Signe du Karma : Ashley Madison

22 Juil 2016

L’an dernier, une fuite importante de données avait eu un profond impact sur la vie des utilisateurs d’Ashley Madison, site de « rencontres » extraconjugales et avait failli tuer un business prospère encore controversé de nos jours.

Ashley Madison users are still target for cybercroocks

Les hackers d’Ashley Madison, un groupe jusqu’alors inconnu se faisant appeler Impact Team, avaient dévoilé plus de 37 millions de données d’utilisateurs de 40 pays, ainsi que le code source du site web et des conversations internes de l’entreprise entre les cadres supérieurs de la société. Compte tenu de la nature de ce site (des utilisateurs mariés cherchant à faire des rencontres extraconjugales), cet évènement avait considérablement bouleversé la vie de plusieurs personnes et avait permis aux cybercriminels de prendre part à toutes sortes de comportement prédateur contre les victimes du piratage.

« Ils l’avaient vu venir »

En général, les hackers volent des données pour les revendre sur le web invisible, mais les coupables à l’origine du piratage d’Ashley Madison, semblaient l’avoir fait en se posant comme défendeurs de la justice, et non pour l’argent.

Pour commencer, Impact Team avait envoyé un message aux cadres d’Avid Life Media, l’entreprise propriétaire d’Ashley Madison. Ce dernier informait à Avid Life que le groupe avait piraté l’infrastructure de l’entreprise, et demandait à Avid Life Media de fermer trois de ses sites de rencontres, faute de quoi les données de leurs clients seraient dévoilées publiquement. L’entreprise avait refusé, et 30 jours plus tard, les maîtres chanteurs avaient fini par mettre à exécution leurs menaces.

Dès lors, les abonnés avaient commencé à paniquer, ne craignant pas pour leur carte de crédit, mais que leur aventure et photos privées soient dévoilées au grand jour. Les chercheurs, quant à eux s’étaient mis au travail en analysant le code source du site web, qui menèrent rapidement à de curieuses conclusions.

Premièrement, le code source d’Ashley Madison contenait un certain nombre de vulnérabilités, qui permettait aux hackers de déplacer l’infrastructure du site web dès qu’ils trouvaient le point d’entrée. Deuxièmement, les recherches avaient mis en évidence les faibles critères concernant les mots de passe : ils devaient contenir 5 à 8 caractères, avec seulement deux types de caractères.

Avid Life Media et ses clients avaient dû tenir compte des conséquences de cette violation à grande échelle, qui, de par la nature des services d’Ashley Madison, avaient senti que les répercussions étaient plus graves que celles d’autres failles, de services plus populaires.

Les dommages causés à l’entreprise : une réputation ternie, des rêves brisés

En général, la réaction du public face à cette violation fut à peine palpable. Beaucoup l’ont perçu comme étant un « signe du karma » pour l’entreprise. Après tout, le modèle d’affaires d’Avid Life Media a été conçu sur l’infidélité et les mensonges. Après que les données, incluant des informations d’entreprise confidentielles, aient été piratées, les chercheurs les ont analysées, provocant par la suite la colère de ses utilisateurs.

Les recherches ont révélé que la promesse de la marque Ashley Madison, qui a permis au site d’avoir une large clientèle de dix millions de personnes, n’était qu’un mensonge. Parmi ses autres caractéristiques visant à rendre ses utilisateurs à l’aise vis-à-vis de la discrétion du site, Ashley Madison avait activement fait la promotion de son option « supprimer votre compte », offrant la possibilité à ses utilisateurs d’effacer définitivement leur profil, un service pour lequel le site facturait 19$. Cette option rapportait à Ashley Madison plus de 1,7 millions de dollars par an.

Néanmoins, le site n’avait supprimé que les données du profil. Il conservait les informations de paiement, de ce fait les vrais noms des clients, les adresses de facturation et les infos de carte de crédit demeuraient dans les serveurs de l’entreprise. Même si une personne utilisait un pseudo pour s’enregistrer, son vrai nom était dans le système, de façon indélébile.

En creusant un peu plus loin, les recherches ont mené à une autre information intéressante : la majorité des femmes séductrices sur Ashley Madison s’avéraient être des chatbots dont le seul but était d’attirer de nouveaux venus qui entamaient une conversation, et de les convaincre de payer pour continuer la discussion. Les chatbots n’étaient pas là par erreur : la déception était intentionnelle. Afin de connaître les préférences des clients, certains utilisateurs étaient par exemple casés avec des « femmes » paraissant être de la même appartenance ethnique.

Dernièrement, la société Avid Life Media s’est retrouvée impuissante face aux impitoyables hackers méconnus, ce qui a couté cher à l’entreprise. Cette dernière avait prévu une introduction en bourse quelques mois seulement après le piratage, mais lorsque le scandale avait éclaté, l’introduction en bourse était alors devenue sans intérêt ; il n’y avait aucune chance d’atteindre les 200 millions de dollars prévus comme auparavant sur un stock initial d’actions. A la place, Avid Life Media a dû faire face à des poursuites judiciaires, des contrôles, et la démission de son PDG Noel Biderman.

Cet incident avait obligé Ashley Madison à revoir entièrement sa marque : un an après la violation des données, l’entreprise avait changé son offre principale et rebaptisé son image. Fini son slogan provocateur : « La vie est courte. Prenez un(e) amant(e). » Désormais, les visiteurs du site pourront voir le slogan : « La vie est courte. Trouvez votre moment ». Le service a abandonné son image de site web sur l’infidélité et se positionne désormais comme étant « le meilleur endroit pour faire de vraies rencontres, discrètes, avec des adultes ouverts d’esprit. »

Punition des utilisateurs : divorce, honte, désespoir

Tandis qu’Avid Life Media avait désespérément tenté de minimiser les effets de la violation des données, en offrant une prime de 500 000$ en échange de n’importe quelles informations fiables concernant les hackers, les utilisateurs avaient été obligés de se protéger eux-mêmes en ces temps difficiles. En effet, les semaines qui avaient suivi la faille, le service client avait cessé de répondre à des milliers de demandes horrifiées, laissant les utilisateurs totalement livrés à eux-mêmes.

D’innombrables mariages étaient sur le point de divorcer et les victimes étaient terrorisées à l’idée de se confier à leur partenaire, les menant dans certains cas à des décisions difficiles voire tragiques.

Pendant ce temps-là, des défenseurs en ligne de la morale et de la fidélité conjugale avaient continué à blâmer les membres du site sans merci. Un animateur de radio australien avait dit en direct à une femme que son mari était inscrit sur Ashley Madison, et par la suite un journal de Georgie avait imprimé tous les noms de la fuite des données.

La menace imminente planait sur des milliers d’officiers militaires, des membres du clergé, des stars, des politiques, et autres figures publiques. Une révélation qui aurait pu provoquer des dommages importants à leurs réputations.

Certains rapports médiatiques avaient indiqué que plusieurs officiers militaires ou des employés d’agence gouvernementale utilisaient leurs adresses mails de bureau pour s’inscrire sur Ashley Madison. Bien que ces rapports n’aient pas été confirmés, les rumeurs ont terni l’image de plusieurs grandes figures institutionnelles, y compris le Premier ministre britannique.

Les opportunités des cybercriminels : extorsion, spam, hameçonnage

Les hackers à l’origine de ce piratage n’étaient pas considérés comme des suspects habituels, ceux qui volent des identifiants pour de l’argent. Dès lors que l’Impact Team avait ouvert ses portes, d’autres gangs de cybercriminels n’avaient pas perdu de temps.

