Sexe, rançon et données personnelles

Le 1 septembre 2015, dans Vie privée, par Bertrand PLAU

Le titre est volontairement provocateur, mais l’affaire étudiée mérite que l’on plonge dans le racoleur. Récemment, les pirates du groupe « Impact Team » s’en sont pris à AshleyMadison, un site américain de rencontres en ligne afin d’en subtiliser les données personnelles de ses adhérents. Si en soit il s’agit d’une (énième) affaire de piratage somme toute relativement classique à l’heure actuelle, l’intérêt réside dans l’engouement de plus en plus fréquent pour les hackers de « rançonner des données personnelles ».

BP-article

Données personnelles et sites de rencontre

Les (pseudos) chevaliers blancs de l’Internet

Mais revenons un peu sur cette affaire : pourquoi Impact Team s’en est-il pris à de pauvres ères souhaitant jouir d’un plaisir digital espéré charnel ? Le site internet en question avait une politique assez ciblée concernant les rencontres : il s’agissait en effet de mettre en exergue les relations adultérines. Aïe, là exit le droit, bonjour la morale ! En effet, c’est l’un des fondements du piratage effectué sur le site : la défense via l’hacktivisme de valeurs morales concernant le couple et également le fait pour le responsable du site de mentir sur la suppression réelle des données des utilisateurs. Voici donc les justifications lancées par le groupe Impact Team suite à leur récent coup d’éclat de la diffusion massive des données des utilisateurs du site, ainsi que la diffusion de courriels de la direction tendant à prouver la véracité des informations subtilisées :

« Quelqu’un que vous connaissez s’y trouve ? Gardez à l’esprit que ce site est une arnaque avec des milliers de faux profils féminins. Souvenez-vous du procès qu’a eu Ashley Madison sur les faux profils : 90 à 95 % des inscrits sont en réalité des hommes. Il y a des chances que votre homme se soit inscrit sur le plus grand site de liaisons au monde, mais qu’il n’en ait eu aucune. Il a juste essayé d’en avoir. C’est une distinction importante.

Vous vous êtes retrouvé dans ce fichier ? C’est la faute d’Ashley Madison qui vous a menti. Portez plainte et réclamez des dommages et intérêts. Et continuez votre vie. Retenez la leçon et faites pénitence. C’est gênant aujourd’hui, mais ça passera. »

Le piratage s’est souvent justifié par de telles considérations, le terme pirate n’étant d’ailleurs pas apprécié par ces individus qui préfèrent la dénomination de hacker. La différence ? Elle consiste dans cette défense des valeurs morales ou des bonnes mœurs, le pirate agissant quant à lui pour des intérêts plus personnels ou dans le seul but de nuire. La pratique est donc courante, et AshleyMadison n’est pas le premier site à tomber de la sorte : on se rappelle du piratage du Playstation Network aux motifs que la politique économique de Sony était condamnable, ou encore (pour rester dans le thème du site de rencontre) le site « Adultfriendfinder » où les pirates avaient rançonné des données utilisateurs. L’exercice d’une activité sur Internet mettant en cause les mœurs est aujourd’hui plus que jamais susceptible de s’attirer les foudres des attaques informatiques, d’autant que la gravité du cas d’espèce empêche malheureusement à ce dernier de rester dans la seule catégorie du comique.

Un rançonnage virtuel massif

La première donnée qui empêche de rester dans la boutade grivoise se disant que les cinquante nuances de gris auraient pu s’exalter entre tous les membres du site, c’est qu’il s’agit ici d’environ 37 millions de données personnelles piratées. Parmi ces données, vous trouverez tout ce qui fait frémir la CNIL lors de l’identification directe ou indirecte d’une personne, soit les courriels qui ont fait l’objet d’une diffusion sur le darknet, mais également des données classifiées sensibles comme l’orientation sexuelle des personnes. La subtilisation des données est donc conséquente, et cette aspiration massive avait initialement pour but de faire pression sur le propriétaire du site internet.

