Une enquête menée conjointement au Canada et en Australie dénonce le laxisme grave en matière de sécurité de la part du site de rencontres extra-conjugales Ashley Madison.

Ashley Madison, le site web controversé de rencontres extra-conjugales, a été victime d’un piratage massif en 2015. Un groupe de pirates baptisé The Impact Team s’était illustré en compromettant des dizaines de millions de comptes. L’affaire avait eu un retentissement mondial. Un an après, on n’en finit pas de tirer le bilan de l’un des cas de piratage les plus spectaculaires.

Une enquête conjointement menée par les autorités canadienne et australienne en charge de la protection de la vie privée dénonce en effet de graves manquements à la sécurité sur la plateforme. Le rapport met notamment en avant un nombre important de défaillances dans les garanties de sécurité du site. La plus notable est sans doute la gestion calamiteuse des mots de passe.

Ashley Madison, l'insolent hacké

Les deux commissions pointent du doigt des pratiques douteuses en évoquant par exemple le fait que les mots de passe VPN de l’entreprise étaient enregistrés sur Google Drive. Ceux-ci étaient facilement accessibles depuis l’ordinateur de n’importe quel employé. Pour ne rien arranger, ces données étaient stockées dans un banal format texte sur les serveurs d’Ashley Madison ainsi que dans les e-mails.

Les clés de chiffrement étaient aussi très mal protégées. L’enquête mentionne un serveur dont le protocole Secure Shell (SSH) n’était même pas défendu par un mot de passe. Autrement dit, les pirates n’ont même pas eu besoin de faire l’étalage de leur savoir-faire informatique pour y accéder.

C’est d’autant plus problématique que, adultère oblige, toute la politique d’Ashley Madison est basée sur la discrétion.

Et ce n’est pas fini. L’enquête dénonce la présence de labels de sécurité affichés sur la page d’accueil, avec des icônes de médailles et de cadenas, suggérant que le site est parfaitement sûr d’utilisation, comme s’il avait été certifié par une autorité reconnue dans ce domaine. Sauf que ceux-ci auraient était fabriqués de toutes pièces par l’entreprise, faisant illusion sur le réel niveau de protection conféré par le site.

trust-marks

Enfin, le rapport explique que toutes les adresses e-mails qui ont fuité après le piratage d’Ashley Madison n’appartiennent pas forcément à des utilisateurs du site de rencontres. Cela s’expliquerait apparemment par le fait que, dans un souci d’anonymat, l’entreprise ne vérifie pas les e-mails fournis à l’inscription.

« Les failles dans la vie privée sont un risque central pour toute organisation dont le modèle économique repose sur l’agrégation et l’utilisation d’informations personnelles », estime Daniel Thierrien, membre de la commission canadienne.

« Lorsque ces informations sont très sensibles et attractives pour les criminels, le risque est encore plus grand. La manipulation d’une telle quantité d’informations personnelles sans un un plan de sécurité adéquat est inacceptable », ajoute-t-il.

Les accusations sont d’une extrême gravité et pourraient entraîner des poursuites judiciaires. À ce sujet, Ashley Madison est d’ailleurs menacé par une enquête d’une commission fédérale aux États-Unis.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !