Piratage d'Ashley Madison: «Ca pourrait très bien arriver en France»

INTERVIEW Des pirates informatiques ont révélé les noms des utilisateurs du site américain de rencontres extraconjugales Ashley Madison…

Propos recueillis par Delphine Bancaud

— 

Le site Ashley Madison a été piraté.
Le site Ashley Madison a été piraté. — Cartel/REX Shutterstock/SIPA

Vent de panique chez les clients français des sites de rencontres extraconjugales depuis l’annonce du piratage du site américain de rencontres adultères Ashley Madison. Les données de 33 millions de comptes utilisateurs ont été publiées en ligne et certains craignent que des données privées comme leurs préférences sexuelles ou leurs coordonnées circulent dans l’espace public. 20 minutes a interrogé sur le sujet Jérôme Saiz, consultant en protection des entreprises et expert du Cercle européen de la sécurité et des systèmes d’information.

Les sites français de rencontres pourraient-ils être victimes d’un piratage comme celui qu’a subi Ashley Madison ?

Oui cela pourrait très bien arriver en France. Car aucun site ne peut se déclarer totalement à l’abri de hackers chevronnés. Les entreprises empilent les mesures de sécurité permettant de ralentir les éventuels agresseurs de leurs sites. Mais la sécurité absolue n’existe pas et un pirate suffisamment motivé arrivera toujours à ses fins.

>> Les utilisateurs d’un site de rencontres adultères mis à nu par des pirates informatiques

Le site d' Ashley Madison était-il suffisamment protégé ?

Ce que l’on sait, c’est qu’il gardait beaucoup trop d’informations sur ses clients. Il aurait dû en effacer certaines et ne pas garder les données des personnes qui s’étaient désinscrites du site. On sait aussi que certains mots de passe professionnels étaient stockés sur des fichiers Excel sur le serveur de l’entreprise, ce qui est une mauvaise pratique. Par ailleurs, Ashley Madison ne vérifiait pas les adresses mail de ses clients, donc certains se sont inscrits avec celles d’autres personnes. Ce qui est un problème en soi. Selon les premières informations, les pirates sont restés longtemps dans le système informatique de l’entreprise. On peut imaginer, par exemple, qu’ils aient compromis le poste de travail d’un salarié en le faisant cliquer sur un lien. Ce qui leur aurait permis de prendre le contrôle de son poste et d’avancer à sauts de puces dans le réseau de la société.

>> Piratage d’Ashley Madison : Une ex-star de la téléréalité avoue ses infidélités

Cette affaire va-t-elle forcer les sites français à renforcer leur sécurité informatique ?

Oui, beaucoup ont dû procéder à des audits afin de repérer les failles de leur système et les corriger. C’est d’autant plus indispensable, que leur image risque d’être atteinte par cette affaire qui a dévoilé des pratiques que les clients voulaient garder secrètes, avec des conséquences qui peuvent s’avérer graves pour certains d’entre eux. Cela risque aussi de forcer ces sites à davantage de transparence vis-à-vis de leurs clients sur la gestion de leurs données personnelles. Les informations relatives à la révision des données des personnes sont pour l’heure indiquées dans les conditions générales d’utilisation, que personne ne lit. Si un site les mettait en avant de manière compréhensible et offrait à ses client un meilleur contrôle sur ces données, cela constituerait un argument commercial fort.

Comment les clients de ces sites de rencontres peuvent-ils se prémunir eux-mêmes contre ce type de cas ?

Ce n’est pas facile de savoir si un site est bien sécurisé car tout se passe sur son serveur. il l'est probablement aussi dans sa façon de gérer sa sécurité. Mieux vaut alors ne pas s’y inscrire. Par ailleurs, si l’adhésion au site n’est pas payante, il vaut mieux s’y inscrire sous un faux nom avec une autre adresse mail. En revanche, ce ne sera pas possible si on doit payer avec sa carte bleue. Mais on peut tout de même cacher sa vraie identité sur son profil public. Il faut aussi impérativement se créer une adresse mail spécifique pour l’utilisation de ces sites avec un mot de passe différent de sa boîte habituelle. Car si ces données sont identiques et que le site se fait hacker, les pirates essaieront d’utiliser ses codes sur tous ses autres comptes…