Généralement, lorsque des millions de données personnelles sensibles, comme des mots de passe, des adresses courriel ou des coordonnées bancaires, se retrouvent exposées au grand jour par des hackers, l'opinion blâme surtout les pirates. Ces escrocs du monde numérique, qui règnent sur le dark net (l'Internet caché), inquiètent d'autant plus qu'ils rivalisent d'ingéniosité pour exploiter les failles de sécurité des entreprises.
De fait, les hackers contribuent au climat de défiance généralisée des citoyens envers Internet. A l'heure du big data et de l'Internet des objets, qui promettent de révolutionner à la fois notre quotidien et le business model de nombreuses entreprises grâce au trésor des données, l'homo modernicus a conscience de disséminer des informations personnelles partout sur la Toile, sans savoir vraiment par qui et pourquoi elles vont être réutilisées.
Un des plus grands piratages de l'histoire
La fuite qui a frappé, ce mardi, le site de rencontres extraconjugales Ashley Madison marque les esprits car elle est beaucoup plus qu'une énième attaque de hackers malveillants.
Par son ampleur, tout d'abord. Le groupe The Impact Team a déposé en téléchargement, sur plusieurs sites en BitTorrent (téléchargement de pair à pair), pas moins de 9,7 Go de données compressées, liées aux 33 millions de comptes d'Ashley Madison. Il s'agit donc d'un des plus grands piratages de l'histoire.
Ces données comprennent des noms, des adresses courriels, des informations de paiement et des détails intimes sur les préférences sexuelles et les fantasmes des utilisateurs infidèles. Dévastateur pour les victimes, mais aussi pour la réputation du site, qui fait son beurre sur la promesse du secret et qui se doit donc d'assurer la sécurité des données de ses membres. L'authenticité des informations a été confirmée par des experts en sécurité informatique et par plusieurs victimes, si bien que le FBI a ouvert une enquête.
Bien évidemment, la fuite a provoqué une onde de colère sur Internet et sur les réseaux sociaux contre les hackers. Mais celle-ci s'est rapidement redirigée contre Ashley Madison lui-même, et contre sa maison-mère, Avid Life Media. Car cette fuite révèle surtout des pratiques bien peu recommandables, qui mettent à mal la nécessaire confiance qui doit s'instaurer entre un service reposant sur les données personnelles et ses utilisateurs.
Ashley Madison sous le feu des critiques
Contrairement à une attaque "classique", celle dont a été victime Ashley Madison visait avant tout à dénoncer les pratiques de l'entreprise. Les données révèlent qu'une grande partie de la communication d'Ashley Madison, qui promet de trouver de nombreuses femmes infidèles, reposerait sur un mensonge.
Les hackers estiment que "90 à 95% des utilisateurs sont des hommes", un chiffre qui paraît crédible à plusieurs experts. Ils pointent aussi du doigt les nombreux faux profils, qui feraient donc chuter drastiquement le nombre réels d'utilisateurs, loin des 38 millions revendiqués par la société.
Autre pratique contestable : Ashley Madison aurait conservé les données de tous ses utilisateurs, même de ceux qui ont payé l'option (entre 15 et 20 dollars) censée les supprimer définitivement.
Criminel ou hacktiviste ?
Les textes des hackeurs montrent qu'ils se perçoivent moins comme des criminels que comme des hacktivistes, ces génies de l'informatique qui mettent leurs compétences au service de leurs convictions politiques, à l'image des Anonymous, du Chaos Computer Club ou du groupe Telecomix.
"Nous avons mis au jour la fraude, la malhonnêteté et la stupidité d'Avid Life Media et de ses membres. Maintenant tout le monde peut accéder à leurs données", s'est réjoui, mardi, le groupe de hackers au moment de lâcher les données.
Mais la pratique du chantage auprès d'Avid Life Media et l'impact dévastateur de ces révélations sur la vie de millions de personnes, qui deviennent à la merci de n'importe quel maître-chanteur du net, apparaissent en total décalage avec les principes de l'hacktivisme. Comme le montrent les actions de Telecomix, très actif pendant les révolutions arabes, ou des figures de proue que sont Julian Assange (WikiLeaks) ou Edward Snowden, l'hacktivisme vise surtout à attaquer les symboles du pouvoir pour ouvrir les yeux de la population sur des abus et défendre leur conception de l'intérêt général.
