madison puisse faire l’objet d’un piratage d’ampleur. »