Les hackers, qui avaient menacé de publier les données de près de 40 millions d'infidèles inscrits sur Ashley Madison, ont mis leurs menaces à exécution. Une archive de 9,7 Go est disponible depuis mardi sur BitTorrent.

Les menaces ont donc été mises à exécution. Fin juillet, le site de rencontres adultères AshleyMadison.com et deux autres sites controversés de sa maison-mère canadienne Avid Life Media, Cougar Life et Established Men, ont été piratés. Le hacker, soupçonné d'être un ancien employé ou sous-traitant de l'entreprise, avait alors menacé de mettre en ligne les données privées de 37 millions de clients du site dédié aux "rencontres extraconjugales discrètes", et demandait qu'Avid ferme le site de lui-même pour éviter de mettre ses clients dans le plus grand embarras.

Là, Ashley Madison et son éditeur ont pris la chose avec une légèreté coupable. Avid Life Media avait ainsi contacté Numerama et d'autres rédactions pour expliquer qu'elle avait "immédiatement engagé l'une des équipes de sécurité informatique les plus pointues au monde afin de prendre toutes les mesures possibles pour résoudre cette crise", et qu'elle faisait usage de la loi américaine sur le droit d'auteur pour obtenir le retrait des extraits de bases de données déjà publiées.

Mais comme nous l'avions alors alors écrit, ces contre-mesures "pourraient toutefois s'avérer vaines si les hackers décidaient de mettre leurs menaces à exécution et de passer par un réseau P2P incontrôlable comme BitTorrent pour publier la base de données intégrale". Or c'est très exactement ce est arrivé !

Depuis quelques heures circule sur BitTorrent et sur des sites d'indexation de liens BitTorrent une archive de 9,7 Go, attribuée à "Impact Team". Même si la prudence incite certains à rappeler qu'il peut s'agir d'un faux, il semble bien que son authenticité soit vérifiée par des témoins qui y ont vu leurs données.

BEAUCOUP DE FAUX PROFILS ?

"Avid Life Media a échoué à feremr Ashley Madison et Established Men (…). Maintenant tout le monde peut voir leurs données", dit le message qui accompagne le fichier .torrent. Mais même l'équipe de hackers veut éviter un psychodrame dans les foyers. "Gardez à l'esprit que ce site est une arnaque avec des millions de faux profils de femmes", assure-t-il en s'adressant surtout aux femmes qui y verraient le nom de leur mari. "90 à 95 % des vrais utilisateurs sont des hommes. Il y a des chances pour que votre homme se soit inscrit sur le plus gros site de relations infidèles, mais qu'il n'en ait jamais eu une seule".

Moraliste, le groupe encourage les internautes concernés à porter plainte contre Ashley Madison pour obtenir réparation… et à faire amende honorable. "Embarrassant aujourd'hui, mais ça passera", souffle-t-il.

L'archive contient plusieurs sous-archives. Leur nom laisse entendre qu'elles contiennent les noms des membres (aminno_member.dump.gz), leur adresse e-mail (aminno_member_email.dump.gz), l'historique des transactions par carte bancaire (CreditCardTransactions.7z), ou encore les données personnelles des membres (member_details.dump.gz). Les numéros des cartes bancaires ne sont pas stockés, et les mots de passe ne sont visibles que sous une forme chiffrée avec bcrypt.

Interrogé par Ars Technica, Ashley Madison dit "surveiller et enquêter sur la situation pour déterminer la validité de toute information publiée en ligne". L'entreprise qui dénonce un "acte criminel" assure vouloir faire supprimer les données, qui selon nos tests sont déjà téléchargées et partagées par près de 2 000 internautes. Elles sont distribuées sur The Pirate Bay, qui a pour habitude de refuser la quasi totalité des demandes de retrait de contenus (DMCA) qu'il reçoit.

Partager sur les réseaux sociaux

Articles liés