412 millions de comptes sont concernés par le piratage du site AdultFriendFinder. © Kacper Pempel / Reuters / REUTERS

« Le plus grand piratage de 2016 » : c’est ainsi que le site Leaked Source, habitué à dévoiler ce type d’informations, a présenté dimanche 13 novembre sa nouvelle révélation. Selon lui, le site de rencontres américain AdultFriendFinder a été piraté le mois dernier. Des informations que vient appuyer le site spécialisé ZDNet. Selon eux, pas moins de 412 millions de comptes auraient ainsi été compromis. En comparaison, l’énorme piratage dévoilé par Yahoo! en septembre, datant de 2012, avait exposé 500 millions de comptes, et celui du site de rencontres extraconjugales Ashley Madison, 33 millions.

Parmi ces comptes, 339 millions seraient issus d’utilisateurs de ce site de rencontres, le reste viendrait d’autres sites de la même entreprise, comme Cams.com (62 millions) ou encore Penthouse.com (7 millions). Ces données couvrent l’ensemble des utilisateurs de ces sites sur vingt ans – AdultFriendFinder a été lancé en 1996. Ce qui peut expliquer ce chiffre important, ainsi que la possible présence massive de faux comptes, comme cela arrive souvent sur ce type de plateforme. 23,3 millions des comptes piratés seraient francophones, affirme Leaked Source.

Les données piratées sont le nom d’utilisateur, l’adresse e-mail, la date de la dernière visite et le mot de passe. Une partie de ces derniers aurait été stockée en clair, une autre avec SHA 1, une technologie de « hachage cryptographique » considérée comme peu robuste. Au point que Leaked Source affirme avoir pu déchiffrer 99 % de ces mots de passe. Les données indiquent aussi si l’utilisateur a fait appel à des services payants proposés par ces sites.

Des comptes supprimés toujours stockés

En revanche, la préférence sexuelle des utilisateurs n’apparaît pas dans la base de données, affirme Leaked Source. AdultFriendFinder avait déjà été piraté l’an dernier, et les informations de 4 millions d’utilisateurs avaient été diffusées en ligne, contenant notamment leur orientation sexuelle.

Ce piratage avait aussi montré que des comptes, pourtant supprimés par leurs propriétaires, étaient toujours présents dans la base de données du site. Un an plus tard, il semble qu’AdultFriendFinder n’ait rien fait pour changer cela, puisque pas moins de 15 millions de comptes censés avoir été supprimés apparaissent dans la base de données, assure Leaked Source.

Ce dernier avait déjà révélé par le passé plusieurs piratages d’ampleur de ce type, comme celui qui avait touché MySpace en mai ou encore celui qui concernait les utilisateurs de Twitter en juin. Pour vérifier l’authenticité du piratage d’AdultFriendFinder, le site spécialisé ZDNet a eu accès à une partie de la base de données, et a contacté certaines personnes y apparaissant, qui lui ont confirmé disposer d’un compte sur AdultFriendFinder.

AdultFriendFinder ne confirme pas

L’entreprise, de son côté, n’a ni confirmé ni démenti l’information. Elle a toutefois admis auprès de ZDNet qu’il existait « une vulnérabilité » dans le site, qui a été « réparée ». Tout en précisant que « ces dernières semaines, FriendFinder a reçu plusieurs signalements sur de potentielles vulnérabilités, issus de différentes sources », dont une partie « se sont révélées être des tentatives d’extorsion ». L’entreprise a assuré qu’elle prenait « la sécurité de ses clients très au sérieux » et qu’elle apporterait plus d’informations au fil de son enquête. En octobre, date présumée de l’intrusion, un spécialiste en sécurité informatique avait publiquement dévoilé que le site présentait une vulnérabilité.

Le site Leaked Source a indiqué que, contrairement à son habitude, il ne permettrait pas aux internautes d’effectuer une recherche dans la base de données pour vérifier si leur compte avait été compromis, étant donné la nature délicate de ce piratage – cela évite par exemple que des personnes recherchent leur conjoint.

AdultFriendFinder fait partie d’un vaste réseau de sites de rencontres et pornographiques, qui revendique près de 600 millions d’utilisateurs. Il se présente comme « la plus grande communauté mondiale de sexe et d’échangisme ». Il fait partie des 2 000 sites les plus visités au monde, selon le classement de l’entreprise Alexa, et des 1 000 les plus populaires aux Etats-Unis.

Lire aussi Les sites de rencontres, cibles privilégiées des piratages

Le Monde