Une enquête menée conjointement au Canada et en Australie dénonce le laxisme grave en matière de sécurité de la part du site de rencontres extra-conjugales Ashley Madison.

Ashley Madison, le site web controversé de rencontres extra-conjugales, a été victime d’un piratage massif en 2015. Un groupe de pirates baptisé The Impact Team s’était illustré en compromettant des dizaines de millions de comptes. L’affaire avait eu un retentissement mondial. Un an après, on n’en finit pas de tirer le bilan de l’un des cas de piratage les plus spectaculaires.

Une enquête conjointement menée par les autorités canadienne et australienne en charge de la protection de la vie privée dénonce en effet de graves manquements à la sécurité sur la plateforme. Le rapport met notamment en avant un nombre important de défaillances dans les garanties de sécurité du site. La plus notable est sans doute la gestion calamiteuse des mots de passe.

Ashley Madison, l'insolent hacké

Les deux commissions pointent du doigt des pratiques douteuses en évoquant par exemple le fait que les mots de passe VPN de l’entreprise étaient enregistrés sur Google Drive. Ceux-ci étaient facilement accessibles depuis l’ordinateur de n’importe quel employé. Pour ne rien arranger, ces données étaient stockées dans un banal format texte sur les serveurs d’Ashley Madison ainsi que dans les e-mails.

Les clés de chiffrement étaient aussi très mal protégées. L’enquête mentionne un serveur dont le protocole Secure Shell (SSH) n’était même pas défendu par un mot de passe. Autrement dit, les pirates n’ont même pas eu besoin de faire l’étalage de leur savoir-faire informatique pour y accéder.

C’est d’autant plus problématique que, adultère oblige, toute la politique d’Ashley Madison est basée sur la discrétion.

Et ce n’est pas fini. L’enquête dénonce la présence de labels de sécurité affichés sur la page d’accueil, avec des icônes de médailles et de cadenas, suggérant que le site est parfaitement sûr d’utilisation, comme s’il avait été certifié par une autorité reconnue dans ce domaine. Sauf que ceux-ci auraient était fabriqués de toutes pièces par l’entreprise, faisant illusion sur le réel niveau de protection conféré par le site.

trust-marks

Enfin, le rapport explique que toutes les adresses e-mails qui ont fuité après le piratage d’Ashley Madison n’appartiennent pas forcément à des utilisateurs du site de rencontres. Cela s’expliquerait apparemment par le fait que, dans un souci d’anonymat, l’entreprise ne vérifie pas les e-mails fournis à l’inscription.

« Les failles dans la vie privée sont un risque central pour toute organisation dont le modèle économique repose sur l’agrégation et l’utilisation d’informations personnelles », estime Daniel Thierrien, membre de la commission canadienne.

« Lorsque ces informations sont très sensibles et attractives pour les criminels, le risque est encore plus grand. La manipulation d’une telle quantité d’informations personnelles sans un un plan de sécurité adéquat est inacceptable », ajoute-t-il.

Les accusations sont d’une extrême gravité et pourraient entraîner des poursuites judiciaires. À ce sujet, Ashley Madison est d’ailleurs menacé par une enquête d’une commission fédérale aux États-Unis.

Partager sur les réseaux sociaux

Articles liés