Premièrement, les utilisateurs affectés étaient des proies faciles concernant les fraudes à la carte bancaire. Même si la plupart des membres d’Ashley Madison s’inscrivaient sous un faux nom, ils devaient révéler leur vraie identité au moment de payer. La base de données divulguée ne semblait pas comporter tous les détails de carte de crédit, mais dans certains cas, les cybercriminels avaient réussi à utiliser les quatre derniers chiffres afin d’obtenir le numéro entier de carte bancaire. De ce fait, ils pouvaient voler de l’argent des comptes bancaires ou faire des achats en ligne.

Mais dans le cas d’Ashley Madison, les fraudes à la carte de crédit n’étaient pas le seul moyen de tirer profit des données des utilisateurs. Avec les données privées entre les mains, les maîtres chanteurs étaient entrés en contact avec les victimes et les menaçaient de tout dire à leur famille ou leurs employés ou de partager des photos extrêmement personnelles et des conversations avec les amis de Facebook des victimes ou des connexions de LinkedIn. Face à une telle révélation insupportable, certaines victimes avaient payé la rançon sans aucune garantie que les extorqueurs les laisseraient tranquilles par la suite. Toutefois, dénoncer les maîtres chanteurs à la police semblait impossible.

De telles arnaques sont toujours en activité. Récemment, un abonné du site New Jersey a partagé son histoire sur Ashley Madison sous couvert d’anonymat. « M.Smith », qui est divorcé, est inscrit sur Ashley Madison, sous son vrai nom et en utilisant sa carte de crédit. Peu de temps après, il reçut une lettre de maîtres chanteurs qui affirmaient qu’ils détenaient des conversations privées, des données bancaires etc.

« Nous avons également accès à votre page Facebook. Si vous voulez éviter que je partage vos infos compromettantes avec tous vos amis, les membres de votre famille, votre épouse, vous n’avez qu’à m’envoyer 5 bitcoins (BTC) sur l’adresse suivante BTC… Vous avez 24 heures. Etant donné le prix élevé d’un avocat spécialisé dans les divorces, et que vous n’êtes plus dans une relation durable, pensez aux répercussions futures que cela aura sur votre statut social parmi votre famille et vos amis. Ce que ces derniers pourraient en penser… « 

Smith pensait qu’il n’avait rien fait d’honteux, alors il décida de partager ces informations avec le monde entier plutôt que de payer la rançon, afin que les autres victimes sachent comment faire face aux hackers.

https://twitter.com/ChangeCU/status/755973027049766912

Les rapports sur le piratage du « site d’infidélité » ont rapidement engendré une nouvelle école de sites d’hameçonnage. Des personnes qui étaient préoccupées par la fidélité de leur partenaire, furent attirées aussi facilement que les utilisateurs d’Ashley Madison, vers des sites web proposant de vérifier une adresse mail sur la base des données divulguée du site de rencontres.

Cependant, les utilisateurs qui avait soumis un e-mail sur de tels sites risquaient d’être la victime d’attaques de spams ou d’hameçonnage. Les cybercriminels créèrent de faux sites web dans le but de rassembler de vraies adresses mails et d’ensuite les utiliser pour envoyer des spams ou des e-mails d’hameçonnage. Une fois qu’une personne saisissait une adresse mail, elle s’envoyait, non protégée, à des gens qui pouvaient facilement l’utiliser pour des fraudes.

Post mortem

Cela fait un an qu’a eu lieu la faille d’Ashley Madison, et depuis nous avons entendu parler d’énormément de violations importantes et de leurs conséquences. Néanmoins, le piratage d’Ashley Madison a eu un impact différent, plus personnel et profond que des numéros de cartes de crédit ou des mots de passe de réseaux sociaux. Il s’est mêlé d’histoires privées qui n’auraient jamais dû voir le jour, et qui ont été exposées au monde entier.

Certaines failles ont un impact durable à la fois sur le service affecté et ses utilisateurs. Par exemple, on aurait pu deviner ce qui allait se passer si les malfaiteurs avaient élaboré un outil pour comparer la base de données d’Ashley Madison avec celle d’un autre piratage important, celui de l’United States Office of Personnel Management. La fuite avait mis en péril les données personnelles de millions de personnes employées par le gouvernement américain, y compris de beaucoup qui avaient accès à des informations secrètes.

