Les sites de rencontres dans le collimateur

Fin mai un premier site de rencontres Adult FriendFinder a été piraté et les données de quatre millions de comptes se sont retrouvées sur un forum. Mi-juillet c’est au tour
de Ashley Madison, site de rencontres extraconjugales qui revendique quelque 36 millions d’abonnés et dont le slogan « la vie est courte, ayez une liaison » est explicite. Un groupe de hackers baptisé The Impact Team a piraté ses serveurs. Ils ont mis en ligne quelques documents internes en guise de preuves et menacé de rendre publiques les données personnelles des utilisateurs. Les pirates ont également adressé publiquement leurs revendications à Avid Life Media (ALM), la société basée au Canada qui exploite le site : « Avid Life Media a reçu la consigne de fermer de façon permanente Ashley Madison et Established Men (un autre site du même acabit), faute de quoi nous dévoilerons tous les dossiers clients, y compris leurs profils avec leurs préférences sexuelles, leurs fantasmes, ainsi que les données bancaires, noms et adresses qui vont avec ». Dans un long manifeste, ils dénoncent l’usage de faux profils pour attirer le chalant, le manque de sécurité et surtout l’option payante « Full delete » proposant aux abonnés, moyennant 20$, de supprimer toutes leurs données du site. « Full Delete a rapporté 1,7 million de dollars à ALM en 2014. Et c’est un mensonge total » affirment-ils. « Les gens payent presque toujours avec leur carte de crédit ; leurs données d’achat ne sont pas supprimées comme prévu, elles incluent leur véritable nom et adresse, informations des plus importantes qui bien sur devraient être effacées. »

ALM s’étant contenté de porter plainte pour « vol de données propriétaires » et de publier des communiqués évoquant les enquêtes en cours et la collaboration de la police scientifique pour démasquer les « cyber-terroristes », The Impact Team a mis sa menace à exécution mi-août et balancé par des voies anonymisées 10 puis 30 giga-octets de fichiers. Les dirigeants d’ALM ont bien tenté d’en nier l’authenticité mais de nombreux témoignages de personnes inscrites y ayant retrouvé leurs données personnelles semblent la confirmer. Les pirates n’ont pas fait les choses à moitié. Selon Wired, les fichiers contiendraient 32 millions de profils, mais aussi les transactions bancaires sur sept ans avec nom, adresse et e-mail. 15 000 adresses électroniques seraient des .mil ou .gov.
Le blog Krebsonsecurity évoque également de nombreux dossiers sur les activités et contrats de Ashley Madison, et des milliers de mails envoyés ou reçus par son PDG Noël Biderman. Certains d’entre eux attesteraient de piratages commis par ALM pour récupérer les bases de données clients de certains de ses concurrents.

L’affaire n’est pas terminée loin de là. Lors d’une conférence de presse, la police canadienne a évoqué le suicide de deux personnes sans toutefois pouvoir établir un lien de cause à effet. Avid Life Media a aussitôt fait savoir qu’elle offrait une récompense de 500 000 dollars canadiens à quiconque fournirait des informations permettant d’arrêter les voleurs de données. Quatre plaintes ont été déposées aux Etats Unis contre ALM pour défaut de protection de la vie privée et une action en nom collectif lui réclamant 509 millions d’euros de dommages et intérêts a été lancée au Canada.

Concordance de calendrier, fin juillet la CNIL a épinglé 13 sites de rencontres, parmi lesquels Meetic, Attractive World, Adopte un mec ou Easyflirt, pour manquement à la protection de données sensibles. Elle leur reproche entre autre de ne pas recueillir le consentement des personnes avant de collecter ces données (très) sensibles et de ne pas supprimer les données des membres ayant demandé leur désincription. La pratique est donc plus que courante, qu’il s’agisse de sites de rencontre, de site de recherche de co-location ou de réseaux sociaux. Peut-être l’affaire Ashley Madison incitera-t-elle les internautes à plus de prudence et les législateurs à plus d’exigence.