Les données volées de quelque 32 millions d’utilisateurs du site de rencontres extraconjugales, victime d’un piratage informatique en juillet, ont été mises en ligne mardi, a rapporté le magazine spécialisé Wired. Quelque 15.000 abonnés donnent des adresses mails de membres du gouvernrment ou de l’armée.
Les données volées, parmi lesquelles figurent des millions de montants payés, des adresses email, des numéros de téléphone d’utilisateurs de ce site décrit par Wired comme la face cachée du net, le «dark web», sont désormais accessibles. Le site avait subi une attaque informatique et le vol de données de nombre de ses utilisateurs il y a un mois, conduite par un groupe se faisant appeler «The impact team».
Ce groupe menaçait de publier les dossiers des clients, les photos de nus et les conversations si le site n’était pas fermé. Ils ont mis leurs menaces à exécution dans la nuit de mardi à mercredi, selon Wired.
Le site Ashley Madison, dont le slogan est «Life is short. Have an affair» («La vie est courte. Prenez un amant») et qui compte plus de 37 millions d’utilisateurs, est spécialisé dans les rencontres extraconjugales. Des utilisateurs de 46 pays sont inscrits sur le site, créé en 2001.
Le torrent à télécharger depuis le deep web
Avid Life Media, propriétaire d’Ashley Madison, a expliqué en juillet qu’un «tiers non autorisé» avait accédé aux données par le biais de différents points sur le site. La société avait indiqué avoir immédiatement engagé l’une des meilleures équipes au monde en sécurité informatique pour atténuer l’attaque. Avid Life Media, basé au Canada, avait ajouté qu’il travaillait main dans la main avec les autorités pour identifier les responsables de cet «acte de cyber-terrorisme».
«Nous avons expliqué la fraude, la tromperie, et la stupidité d’Avid Life Media et de ses membres. Maintenant tout le monde peut voir leurs dossiers», a déclaré le groupe de pirates mardi.
«Je cherche quelqu’un qui n’est pas heureux en ménage, qui s’ennuie ou cherche un peu d’excitation», rapporte Wired citant un utilisateur anonyme. Il souligne que quelque 15.000 abonnés donnent des adresses mails de membres du gouvernrment ou de l’armée. Avid Life Media, a dénoncé mardi une action illégale contre les membres du site Ashley Madison. Elle avait déjà condamné une première attaque comme une «intrusion criminelle», a précisé Wired.
Découvertes intéressantes
J'ai parcouru la liste d'e-mails à la recherche de certains noms de domaine spécifiques. Voici ce que j'ai trouvé, après une fouille très superficielle. L'authenticité de ces données n'est évidemment pas garantie.
Des adresses e-mail en .ch ?
Evidemment, il existe des doutes sur l'authenticité des informations fournies, par exemple le numéro de téléphone ou l'adresse postale. Mais l'adresse e-mail, si elle n'a pas été spécialement créée à cet effet, est une donnée qui permet d'identifier des personnes, en particulier avec le format prénom.nom@quelquechose.ch.
L'utiliser sur un site pour s'adonner à l'adultère (je ne juge pas), alors que cela implique en principe que le conjoint n'est pas au courant et que cela doit rester secret, ce n'est pas très intelligent.
Administrations publiques
19 adresses de l'administration fédérale (@quelquechose.admin.ch)
un(e) à l'Office fédéral du sport (OFSPO)
un(e) à l'Office fédéral de la communication (OFCOM)
un(e) au Secrétariat d'Etat à l'Economie (SECO)
un(e) au Département fédéral des affaires étrangères (DFAE)
un(e) à la Chancellerie fédérale
un(e) à l'Office fédéral de la santé publique (OFSP)
trois à Administration fédérale des contributions (AFC)
dix de l'Armée suisse
4 adresses de l'administration vaudoise (@vd.ch)
1 adresse de l'administration fribourgeoise (@fr.ch)
3 adresses de l'administration neuchâteloise (@ne.ch)
3 adresses de la ville de Lausanne (@lausanne.ch)
Quelques fournisseurs suisses de services d'e-mail (nombre de clients)
16'102 adresses Bluewin (@bluewin.ch)
33 adresses Romandie (@romandie.ch)
8 adresses VTX (@vtx.ch)
211 adresses ProtonMail (@protonmail.ch ou .com)
26'505 adresses GMX (@gmx.ch)
1'532 adresses Sunrise Suisse (@sunrise.ch)
Institutions (basées en Suisse)
6 adresses du CERN (@cern.ch)
20 adresses (au moins) des Nations Unies (@un.org)
11 adresses UNIL (@unil.ch)
2 adresses UNIGE (@unige.ch)
5 adresses de l'EPFL (@epfl.ch)
7 adresses de l'ETHZ (@ethz.ch)
1 adresse de la RTS (@rts.ch)
Partis politiques nationaux
1 adresse PLR (@fdp.ch)
(aucun résultat avec
@udc.ch, @svp.ch, @plr.ch, @sp-ps.ch, @pdc.ch ou @cvp.ch)
Sociétés suisses
1 adresse d'Helsana (@helsana.ch)
9 adresses de Swisscom (@swisscom.ch)
7 adresses de la Poste (@post.ch)
12 adresses des CFF (@sbb.ch)
32 adresse d'UBS (@ubs.com)
19 adresses de Credit Suisse (@credit-suisse.com)
1 adresse de Migros (@migros.ch)
Utiliser son adresse e-mail professionnelle ?
Les personnes qui se sont inscrites en utilisant leur adresse professionnelle pourraient se voir infliger un avertissement, ou se faire licencier.
La Confédération a une charte stricte en matière d'utilisation de la messagerie (je l'ai signée, j'ai travaillé six mois pour le DFAE). Les administrations cantonales et communales en ont très certainement une également.
De manière générale, c'est une utilisation interdite que de se servir de sa boîte de messagerie à des fins privées. Pour rappel, les employeurs, publics ou privés, ont en principe le droit de consulter vos e-mails professionnels. Ce n'est donc vraiment pas une bonne idée que d'utiliser cette boîte pour vous inscrire sur ces sites.
Conséquences
La divulgation de ces données ayant pour origine un crime ou un délit, son utilisation comme motif pour licencier ou avertir un employé qui se serait servi de son adresse e-mail professionnelle ne devrait pas être permise. Cependant, si des e-mails interdits se trouvent encore dans les boites de messagerie des employés et que l'employeur les découvre lors d'un contrôle de routine, c'est une autre histoire.
Pour les autres personnes, légalement elles ne risquent pas grand chose. Mais de nombreux sites ont essaimé en quelques heures et proposent de vérifier si une adresse e-mail particulière se trouve dans la base de données (ici, ici, ici ou là). Vous pourriez donc être inquiété(e) par votre conjoint, le cas échéant.
Comme le divorce pour faute n'existe plus en Suisse depuis 2000, le juge ne s'intéressera pas aux raisons de la séparation.
«Secrets et mensonges»
Interrogé sur d'éventuelles nouvelles attaques informatiques, le groupe a répondu: «pas seulement des sites. Toute société qui fait des centaines de millions de profits sur la douleur des autres, les secrets et les mensonges. Peut-être des hommes politique corrompus».
Le site Motherboard dit avoir contacté les pirates informatiques par «un intermédiaire» et des messages cryptés. Une action en nom collectif a été lancée au Canada cette semaine contre le site de rencontres dont le slogan est «Life is short. Have an affair» (La vie est courte. Prenez un amant). Les plaignants réclamant 760 millions de dollars canadiens (545 millions de francs) à Avid Life Media.
AFP