Les leçons du piratage d’Ashley Madison (avis d’expert)

La cyber vie est courte, mais pleine de dangers. Détournant le slongan d’Ashley Madison, Dominique Loiselet, directeur général de Blue Coat France, revient sur le piratage du site de rencontres adultères et sur les différents scenarii qui se profilent.

Dominique Loiselet, directeur général de Blue Coat France
Dominique Loiselet, directeur général de Blue Coat France

Avid Life Media, la société à l’origine des sites de rencontres extraconjugales Ashley Madison et pour adultes Cougar Life et Established Men, a reconnu avoir été victime d’une cyberattaque. Ashley Madison réunit 37 millions d’utilisateurs, et chacun d’entre eux vit désormais dans l’attente fébrile de voir si ses informations les plus intimes et confidentielles seront révélées au grand public, ou s’ils auront l’opportunité d’empêcher leur divulgation en payant une rançon. Compte tenu du caractère sensible de ces données, cette attaque pourrait bien devenir le piratage informatique le plus lucratif de tous les temps, ou créer d’autres jurisprudences plus inquiétantes.

Les répercussions de cette affaire sont importantes dans un contexte où dossiers médicaux et autres cotes de crédit figurent en ligne par l’intermédiaire d’appareils connectés à Internet, et dans un monde où des automobiles en mouvement peuvent être contrôlées à distance par des hackers. Les données financières et professionnelles extrêmement personnelles des utilisateurs d’Ashley Madison pourraient ainsi faire l’objet de demandes de rançon par un groupe répondant au nom d’Impact Team. Ces pirates ont d’ores et déjà publié quelques détails, et menacent d’en divulguer davantage au grand public. Nul doute que certains préfèreraient échanger cette situation contre un petit accident de voiture ou la révélation de leur asthme.

À ce stade, il est difficile de comprendre comment cette attaque a pu se produire. Nous savons déjà que les individus utilisent souvent des mots de passe d’une faible complexité. Cependant, au vu de l’ampleur de la faille, il est clair que 37 millions de mots de passe n’ont pas pu être devinés en une fois ; il est bien probable qu’il s’agisse d’une faille au niveau d’un système. Les causes racines d’autres failles exploitées vont des actions d’anciens employés frustrés à celles d’employés dont les identifiants sont compromis à l’aide d’attaques par ingénierie sociale. Les autres résultent d’attaques informatiques automatisées utilisant des mécanismes complexes d’infection à l’aide de logiciels malveillants afin de franchir les barrières de cybersécurité.

Suite à cette faille, les discussions sont sûrement très animées dans les locaux d’Ashley Madison. Cependant, les crises de ce genre sont généralement portées à la connaissance de tous, et sont ensuite oubliées une fois que la presse considère avoir écrit et enregistré suffisamment de contenu sur la question pour considérer que le sujet n’est plus d’actualité. Bien évidemment, Ashley Madison cherchera à limiter l’impact de cette faille sur sa réputation.

Ce piratage devrait néanmoins avoir des retombées sur le long terme en raison de son ampleur et du caractère sensible des données personnelles dérobées aux membres. En outre, vu leur nature, ces informations pourraient aussi bien être exploitées aujourd’hui que dans un an. Les pirates disposent en effet d’un large éventail d’options pour tirer parti des informations qu’ils collectent, chacune pouvant potentiellement faire jurisprudence dans ce cas précis.

La première est qu’Impact Team mette à exécution sa menace d’exposer publiquement des informations sur ses utilisateurs dans le but de les humilier. Ce piratage deviendrait ainsi l’une des premières attaques informatiques à grande échelle à être essentiellement motivée par des principes moraux, même si l’élément financier faisait également partie des motivations. De telles attaques sont inquiétantes, car les criminels ont tendance à être moins aisément découragés par les coûts élevés de leurs actions, tandis que les individus seront sans doute plus préoccupés par l’éventualité que leurs vies privées soient publiées contre leur gré.

Cependant, la plupart des attaques menées à l’encontre d’entreprises semblent être motivées par l’argent, et les pirates se focalisent sur les activités qu’ils estiment offrir le maximum de retour par rapport aux efforts investis. Ainsi, il a été évoqué que le groupe Impact Team a publié des données et menacé d’en publier davantage afin d’accroître la valeur de la rançon et de revente des données encore en leur possession.

Un des scénarios envisagés est que ce groupe (ou leur client) utilise les données pour exiger une rançon aux utilisateurs d’Ashley Madison en les menaçant de dévoiler leurs informations publiquement ou auprès de leurs êtres chers, à moins de payer une certaine somme. Avec 37 millions de victimes potentielles, et probablement beaucoup d’individus fortunés, ce piratage pourrait s’avérer très lucratif, voire l’un des casses informatiques les plus rentables de tous les temps.

Parallèlement, les individus moins fortunés peuvent malgré tout intéresser les cybercriminels en raison de l’accès dont ils disposent à des réseaux ou à de précieuses ressources d’entreprise. Les pirates peuvent ainsi menacer ces employés avec le pointeur de leur souris en sollicitant l’accès à une base de données d’entreprise, ou en les poussant à faciliter une fuite de données en échange du retour de leurs données sensibles saines et sauves, et en privé.

Ils ont également la possibilité de revendre des données personnelles à d’autres pirates, qui profiteront ainsi de points d’accès vitaux pour des attaques ciblées de plus grande ampleur sur une organisation particulière. Les données fraîches et obtenues récemment peuvent être vendues au plus offrant sur le « marché gris » en raison de leur exclusivité.

Nous savons qu’un certain nombre d’initiatives sont à notre disposition pour limiter l’accès aux données personnelles sensibles. Malgré cela, selon les résultats d’une enquête menée par Blue Coat, les employés britanniques ignorent encore les meilleures pratiques en matière de protection des informations personnelles et professionnelles en ligne. En effet, aujourd’hui, 54 % d’entre eux interagissent avec des inconnus sur les médias sociaux, et 18 % n’ont jamais profité d’une formation en informatique.

Bien que la sensibilisation ne soit pas la seule solution pour faire face aux cybermenaces, il est évidemment nécessaire d’offrir davantage de conseils aux employés, car les cybercriminels utilisent les médias sociaux et trouvent ainsi des informations sur les individus leur permettant ensuite de récupérer des mots de passe. En y parvenant, ils disposent ainsi des moyens suffisants pour obtenir un accès illimité aux réseaux d’entreprise et dérober des informations professionnelles sensibles.

Plus inquiétant : bien que ses conséquences resteront inconnues jusqu’à ce que le groupe Impact Team agisse, le piratage d’Ashley Madison s’annonce comme le précurseur d’une longue lignée. Si ces pirates choisissent d’utiliser les données pour réclamer une rançon, cela deviendra l’une des violations de données les plus lucratives et embarrassantes enregistrées ces dernières années. En revanche, s’ils mettent à exécution leur menace de dévoiler publiquement ces données, cela pourrait lancer une nouvelle tendance préoccupante mettant en scène des attaques motivées par des principes moraux ou des idéologies plutôt que par l’appât du gain. Si la cybercriminalité venait à devenir un outil dans le cadre de campagnes afin de faire tomber des entreprises ou des administrations publiques, ou dans le but d’affirmer une prise de position sur le plan sociopolitique, alors l’enseignement du piratage d’Ashley Madison serait que : « la cyber vie est courte, mais pleine de dangers sur le long terme ».

TAGS ASSOCIÉS