Sécurité

Les pirates menacent d’exposer 37 millions de coureurs de jupons, si les demandes ne sont pas satisfaites

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Si vous n’avez pas encore lu l’actualité, le site d’infidélité autoproclamé Ashley Madison a récemment été piraté par une équipe d’infiltrés se faisant appeler Impact Team, provoquant une énorme fuite de données sur les utilisateurs. Plutôt que de simplement divulguer les données au public, cependant, Impact Team menace le propriétaire d’Avid Life Media (ALM) d’Ashley Madison de divulguer les données de quelque 37 millions de comptes d’utilisateurs, si l’entreprise ne modifie pas ses politiques. ALM a confirmé que la fuite est authentique et dit qu’elle soupçonne fortement qu’un initié est responsable, ou du moins a aidé à l’intrusion.

Alors qu’il a d’abord été supposé qu’Impact Team adoptait une sorte de position de principe contre la tricherie et essayait d’exposer les conjoints infidèles, il est maintenant évident que le groupe de piratage est indigné par le manque de protections pour les utilisateurs, d’une manière détournée. Les pirates n’aiment pas qu’ALM facture les utilisateurs pour une « suppression permanente » de leurs comptes et prétend que l’entreprise ne supprime en aucun cas les informations sensibles des clients. Les attaquants ont publié un fichier teaser de 40 Mo plus tôt dans la journée, indiquant clairement que la violation était réelle et prouvant qu’ALM conservait les informations de carte de crédit des abonnés même après qu’ils aient payé pour la suppression permanente.

Impact Team, un groupe anonyme de hackers criminels, ne doit pas être confondu avec Hacking Team, un groupe semi-anonyme de hackers semi-criminels.

Impact Team, un groupe anonyme de hackers criminels, ne doit pas être confondu avec Hacking Team, un groupe semi-anonyme de hackers pas tout à fait criminels.

Selon Brian Krebs, citant des liens aujourd’hui disparus vers une déclaration d’Impact Team, les pirates demandent la fermeture complète d’Ashley Madison et du site moins connu Established Men, tous deux gérés par ALM. Si l’entreprise ne suit pas les « instructions », disent-ils, elle « publiera tous les dossiers des clients, y compris les profils avec tous les fantasmes sexuels secrets des clients et les transactions par carte de crédit correspondantes, les vrais noms et adresses, ainsi que les documents et e-mails des employés ».

Psssssst :  Les utilisateurs de Google Glass sont-ils des trous de verre ou simplement l'avant-garde incomprise de la technologie ? - ExtrêmeTech

Cette proposition est bien sûr insensée – un peu comme dire à quelqu’un de se tirer dessus ou bien vous le tuerez. Abattre Ashley Madison serait la mort d’ALM, sans aucun doute; quelle incitation a-t-il à fermer, alors que la pire conséquence possible de ne pas fermer, c’est… être obligé de fermer ? Il est peu probable que l’entreprise se soucie trop d’aider ses clients à sauver la face, alors pourquoi le site ne devrait-il pas parier qu’il peut survivre à la sortie ? De son propre point de vue limité, il n’a tout simplement rien à perdre.

ashley madison 2

Cette image montre un extrait d’une déclaration qui aurait été publiée par Impact Team, accompagnée d’une petite fuite de teaser, tôt lundi.

Et les pirates ne sont pas susceptibles de bluffer – bien que le message semble contrarié par les normes de confidentialité laxistes d’ALM, il appelle également les utilisateurs eux-mêmes « tricheurs et ne méritent pas une telle discrétion », en référence à la protection de leurs données utilisateur. Compte tenu du ton des diverses déclarations et actions d’Impact Team, ALM pourrait accepter chacune des demandes, et le groupe de piratage pourrait continuer et publier les informations de toute façon.

Cette violation survient quelques mois seulement après une violation similaire des données des utilisateurs du site Web de « connexion » AdultFriendFinder, bien que les incidents semblent sans rapport.

Vous ne pouvez tout simplement pas échapper à la cybercriminalité si vous êtes une entreprise de nos jours. Si vous êtes une petite entreprise, les gens pourraient entrer et compromettre physiquement votre scanner de cartes, vous transformant en un complice involontaire dans leurs complots d’escroquerie de cartes. Et si vous êtes une grande entreprise, la concentration de valeur monétaire dans vos bases de données centrales rend les tentatives de violation d’autant plus probables. Après tout, il ne manque pas de personnes prêtes à risquer leur vie en volant physique banques; lorsque des gains similaires peuvent être obtenus grâce à la sécurité relative d’un kiosque informatique de bibliothèque, vous devez vous attendre à ce que ce soit un problème insoluble.

Sony Pictures, piraté par le message d'avertissement des Gardiens de la paix (GOP)

Sony Pictures, piraté par le message d’avertissement des Gardiens de la paix (GOP).

La seule solution, à long terme, est une clientèle plus exigeante. Les personnes qui envoient leurs données personnelles sur Internet, que ce soit à des sites de triche ou à des achats en ligne, doivent exiger une documentation meilleure et plus précise sur la manière exacte dont leurs informations sont sécurisées. Cependant, comme le montre le problème de suppression permanente dans cette histoire, un certain niveau de transparence sera nécessaire pour valider les revendications de sécurité. Nous avons des inspecteurs de la santé pour assurer l’honnêteté de l’industrie de la restauration et la sécurité des consommateurs – pourquoi ne pas avoir des inspecteurs de la sécurité en ligne effectuant un travail équivalent dans l’espace en ligne ?

Psssssst :  Plonger dans DMARC : peut-il vraiment mettre fin au spam, ou au moins au phishing ? - ExtrêmeTech

La réponse simple est que cela coûterait cher – mais de plus en plus, les implications économiques à l’échelle nationale des violations de données deviennent claires. Que vous soyez Ashley Madison ou Target, Sony ou la CIA, le faible niveau de sécurité informatique moderne vous expose à toutes sortes d’attaques et d’infiltrations. Cela pourrait ne jamais changer – mais avec les bonnes politiques en place, il pourrait être possible d’isoler le client moyen de la plupart de ce danger.

Beaucoup de gens ne se soucieront pas de la sortie d’un groupe de tricheurs mariés – mais comme l’a dit lui-même le directeur général d’ALM, « Comme nous ou pas, cela reste un acte criminel. »

Bouton retour en haut de la page