La page d'accueil du site Ashley Madison. CHRIS WATTIE / REUTERS

Pas moins de 9,7 gigaoctets de données liées à 32 millions de comptes : un groupe de pirates informatiques se faisant appeler « The Impact Team » a mis en ligne sur plusieurs services de téléchargement un ensemble de fichiers présentés comme l’intégralité de la base de données du site de rencontres Ashley Madison.

A la mi-juillet, The Impact Team avait affirmé avoir piraté les serveurs du site et menaçait de rendre public ce fichier si ALM, l’entreprise canadienne qui édite le site, ne fermait pas ce service. Les données publiées comportent des adresses et numéros de téléphone ou encore des préférences sexuelles - les mots de passe des utilisateurs, en revanche, étaient chiffrés de manière sécurisée.

« Salauds » et « menteurs »

Ashley Madison se présente comme le leader mondial des rencontres extraconjugales. Selon le communiqué mis en ligne à la mi-juillet par les pirates, c’est pour cette raison que le groupe avait visé ce site, dénonçant à la fois le principe du site et ses utilisateurs qualifiés de « salauds » et de « menteurs ».

Ils reprochaient également à Ashley Madison d’avoir menti : le site propose une option, payante, pour qu’un utilisateur supprime toutes ses données du site. Mais en réalité, toutes les données ne seraient pas supprimées.

Le groupe demandait également la suppression d’un autre site faisant partie du même groupe qu’Ashley Madison, Established Men, un « site de prostitution/trafic d’êtres humains pour que des hommes riches s’achètent du sexe », selon les pirates, qui propose sur sa page d’accueil des rencontres entre « des femmes séduisantes et des hommes qui ont réussi ».

Dans un message accompagnant les fichiers, The Impact Team incite les utilisateurs du site à se retourner contre ALM :

« Quelqu’un que vous connaissez s’y trouve ? Gardez à l’esprit que ce site est une arnaque avec des milliers de faux profils féminins. Souvenez-vous du procès qu’a eu Ashley Madison sur les faux profils : 90 à 95 % des inscrits sont en réalité des hommes. Il y a des chances que votre homme se soit inscrit sur le plus grand site de liaisons au monde, mais qu’il n’en ait eu aucune. Il a juste essayé d’en avoir. C’est une distinction importante.

Vous vous êtes retrouvé dans ce fichier ? C’est la faute d’ALM qui vous a menti. Portez plainte et réclamez des dommages et intérêts. Et continuez votre vie. Retenez la leçon et faites pénitence. C’est gênant aujourd’hui, mais ça passera. »

« Juges de moralité, jury et bourreau autoproclamés »

ALM a de son côté vivement réagi à la publication des données. L’entreprise n’a pas confirmé l’authenticité des fichiers publiés, mais de très nombreux témoignages d’utilisateurs s’étant retrouvés dans les documents mis en ligne semblent confirmer l’authenticité des données. A la fin de juillet, la société avait déjà présenté ses excuses après avoir reconnu que ses serveurs avaient bel et bien été piratés.

« Ce n’est pas l’action de hacktivistes, c’est l’action de criminels. C’est une agression illégale contre les membres d’ashleymadison.com et contre tous les libres penseurs qui ont des activités parfaitement légales en ligne, explique ALM dans un communiqué. Le ou les criminels impliqués dans ces actions se sont autoproclamés juges de moralité, jury et bourreau, et cherchent à imposer leur propre conception de la vertu à l’ensemble de la société. »

Des centaines d’internautes ont d’ores et déjà commencé à explorer le contenu des fichiers, qui comportent des centaines d’adresses électroniques professionnelles – dont certaines appartenant à l’armée américaine ou même à la Maison Blanche.

La non-suppression des données en question

En mai, quatre millions de profils d’utilisateurs du site Adultfriendfinder, spécialisé dans les rencontres d’un soir, avaient déjà été mis en ligne après un piratage. Les pirates ne s’étaient alors embarrassés d’aucune explication moraliste, mais avaient tenté de faire chanter l’entreprise et réclamé plus de 350 000 dollars pour ne pas publier le contenu des fichiers piratés. Là encore, les documents avaient montré que contrairement aux promesses du site, l’entreprise conservait une copie des données des utilisateurs même après suppression du compte.

En France, où Ashley Madison revendique 600 000 inscrits – un chiffre impossible à vérifier en raison du grand nombre de faux profils – la CNIL a mis en demeure treize sites de rencontres à la fin de juillet pour des manquements à la loi informatique et libertés. Les sites épinglés (Meetic, Attractive World, Adopte un mec, Easyflirt, Rencontre obèse, Destidyll, Force Gay, Mektoube, JDream, Feuj World, Marmite love, Gauche rencontre et Celibest) se voyaient notamment reprocher de ne pas supprimer totalement les données des personnes ayant clos leur compte.

Le Monde