A ce jour, nous connaissons trois procédures judiciaires fortement médiatisées à l’encontre d’Avid Life Media. Cependant, bon nombre de divorces sont passés inaperçus. Des millions d’individus vivent dans la crainte que leur infidélité soit découverte. Avid Life Media, une entreprise prometteuse jusqu’à la moitié de l’an 2015, fut obligée de repenser sa stratégie de développement. L’entreprise sera contrainte de vivre avec les répercussions de cette faille des années durant.

Le mariage et la fidélité ne sont en aucun cas nos affaires ; il s’agit de décisions personnelles, et faire la morale aux gens n’est pas censé faire partie de notre mission. Nous nous trouvons cependant dans une position étrange, qui est celle de devoir avertir les utilisateurs qui choisissent ce genre de décisions intimes en ligne. Toute personne, qu’elle soit mariée ou célibataire, entamant une liaison adultère sur le net augmente ses risques d’être découverte. Ses données personnelles et sa réputation sont en jeu. La nature de ce type d’informations privées les rend plus vulnérables. Les utilisateurs deviennent une proie plus facile pour les cybercriminels qui utilisent de sals tours, comme le chantage et l’extorsion.

Si vous souhaitez en savoir davantage sur les eaux troubles des sites de rencontres, gardez à l’esprit quelques conseils de base qui peuvent vous aider à minimiser les risques d’une faille potentielle :

  • Faites attention à votre propre sécurité, n’attendez pas que le site web le fasse pour vous. Evitez de payer avec une carte bancaire ; utilisez si possible des cartes cadeaux, et empruntez un faux nom et une fausse adresse sur votre profil.
  • N’échangez pas de photos dénudées, même si, et plus particulièrement, si vous êtes sous la pression. Même en faisant confiance à la personne avec laquelle vous chattez, de nos jours personne n’est pas l’abri de failles, donc pensez toujours au pire des cas.
  • N’utilisez jamais votre e-mail de bureau pour vous inscrire quelque part. Un hacker qui entre en contact avec vous par le biais de votre employeur, représente une grande opportunité pour lui de vous faire chanter. Cela peut même déboucher à des attaques d’ingénierie sociale mettant en péril la sécurité de votre entreprise.
  • Utilisez une adresse mail privée, et non votre e-mail principal, lorsque vous êtes sur un site de rencontres.
  • Utilisez un faux nom. Pour un maximum de confidentialité, ne vous enregistrez pas sous votre vraie identité, et bien évidemment, ne vous connectez pas via vos réseaux sociaux pour vous inscrire. Plus un fraudeur ou un maître chanteur en sait sur vous et plus il a de chances de vous piéger.
  • Si vous êtes victime d’une faille, n’achetez aucune offre qui vous permettrait de contrôler vos informations sur une base de données divulguée, il pourrait s’agir d’un piège. Si vous souhaitez vérifier que tous vos comptes sont en sécurité, vous pouvez le faire via  HaveIBeenPwned, un site web qui a été développé par un hacker au chapeau blanc et par un chercheur en sécurité, Troy Hunt.
  • Si vos données ont été piratées, assurez-vous d’avoir changé vos mots de passes sur d’autres services en ligne sur lesquels vous auriez utilisé le même mot de passe. Les hackers savent très bien que les utilisateurs ont tendance à réutiliser les mêmes. Si vous hésitez encore, sachez que les escrocs peuvent pirater votre compte Facebook ou LinkedIn, ou pire, votre compte de messagerie électronique. Pensez également à demander une nouvelle carte bancaire.
  • Le plus important sans doute est de vous rappeler que votre compte peut être piraté à tout moment. Malheureusement, de nos jours, une faille peut arriver n’importe quand.