Impact Team remet le couvert. D’après Vice, l’équipe de hackers qui a dévoilé les petits secrets de 37 millions de membres du site Ashley Madison vient de publier de nouveaux documents. Une collection énorme de 20 Go* comprenant différentes archives… Deux fois plus importante que la première. On ne sait pas encore ce qu’elles contiennent, mais on soupçonne qu’il s’agit de données internes à l’entreprise.
L’une d’entre-elles porte en tout cas un nom très évocateur : “noel.biderman.mail.7z”. Il est fort probable qu’il s’agisse de la base de données d’e-mails de Noel Biderman, le patron canadien d’Avid Life Media. Le message fourni avec ce dump est d’ailleurs directement adressé à ce dernier :
“Hey Noel, tu peux admettre que c’est vrai, maintenant”
Un message laconique qui fait référence aux doutes que Biderman avait émis quant à la véracité des données publiées avant-hier par les pirates.
*Nous avions d’abord indiqué 10 Go, il s’agit en réalité d’une archive de 20 Go. L’article et le titre ont été modifiés en conséquence.
Première publication le 20/08
Ashley-Madison : le hack qui expose les secrets de 37 millions d’individus infidèles
Game Over pour Ashley Madison : les hackers de impact Team, qui avaient annoncé au mois de juillet avoir piraté le site, viennent de livrer une quantité phénoménale de données, dont les coordonnées et préférences sexuelles de millions d’utilisateurs.
C’est l’heure du grand déballage. Un mois après avoir annoncé avoir piraté Ashley Madison, le plus important site de rencontres extra-conjugales au monde, les hackers de The Impact Team ont livré un « dump » gigantesque de plus de 10 Go sur le darkweb. On y trouve les données personnelles de quelques 37 millions de clients du site, suffisamment précises pour leur donner des sueurs froides. Les fichiers dévoilent en effet des tonnes d’adresses e-mails, des numéros de téléphone, des données bancaires –sans le numéro complet de carte de crédit cependant…
Ils contiennent également les préférences intimes et phantasmes des membres, renseignés lors de l’inscription au site. Et pour parfaire le tableau, Impact Team a également publié des informations confidentielles sur Avid Life Media, la société qui édite le site, avec notamment des données financières, les salaires des employés…
« Le temps est écoulé », a indiqué Impact Team dans un court communiqué accompagnant leur dump. Que voici :
« Avid Life Media n’a fermé ni Ashley Madison ni Established Men (un autre site du groupe, NDLR). Nous avons décrit la fraude, la tromperie et la stupidité d’ALM et de ses membres. Désormais, tout le monde peut voir leurs données.
Vous avez trouvé quelqu’un que vous connaissez ? Gardez à l’esprit que ce site est une arnaque, qu’il est rempli de milliers de faux profils féminins […] De 90 à 95 % des utilisateurs sont des hommes. Il y a des chances que votre conjoint ait rejoint le plus grand site d’adultère au monde, mais qu’il n’ait jamais eu de liaison. Il a juste essayé. Si cette distinction a une importance.
Vous êtes dans la base ? C’est ALM qui vous a trahi et vous a menti. Faites-leur un procès et réclamez des indemnités. Apprenez la leçon et réparez vos torts. C’est embarrassant, mais un jour, vous passerez à autre chose.»
Voilà qui est dit. Ashley Madison, dont le site français affiche toujours ironiquement le slogan : « Plus de 38.920.000 membres anonymes » a réagi par le biais d’une déclaration particulièrement vigoureuse :
« Ceci n’est pas un acte d’hacktivisme, c’est un acte criminel. C’est une action illégale contre les membres d’AshleyMadison.com et contre les individus libres penseurs qui choisissent de s’engager dans des activités en ligne parfaitement légales. Ce ou ces criminels se sont transformés en juges moraux, jurés et bourreaux, et souhaitent imposer leur version personnelle de la vertu à la société toute entière. Nous n’allons pas rester bêtement assis et permettre à ces voleurs d’imposer leur idéologie dans le monde entier. »
Les motivations d’Impact Team sont en effet surprenantes : d’après leurs différents communiqués, c’est bel et bien parce qu’ils exècrent le concept même d’Ashley Madison et d’Established Men (un site de rencontre sulfureux qui met en relation hommes riches et jeunes femmes) qu’ils s’en sont pris à Avid Life Media. Leur ambition : que ces deux services soient définitivement coupés. Des motivations qui tranchent avec celles de nombreux cybercriminels, qui se servent la plupart du temps des données qu’ils ont récoltées afin de rançonner le site ciblé.
Ces utilisateurs qui vont passer un sale quart d’heure
Toujours est-il que la base de données livrée par Impact Team est belle et bien celle du site, et qu’elle peut faire très mal. De nombreux internautes ont déjà récupéré les différents fichiers et en extraient des données en ce moment même. Des sites permettant d’interroger la base par le biais d’un simple moteur de recherche sont d’ores et déjà en ligne.
D’autres internautes facétieux ont déjà mis en avant les dizaines de comptes mails potentiellement « croustillants » en provenance du Vatican (en « .va ») fournis par les Nations Unies (« .un ») ou encore d’employés du gouvernement britannique. Des scandales compromettant quelques célébrités sont peut-être à prévoir. Il est cependant bon de rappeler que le site n’exigeait pas de confirmation de l’e-mail d’un client. Trouver le courriel d’un proche dans cette base ne signifie donc pas forcément qu’il était inscrit sur le site…
D’après le chercheur en sécurité Robert Graham, qui a analysé la base, elle contiendrait 28 millions d’hommes, 5 millions de femmes et 2 millions de personnes de sexe indéterminé. Les informations personnelles sont très précises, puisqu’on découvre non seulement le nom de l’utilisateur et son e-mail, mais aussi des informations sur son physique (poids, taille…) et parfois une adresse ou des coordonnées GPS ! La base de données ne contient pas de mots de passe, mais leur empreinte, que les hackers peuvent exploiter pour récupérer le sésame si celui-ci est trop simple. Autant d’informations qui pourraient non seulement leur poser d’épineux problèmes de couple… Mais aussi les exposer davantage à de nouvelles attaques en ligne.
Ce hack incroyable n’est pas le premier à avoir touché un site de rencontres plutôt chaud. Au moins de mai dernier, un hacker avait piraté le site Adult Friend Finder et récupéré les plans sexe de 4 millions d’inscrits. Mais à l’époque, son ambition était tout autre : il la revendait contre 70 Bitcoin sonnants et trébuchants…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.