Compromission d'Ashley Madison (Avid Life Media)

Un groupe se nommant l'Impact Team a piraté le site de rencontres adultères Ashley Madison, puis a divulgué les données de compte d'environ 32 millions d'utilisateurs — noms, e-mails, préférences sexuelles et historiques de paiement — après que la société mère Avid Life Media a refusé de fermer le site.

En juillet 2015, un groupe se nommant l'Impact Team a annoncé avoir piraté Ashley Madison, le site de rencontres basé à Toronto qui faisait la promotion des relations extraconjugales sous le slogan « La vie est courte. Ayez une aventure. » Les attaquants ont exigé que la société mère Avid Life Media ferme définitivement Ashley Madison et un site jumeau, Established Men, faute de quoi ils publieraient l'intégralité de la base de données clients du site. L'entreprise a refusé — et les attaquants ont mis leur menace à exécution.

Ce qui s'est passé

L'Impact Team a obtenu l'accès aux systèmes d'Avid Life Media et exfiltré la base de données des comptes de l'entreprise ainsi que des dossiers internes. Le 15 juillet 2015, ils ont lancé leur ultimatum ; le 19 juillet, la compromission était publique, et le PDG Noel Biderman la qualifiait d'acte criminel. Lorsque l'entreprise a refusé de fermer les sites, les attaquants ont intensifié leur action.

Le 18 août 2015, l'Impact Team a publié plus de 60 Go de données via BitTorrent, couvrant environ 32 millions de comptes. Une seconde divulgation, le 20 août, a révélé des e-mails internes de l'entreprise, dont la correspondance du PDG.

Ce qui a été exposé

Les données divulguées comprenaient :

Noms réels, adresses e-mail et adresses postales fournis à l'inscription
Préférences sexuelles et activité des comptes
Données partielles de carte de crédit et historiques de transactions de paiement

La divulgation a mis au jour un fait particulièrement dommageable : le service payant de « suppression complète » d'Ashley Madison, qui facturait aux utilisateurs l'effacement de leur profil, n'avait en réalité pas supprimé leurs données — contredisant directement la communication de l'entreprise.

Impact

Les conséquences furent graves et personnelles. L'exposition d'utilisateurs nommément identifiés a déclenché de vastes campagnes d'extorsion réclamant des paiements en Bitcoin, et a été reliée à des cas de suicide rapportés. Le PDG Noel Biderman a démissionné le 28 août 2015.

Les régulateurs ont réagi aux manquements sous-jacents en matière de sécurité et de communication commerciale. En décembre 2016, la FTC américaine et 13 États plus le district de Columbia ont conclu un accord avec l'entreprise (alors renommée Ruby Corp), qui a accepté un jugement de 17,5 millions de dollars, en grande partie suspendu, en versant 1,6 million. La FTC reprochait à la fois des pratiques laxistes de sécurité des données et l'utilisation de faux profils « engageurs » pour appâter les utilisateurs. En 2017, Ruby Corp a accepté un règlement supplémentaire de 11,2 millions de dollars des plaintes d'action collective de consommateurs.

Pourquoi c'est important

La compromission d'Ashley Madison a transformé la réflexion sur le préjudice réel de l'exposition des données. Contrairement aux compromissions de cartes de paiement, où le dommage est largement financier et réversible, cette fuite a exposé des informations personnelles intimes irréversibles — alimentant extorsion, ruine de réputation et drames. Elle est également devenue une affaire emblématique de suppression des données et de loyauté de la communication commerciale : facturer aux utilisateurs l'effacement de données que l'entreprise conservait discrètement a entraîné une action réglementaire directe et préfiguré les exigences ultérieures de « droit à l'effacement » de régimes tels que le RGPD.

Chronologie

15 juillet 2015

L'Impact Team pénètre chez Avid Life Media et somme l'entreprise de fermer définitivement Ashley Madison et Established Men, sous peine d'une exposition totale des données.

19 juillet 2015

La compromission devient publique ; le PDG d'Avid Life Media, Noel Biderman, la qualifie d'acte criminel et l'entreprise refuse de fermer les sites.

20 juillet 2015

L'Impact Team publie un premier échantillon de dossiers clients pour prouver la réalité de la compromission.

18 août 2015

Plus de 60 Go de données volées — couvrant environ 32 millions de comptes — sont publiés via BitTorrent.

20 août 2015

Une seconde divulgation publie des e-mails internes de l'entreprise, dont la correspondance du PDG.

28 août 2015

Noel Biderman démissionne de son poste de PDG d'Avid Life Media dans la tourmente.

14 décembre 2016

La FTC et 13 États annoncent un règlement ; l'entreprise verse 1,6 million de dollars sur un jugement de 17,5 millions (en grande partie suspendu).

1 juillet 2017

Ruby Corp (anciennement Avid Life Media) accepte un règlement de 11,2 millions de dollars des plaintes d'action collective de consommateurs.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/Ashley_Madison_data_breach

ftc.govhttps://www.ftc.gov/news-events/news/press-releases/2016/12/operators-ashleymadisoncom-settle-ftc-state-charges-resulting-2015-data-breach-exposed-36-million

krebsonsecurity.comhttps://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/

wired.comhttps://www.wired.com/2015/08/happened-hackers-posted-stolen-ashley-madison-data/

Incidents liés

Fuite de donnéesRésolu16 août 2024

Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

Victim: National Public Data (Jerico Pictures, Inc.)
Records: 2.90B

Fuite de donnéesRésolu6 octobre 2021

Fuite du code source et des rémunérations des créateurs de Twitch

Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.

Victim: Twitch (Amazon)

Fuite de donnéesRésolu31 mai 2016

Fuite d'identifiants MySpace

Les identifiants d'environ 360 millions de comptes MySpace antérieurs à 2013 ont été mis en vente sur le dark web en 2016. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés, rendant trivialement cassable l'une des plus grandes fuites d'identifiants jamais divulguées.

Victim: MySpace (Time Inc.)
Records: 360.0M

Fuite de donnéesRésolu26 avril 2011

Violation du PlayStation Network de Sony

Des intrus ont pénétré le PlayStation Network et Qriocity de Sony, compromettant les données personnelles d'environ 77 millions de comptes et provoquant une panne mondiale de 23 jours — l'une des plus grandes violations de données de consommateurs de son temps.

Victim: Sony Network Entertainment / Sony Computer Entertainment
Loss: $171.0M
Records: 77.0M