En effet, les pirates espéraient tout simplement obtenir la fermeture du site en contrepartie de ne pas dévoiler les données des personnes ayant voulu s’adonner aux rencontres interdites. A bon entendeur, nous constatons donc (qu’une fois de plus) certains pirates utilisent l’excuse de la morale à des fins non de protection des données des personnes, mais de dénonciation des pratiques du site qui faisait payer la suppression des données du compte des adhérents, le tout bien évidemment enrobé de morale sucrée. Le débat, qui sera laissé à d’autres, sur le fait ou non de déverser sur le net toutes ces données oppose encore une fois, d’une façon presque sempiternelle, le droit et la morale. D’un côté la morale, accessible, émotionnellement puissante et indéniablement subjective, le côté obscur de la force d’un juriste, défend l’idée d’une libération de l’ensemble de ces données pour dénoncer tous ces défenseurs de la tromperie et de la luxure. Ce serait en effet rendre service à la société en prouvant aux femmes, maris, conjoints de toute sorte que leur moitié est volage : les couples s’en porteraient ainsi mieux avec leur destruction pour une reconstruction plus saine ultérieurement. Le dieu Shiva n’agissait-il pas ainsi, en détruisant les vieux mondes pour en bâtir d’autres ?

De l’autre côté le droit, froid, dur et honteusement objectif : le droit ne défend pas la veuve et l’orphelin, il défend, tout simplement. Or de telles affaires sont incriminées en Droit français. Dans un premier temps, le Code pénal condamne toute intrusion non autorisée dans un système de traitement automatisé de données. Il condamne également la subtilisation de données et l’entrave faite au site internet qui est, en plus d’un STAD légalement défini, une activité de commerce électronique. Autoriser donc tacitement ce genre d’actions revient à prôner les situations d’illégalité nonobstant les pratiques « d’escroc » dénoncées par Impact Team, et si les pirates sont hors la loi, le responsable du site internet l’est tout autant en ce que la loi Informatique et Libertés impose une garantie de sécurité qui engage sa responsabilité (le régime légal applicable étant ici américain, les infractions sont donc différentes).

Garantir une sécurité adéquate de votre système d’information

Il apparait que ce genre de cas met en exergue une nécessité aujourd’hui majeure pour le responsable d’un site : la sécurisation de l’ensemble de ses installations, tant au plan physique que logique. En effet, dans le cas où vous seriez davantage la cible potentielle d’une attaque du fait que votre activité repose sur un marché inadapté aux bonnes mœurs, les conséquences seraient tant économiques que légales, et une seule attaque effective risque d’anéantir votre activité. Sans pour autant promouvoir des choses soumises à des débats moraux, force est de constater que le marché du sexe est aujourd’hui une réalité efficace : ce dernier montre peu de signes de faiblesses, et la gent tant masculine que féminine s’y adonne. Le numérique s’est donc adapté, et les sites internet ne doivent donc, en conséquence, plus négliger leur sécurité pour assouplir leur budget dans un business plan. Enfin, la meilleure manière de sécuriser ses données personnelles reste encore de les contrôler et de les utiliser à bon escient.

Pour conclure, n’oubliez pas qu’aucun système de défense informatique ne pare toutes les attaques dans l’absolu : il est donc important de constamment mettre à jour ses pare-feux, de mettre en place des parades au niveau des serveurs pour éviter une surcharge anormale de requête (par exemple, un content delivery network permet de pallier à certaines attaques par déni de service) et de sensibiliser votre personnel sur les risques et les bonnes pratiques à adopter afin de minimiser les risques et leurs impacts. En une phrase comme en mille, crypter les données de vos utilisateurs vous permet, via un algorithme assez fort, de garantir une certaine sécurité tant aux yeux de la loi qu’aux yeux des membres d’un site espérant la rencontre avec une belle sirène, voire avec la flèche de Cupidon.

Bertrand PLAU

Comments are closed.