Ashley Madison est un site canadien avec une structure similaire à un réseau social qui met en relation des personnes à la recherche d'aventures extraconjugales, d'aventures secrètes avec des partenaires autres que les habituels ou tout simplement de nouvelles rencontres. Le service est payant et pour vous inscrire vous devez fournir plusieurs les données personnelles, tels que le nom, le prénom, la date de naissance, la nationalité, la taille, le poids, la couleur des yeux et des cheveux et l'adresse e-mail.
Pour activer certaines fonctions du site, les clients peuvent acheter, en utilisant des méthodes de paiement qui incluent le carte de crédit, une série de packages d'adhésion auto-renouvelables permettant d'interagir avec d'autres utilisateurs. A ce stade, chaque compte actif peut être rattaché à un compte bancaire et donc à un identité précise.
Eh bien, toutes ces données, ainsi que toutes les références utiles pour faire une collection ordonnée, ont été rendue publique sur Internet fin juillet. Il y a donc la possibilité de connaître tous les noms et prénoms de ceux qui, pour le plaisir ou par réelle intention de trahir, ont utilisé – et il est aussi possible de savoir comment – les services du site Ashley Madison.
La violation, qui a poussé le PDG à démissionner Noël Biderman, a été revendiqué par un groupe de hackers se faisant appeler "Équipe Impact“. Le motif ? Le site, selon les responsables de la cyberattaque, n'avait pas un nombre équilibré d'« utilisatrices » actives par rapport à celui d'utilisateurs masculins.
Laissant de côté les aspects juridiques, les terribles conséquences – deux Américains et un Canadien se sont suicidés en raison de l'embarras d'avoir à expliquer la présence de leurs noms sur la liste à leurs partenaires – et le côté grotesque de l'histoire, certaines conclusions peuvent certainement tirer des enseignements concernant la gestion de la sécurité des données sur Internet, mais aussi - et malheureusement - du bon sens.
Tout d'abord, le "Trusted Security Award" qui s'affiche sur la page d'accueil du site d'Ashley Madison, ainsi que l'icône du cadenas "SSL Secure Site" montrent que les normes de sécurité ne sont pas du tout suffisantes pour faire dormir paisiblement les livreurs dans entre les mains d'autrui ces informations sensibles et personnelles.
Le fait qu'environ 15.000 XNUMX adresses e-mail utilisées pour l'inscription aient se terminant par ".gov" ou ".mil", en dit long sur la facilité adoptée par l'utilisateur moyen dans l'utilisation des outils informatiques mis à disposition dans son environnement de travail, à des fins personnelles.
Les mots de passe n'étaient pas stockés en texte clair, mais via le système bcrypt. Cependant, même cette protection semble avoir ses jours comptés. De nombreux dirigeants d'Ashley Madison avaient des comptes sur le site et utilisaient les services qu'ils fournissaient. Et ils ont été les premiers à violer le plus règles élémentaires de gestion de la sécurité des autres et de leurs propres données. Dans leurs archives se trouvaient les historiens de sept années de transactions par carte de crédit et les mots de passe d'autres systèmes de paiement tels que PayPal, qui semblaient avoir les connotations typiques d'une mauvaise fiabilité : mots courts, répétés et faciles à deviner.
Sans oublier qui a même utilisé le service de messagerie de Facebook, qui relie sans équivoque l'identité de la personne au compte sur Ashley Madison, pour s'inscrire sur le site.
Il y a une opération que, désormais, de nombreux utilisateurs occasionnels du site de rencontre font sans se rendre compte qu'ils risquent d'aggraver la situation : rechercher son nom, son compte, son email, dans les différents des sites qui ont poussé comme des champignons, pour voir si elle fait partie de celles diffusées sur Internet. Aussi simple et rapide que de faire une recherche sur Google, sans avoir à aller télécharger la totalité des données, mais le risque est que ces base de données pouvez recueillir et révéler précisément cette information confidentielle dont on craint qu'elle ait été divulguée, mais qui n'a pas encore été divulguée ou qui en attend une simple confirmation...
L'un de ces outils, par exemple, envoie des e-mails aux personnes dont l'adresse a été recherchée par quelqu'un dans le moteur de recherche, puis offrir des conseils sur la façon d'agir ou comment en savoir plus sur votre présence présumée sur la liste.
Morale de l'histoire : sur Internet, malgré le soi-disant «ère du nuage», confier vos données – plus ou moins compromettantes – à des tiers inconnus ne garantit pas que le soin que peuvent prendre les algorithmes et les mains expertes soit supérieur à celui qu'en aurait le propriétaire légitime. Diffusez ces données en ligne pour plus de commodité, il représente également un considérable facteur de risque accru.