"The Impact Team n'est absolument pas connu dans les milieux de l'hacktivisme, précise Adrienne Charmet, de l'association La Quadrature du Net. Ils ont habillé leur crime de valeurs hacktivistes mais c'est très paradoxal de dénoncer la politique d'exploitation des données d'une entreprise en étalant la vie privée de millions de personnes sur Internet".
Les motivations d'Avid Life Media semblent moins politiques que morales. Dans leurs textes, les hackers condamnant à la fois les pratiques d'Ashley Madison et celles des utilisateurs du site. "Tant pis pour ces hommes, ce sont des ordures qui ne méritent aucune discrétion. Tant pis pour ALM, vous avez promis la confidentialité mais ne l'avez pas mise en pratique", écrivent-ils. Puis, en s'adressant aux victimes de la fuite :
"Gardez en tête que ce site est une arnaque avec des milliers de faux profils de femmes. 90% à 95% des utilisateurs sont des hommes... Si vous vous trouvez dans la liste, c'est la faute d'ALM qui vous a trompé et menti. Poursuivez-les et réclamez des indemnités. Puis passez à autre chose. Retenez la leçon et faites amende honorable. C'est embarrassant sur le coup, mais vous vous en remettrez".
En France, treize sites de rencontres mis en demeure par la CNIL
"Cette action a au moins le mérite de mettre en lumière le manque de transparence et de maîtrise des données personnelles pour les consommateurs. Ce problème démocratique nécessite une renforcement législatif car même si les utilisateurs peuvent demander le retrait de leurs données personnelles, en réalité les entreprises le font très peu", ajoute Adrienne Charmet.
La Commission nationale de l'informatique et des libertés (CNIL) approuve. Le 28 juillet, l'institution a mis en demeure huit entreprises éditrices de sites de rencontres, soit treize sites. La fine fleur de la rencontre en ligne française est ainsi pointée du doigt pour la grande légèreté avec laquelle ils traitent les données personnelles de leurs clients. Les leaders Meetic, Attractive World et Adopte un mec sont ainsi visés, tout comme les moins connus Easyflirt, Rencontre obèse, Destidyll, Forcegay, Mektoube, Jdream, Marmite love, Gauche rencontre et Celibest.
La CNIL leur reproche, entre autres, de ne pas recueillir le consentement des personnes pour la collecte de données sensibles concernant, par exemple, la pratique sexuelle, les origines ethniques, les convictions politiques et religieuses.
"Ce recueil de consentement n'est pas très difficile à mettre en place, il suffirait d'une case à cocher permettant d'informer les internautes de la sensibilité des données qu'ils renseignent" indique une représentante de la CNIL à La Tribune.
"Envoyer un message" aux sites de rencontres
Comme pour Ashley Madison, la CNIL reproche à ces sites de ne pas supprimer les données des membres ayant demandé leur désinscription ou ayant supprimé leur compte depuis une longue durée. L'absence de recueil du consentement sur le dépôt de cookies (les traqueurs d'activités) et le manque d'informations sur les droits des utilisateurs sont également décriés.
Les entreprises ont trois mois pour se mettre en conformité avec la loi Informatiques et Liberté. Certaines ont déjà pris contact avec la CNIL. "En rendant la mise en demeure publique -qui n'est pas une sanction-, nous espérons envoyer un message à ces sites, qui disposent d'une masse énorme de données mais qui ont en moyenne huit manquements à la loi chacun", poursuit la CNIL.
Une nécessité pour restaurer l'indispensable confiance entre les utilisateurs d'un service et l'entreprise. D'autant plus que les sites de rencontres sont des cibles privilégiées des hackers. L'importance des données qu'ils récoltent permettent aux cybercriminels de demander des rançons, d'envoyer des spams sur les messageries pour tenter de récupérer d'autres données sur l'ordinateur, ou de tenter d'utiliser le mot de passe sur d'autres sites, partant du principe que les internautes réutilisent souvent le même.
Fin mai, les données concernant 4 millions d'utilisateurs d'Adult Friend Finder ont ainsi été mises en ligne, y compris leurs préférences sexuelles. Le dernier exemple d'une longue série, comprenant le canadien Plenty of Fish en 2011, le site russe Topface en début d'année (20 millions d'adresses courriel dévoilées) ou le site Cupid Media en 2013, qui avait vécu la "fuite" de 42 millions de mots de passe.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés