Pourquoi il ne faut pas trop s’inquiéter du piratage du site de rencontres extra-conjugales Ashley Madison<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Le site de rencontres extra-conjugales Ashley Madison a été piraté.
Le site de rencontres extra-conjugales Ashley Madison a été piraté.
©Reuters

Prix de l'infidélité

Des millions de données issues du site de rencontres adultères Ashley Madison, de l'adresse email aux préférences sexuelles, ont été mises en ligne par des pirates informatiques. Si ces révélations ont affolé les internautes, le nombre de faux profils semble conséquent. A tel point que ce scandale révèle la faiblesse qualitative des données déclarées sur la toile.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Si le site de rencontres extra-conjugales Ashley Madison revendique près de 600 000 inscrits en France (plus de 30 millions dans le monde), le nombre de faux profils seraient particulièrement important. Ainsi, beaucoup d'adresses emails étaient fausses (adresse crée avec le nom de Tony Blair par exemple, etc.). Qu'est ce que cette affaire nous dit sur la qualité des informations déclarées sur internet ?

Franck DeCloquement : Dans l'excitation générale autour du piratage de la base de donnée client du site Ashley Madison, puis de sa mise en ligne frauduleuse revendiqué par les hackers de The Impact Team, il faut – me semble-t-il – rester très prudent quant à l'analyse des informations partielles qui circulent actuellement sur le web. Une enquête est ouverte à cette effet par le FBI et nous permettra très rapidement d'en savoir plus. En toute état de cause, toutes les données du problème relative à cette opération frauduleuse de très grande ampleur, ne sont pas encore connues avec exactitude. Elles sont rapportées par des sources parfois très peu fiables ou très partielles, au moment ou nous composons cet article.
De manière générale, il est tout à fait plausible que de très nombreux profils d'utilisateurs soient en effet des faux. Et ceci, dans le but évident de booster le modèle économique du site Ashley Madison. Et donc, ses recettes publicitaires. Dans ce cas, la responsabilité de ce mensonge éventuel serait à rechercher du côté des propriétaires du site, le groupe Avid life Media (ALM) qui édite « Ashley Madison » et bien d’autres sites de rencontres. L'intérêt de la manœuvre – si l'on se base sur cette hypothèse – étant possiblement de le faire apparaître comme beaucoup plus gros et prolifique en subsides qu'il n'est en réalité... Et ceci, à destination des investisseurs et des régies publicitaires.
Mais il se peut également que les utilisateurs aient eux-mêmes pu enjoliver sciemment – et de manière concomitante – leur identité réelle, pour s'assurer d'une discrétion de bon aloi, dans leurs échanges et leurs partages avec d'autres internautes en ligne. Rapport de promiscuité oblige.

Le site lui-même incitait ses utilisateurs à mentir sur leurs identités réelles. Les données sur internet sont un bien précieux, commercialisées par les sociétés. Quelle valeur accorder à ces informations ?

De manière évidente, il est possible qu'une fraction non négligeable des utilisateurs ont pu déclarer une identité de substitution ; qu'ils aient été encouragé à le faire ou non ; afin de se protéger en cas de fuites de données personnelles. D'autres au contraire ont peut être considéré que le site leur assurait un anonymat de fait, par la mise en œuvre de procédures basiques de chiffrement informatiques adéquats des données utilisateurs sensibles (identifiants, mots de passe, numéros de comptes bancaires, préférences sexuelles, etc). A tord on le voit aujourd'hui... D'autant plus, comme nous le rappelions déjà il y a quelques semaines, à l'occasion d'un précédent article sur le même sujet, les sites de rencontres en lignes pour adultes concentres l'essentiel de leurs investissements sur ce qui pourra leur rapporter rapidement de la part de marché et des subsides, et finalement beaucoup moins sur les procédures de sécurités essentielles de leurs installations informatiques. Des pratiques basiques de sécurité que certains de ses concurrents n’ont également pas mise en place, comme l’ont démontré de précédents piratages.

Le fait que les données déclarées soient fausses est-il propre aux sites de rencontres ou est-ce une pratique courante sur d'autres sites ?

Tout dépend le sens que l'on donne au terme : « données déclarées fausses » ? S'agit-il ici des données personnelles « déclarées par les abonnés » eux mêmes, concernant la conformité de leur identité quand ils s'inscrivent sur les sites de rencontres ? Ou le nombre réels des abonnées aux services qu'offrent ces sites de rencontre en ligne, « déclarés » par leurs propriétaires, afin de leur conférer plus d'attrait auprès des régies publicitaires ? Dans les deux cas, il est évident que de très nombreux sites boostent leur activité artificiellement, afin de générer au plus vite une très forte croissance et des recettes conséquentes. Si possible exponentielles.
Dés lors, la pratique déloyale du « pas vu, pas pris » peut être une option séduisante pour un opérateur sans vergogne, dans la quête effrénée de l'avantage stratégique, et sur un segment de marché très concurrentiel.

Ashley Madison propose, par le biais d'une option « payante », la suppression de toutes les données sensibles du site pour un abonné qui le souhaiterait. En réalité, toutes les données ne seraient pas supprimées... Quelle est la marge de manœuvre de la CNIL qui a déjà épinglé plusieurs sites de rencontres comme Meetic, Attractive World, Adopte un mec ou encore Easyflirt ?

Il est évident que la réglementation en matière de conservation des données personnelles qu'il est légalement possible de détenir ou de collecter pour un opérateur de commerce en ligne, est très stricte en France. Et tous les acteurs du web que vous citez doivent naturellement s'y conformer, quand ils commercent à partir du territoire national.
Sous peine de sanctions en cas de contrôle inopiné et de non respect des lois en vigueur. C'est une toute autre affaire quand des sites de commerce en ligne ne sont pas implantés sur le territoire national, et agissent à partir d'une domiciliation souvent extra-européenne, qui les met à l'abri des poursuites ou de sanctions éventuelles. La législation locale pouvant être en la matière, inexistante ou beaucoup plus permissive.
Dans ce cas, les données personnelles peuvent être en effet stockées à des fins commerciales et utilisées frauduleusement, sans l'accord expresse des utilisateurs. Le risque est bien réel.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !