Ashley Madison : Que contient la base hackée du site adultère ?
Le groupe de hackers The Impact Team avait annoncé le 21 juillet avoir récupéré toute la base de données utilisateurs du site de rencontres extraconjugales Ashley Madison. Si la société canadienne Avid Life Media, qui édite le site, ne le fermait pas, ces données seraient divulguées, avertissait alors The Impact Team. ALM était également priée de fermer Established Men, dont la page d'accueil déclare mettre en relation "des femmes séduisantes et des hommes qui ont réussi".
ALM ne s'étant pas pliée aux desiderata des vertueux hackers, ceux-ci ont mis leurs menaces à exécution et déposé une série de fichiers sur plusieurs sites de téléchargement en BitTorrent, dans la nuit de mardi à mercredi. 9,7 Go de données compressées liées aux 33 millions de comptes d'Ashley Madison, dont l'authenticité a depuis été confirmée par plusieurs utilisateurs du service et experts en sécurité informatique.
Que contiennent ces fichiers ? Tout d'abord les noms des membres et pour la plupart leur numéro de téléphone, des adresses postales, des historiques de paiement ou encore des mails, dont plus de 15 000 en .gov et .mil, les extensions des membres de l'administration et de l'armée. Mais également les préférences sexuelles et les fantasmes renseignés par les utilisateurs. Ashley Madison a beau être connu pour la proportion élevée de faux profils, féminins en particulier, tous les vrais membres figurent à priori dans la base hackée.
Aussi une montagne de documents internes
Ce n'est pas tout, puisque les hackers dévoilent aussi bon nombre de données appartenant à l'entreprise : comptes Paypal employés par la direction, identifiants de domaine Windows des salariés, ainsi qu'une montagne de documents internes tels que des organigrammes, des contrats, des techniques commerciales, des mémos, des informations sur l'infrastructure informatique… "C'est donc beaucoup plus problématique qu'une simple base de données dévoilée, cela compromet à grande échelle toute l'infrastructure de la société", explique Dave Kennedy sur le blog de TrustedSec.
Ashley Madison demeure à peu près le seul à n'avoir toujours pas confirmé l'authenticité des données volées et diffusées, se bornant pour l'instant à retourner l'accusation : "Il ne s'agit pas d'une action d'hacktivisme mais d'un acte criminel. C’est une action illégale à l'encontre des membres d’ashleymadison.com et de tous les libres penseurs qui ont des activités parfaitement légales en ligne. Le ou les criminels impliqués dans ces actions se sont autoproclamés juges de moralité, jury et bourreau, cherchant à imposer leur conception personnelle de la vertu à toute la société."
Des données conservées après suppression du compte
Reste que la société est prise la main dans le sac sur un autre point encore. La base hackée montre en effet que sont conservées les données des utilisateurs même lorsqu'ils paient l'option supposée les supprimer définitivement. Déjà en mai, le hacking du site de rencontres d'un soir Adultfriendfinder avait montré que malgré ses promesses, il stockait les données des membres même lorsque ceux-ci avaient fermé leur compte.
En France, la situation n'est pas meilleure. La Cnil a ainsi mis en demeure treize sites de rencontre qui ne suppriment pas totalement les informations concernant les utilisateurs qui ferment leur compte, rappelle Le Monde : Meetic, Attractive World, Adopte un Mec, Easyflirt, Rencontre Obèse, Destidyll, Force Gay, Mektoube, JDream, Feuj World, Marmite love, Gauche Rencontre et Celibest. Quant à Ashley Madison, il revendique 600 000 inscrits dans l'Hexagone. Faux profils inclus.