Imaginez une sombre salle de réunion, des regards inquiets, des sourcils froncés et une ambiance tendue à couper au couteau… C’est cette ambiance lourde qui était probablement palpable dans les locaux d’Ashley Madison, une plateforme de rencontres pour les personnes infidèles, lorsqu’une attaque cyber a contraint son équipe à se réunir pour faire face à la révélation des secrets les plus intimes de millions de clients.
Revenons ensemble sur ce scandale tellement rocambolesque qu’il inspira sa propre série sur Netflix, bouleversa la vie de 37 millions de personnes et mit à genoux une entreprise qui prétendait offrir la confidentialité ultime.
Bienvenue dans notre 3ème épisode de [Big Pictures] !
Aux origines de l’histoire : la naissance d’une idée controversée
En 2002, Noël Biderman, alors avocat du sport tombe sur une statistique intrigante : 30 % des utilisateurs de sites de rencontre sont en réalité des gens mariés en quête d’une liaison extraconjugale. Saisissant l’opportunité avec une audace déconcertante, Biderman décide de créer une plateforme spécialement dédiée aux infidèles. Il scrute les prénoms féminins les plus populaires de l’année, en choisit un et voilà, Ashley Madison voit le jour.
L’innovation réside dans un modèle économique « pay as you play » : gratuit pour les femmes, mais payant pour les hommes. Ceux-ci doivent acheter des crédits pour pouvoir envoyer des messages. Sur le papier, le modèle est prometteur. Mais dès le départ, Biderman met en place des techniques douteuses pour booster le nombre de femmes sur le site et maintenir les hommes engagés.
Une ascension fulgurante malgré la polémique
Malgré le rejet des médias et des annonceurs, Biderman se révèle être un génie de la communication. Il n’hésite pas à utiliser des stratégies provocatrices pour attirer l’attention. En 2011 il propose même à Tiger Woods, alors en pleine tourmente suite à ses scandales sexuels, de devenir ambassadeur d’Ashley Madison pour une somme astronomique – une offre qui, évidemment, sera refusée. Mais ce n’était là qu’un coup de pub.
Biderman n’hésite pas à mettre en scène sa propre femme dans des campagnes publicitaires, jouant sur la dissonance entre son image publique et privée. Glauque… Les scandales attirent les projecteurs, et malgré les critiques, le site gagne en popularité.
Alors que la concurrence de sites comme Tinder et Gleeden se fait de plus en plus forte, Ashley Madison mise tout sur la confidentialité. Les clients peuvent bénéficier d’une inscription anonyme, d’une messagerie protégée, d’une facturation dissimulée et même d’une option « full delete » pour effacer toutes leurs données moyennant 20 dollars supplémentaires. Les serveurs sont prétendument inaccessibles, situés dans des lieux secrets et isolés. Mais cette promesse de confidentialité va se transformer en cauchemar.
Un piratage qui chamboule tout
Le 12 juillet 2015, la catastrophe survient. Deux employés découvrent un message alarmant sur leurs ordinateurs, accompagné d’une musique d’ACDC. Le message, signé par un mystérieux groupe se faisant appeler « The Impact Team », exige la fermeture immédiate du site, sous menace de divulguer toutes les données sensibles des utilisateurs.
La direction tente de minimiser l’incident et assure avoir sécurisé le site. Mais le 19 juillet, un journaliste spécialisé en cybersécurité, Brian Krebs, reçoit un fichier contenant des informations sur les employés d’Ashley Madison, confirmant la véracité de l’attaque. Une semaine plus tard, The Impact Team met à exécution sa menace en publiant une première vague de données sensibles.
Le service était en fait (presque) une arnaque
La publication des données provoque un raz-de-marée médiatique. Les clients, pris de panique, réalisent que leurs secrets les plus intimes sont en passe d’être révélés au grand jour. Des médias et des curieux exploitent la situation, notamment en créant des moteurs de recherche permettant à n’importe qui de vérifier la fidélité de son voisin ou de sa célébrité préférée.
Mais le pire reste à venir. En Australie, une radio décide de vérifier en direct à l’antenne les identités de certains utilisateurs du site, ajoutant à l’humiliation publique. La panique se mue en désespoir pour certains. Le suicide du pasteur John Gibson suite à la divulgation de son nom sur le site marque les esprits. L’humanité des victimes est mise à rude épreuve.
L’attaque ne se limite pas aux clients. Les pirates publient aussi les emails internes de Noël Biderman, révélant les pratiques douteuses de l’entreprise. Ashley Madison utilisait des femmes virtuelles, créées de toutes pièces par des employés pour donner l’illusion d’une forte présence féminine. Malin… Pire encore, des robots envoyant des messages automatiques aux nouveaux hommes inscrits ont été découverts dans le code source.
Les informations exposées montrent que le site n’était pas dirigé vers les hommes mariés à la recherche d’une aventure, mais bien vers les utilisateurs de sites pornographiques, piégés par des campagnes publicitaires agressives et trompeuses.
Les dégâts sont immenses. En plus des procès et des divorces, des utilisateurs de la plateforme sont victimes de chantages. Les pirates menacent de révéler leurs secrets, exigeant des paiements en bitcoins. Ce phénomène est particulièrement inquiétant pour les fonctionnaires, militaires et habitants de pays où l’adultère est sévèrement puni.
L’entreprise tente de survivre. La Federal Trade Commission lui adresse une amende de 1,6 million de dollars, mais ce n’est qu’un début. Une class action est lancée par les victimes, forçant Ashley Madison à proposer un règlement à 11,2 millions de dollars. Mais pour recevoir une compensation, les plaignants doivent révéler leur identité, ce qui dissuade beaucoup d’entre eux.
La chute de Noël biderman
Sous la pression insoutenable, Noël Biderman démissionne. Les révélations sur ses propres infidélités et ses pratiques douteuses achèvent de ternir sa réputation. Ashley Madison tente de se relever en se repositionnant comme un site pour adultes ouverts d’esprit, mais le mal est fait. La licorne du vice, valorisée à un milliard de dollars, n’est plus qu’un site de rencontres comme un autre.
Un mystère demeure : qui sont les pirates de The Impact Team ? Malgré les efforts de la police de Toronto et une récompense de 500000 dollars, les coupables n’ont jamais été identifiés. Ce piratage, exécuté avec une précision chirurgicale, reste à ce jour l’un des plus grands mystères de la cybersécurité.
L’affaire Ashley Madison est un rappel brutal des dangers du monde numérique. La promesse de confidentialité absolue s’est révélée être une illusion. Les utilisateurs, croyant protéger leurs secrets, ont fini par les voir exposés au grand jour. Les entreprises, quant à elles, doivent comprendre que la sécurité des données ne peut jamais être totalement garantie.
Cette histoire est un avertissement pour tous : soyez prudents avec vos informations personnelles en ligne. La trahison de la confiance peut survenir à tout moment, et les conséquences peuvent être dévastatrices. Ashley Madison a tenté de vendre une illusion de sécurité et de discrétion, mais cette illusion s’est effondrée, emportant avec elle des vies et des réputations. Une leçon que le monde n’est pas près d’oublier.
Source : Micode, Radio France