Service de triche en ligne piraté AshleyMadison.com se présente comme une victime de cybercriminels malveillants, mais des fuites d’e-mails du PDG de l’entreprise suggèrent que la haute direction d’AshleyMadison a piraté un service de rencontres concurrent en 2012.
Noel Biderman, PDG d’AshleyMadison. Source : Twitter.
En fin de semaine dernière, le Équipe Impact – le groupe de piratage qui a revendiqué la fuite de données personnelles sur plus de 30 millions d’utilisateurs d’AshleyMadison – a publié une archive de 30 gigaoctets qui, selon lui, étaient des e-mails récupérés d’AshleyMadison PDG Noël Biderman.
Un examen de ces missives montre qu’à au moins une occasion, un ancien dirigeant de l’entreprise a piraté un autre site de rencontre, exfiltrant l’intégralité de sa base de données d’utilisateurs. Le 30 novembre 2012, Raja Bhatiale directeur technique fondateur d’AshleyMadison.com, a envoyé un message à Biderman informant son patron d’une faille de sécurité découverte dans nerf.comun magazine en ligne américain dédié aux sujets sexuels, aux relations et à la culture.
À l’époque, nerf.com expérimentait sa propre section de rencontres pour adultes, et Bhatia a déclaré qu’il avait découvert un moyen de télécharger et de manipuler la base de données des utilisateurs de nerf.com.
«Ils ont fait un travail très moche en construisant leur plate-forme. J’ai eu toute leur base d’utilisateurs », a déclaré Bhatia à Biderman par e-mail, incluant dans le message un lien vers une archive Github avec un échantillon de la base de données. « De plus, je peux transformer n’importe quel utilisateur non payant en utilisateur payant, vice versa, composer des messages entre utilisateurs, vérifier les statistiques non lues, etc. »
Ni Bhatia ni Biderman n’ont pu être immédiatement joints pour commenter. BreachTrace.com s’est entretenu avec Bhatia la semaine dernière après que l’équipe Impact a mis à exécution sa menace de publier la base de données des utilisateurs d’Ashley Madison. À l’époque, Bhatia minimisait la fuite, affirmant que son équipe d’enquêteurs n’avait trouvé aucun signe indiquant que le vidage de données était légitime et qu’il ressemblait à un certain nombre de faux vidages de données que l’entreprise avait vus au cours des semaines précédentes. Quelques heures plus tard, la fuite avait été clairement confirmée comme légitime par d’innombrables utilisateurs de Twitter qui ont pu trouver leurs données personnelles dans le cache des informations de compte publiées en ligne.
Les e-mails divulgués de Biderman montrent que quelques mois avant que Bhatia n’infiltre Nerve.com, la société mère d’AshleyMadison – Avid Life Media — a été approché avec une offre de partenariat et/ou d’investissement dans la propriété. Les messages électroniques montrent que Bhatia était initialement suffisamment intéressée pour offrir au moins 20 millions de dollars à la société ainsi qu’une deuxième propriété appelée flirts.com, mais qu’AshleyMadison a finalement refusé de conclure un accord.
Plus de six mois après que Bhatia soit venu à Biderman avec des révélations sur les vulnérabilités de sécurité de nerf.com, Biderman devait rencontrer plusieurs représentants de la société. « Dois-je leur parler de leur faille de sécurité ? » Biderman a écrit à Bhatia, qui ne semble pas avoir répondu à cette question par e-mail.
Le cache des e-mails divulgués par Biderman s’est déroulé de janvier 2012 au 7 juillet 2015 – moins de deux semaines avant que les attaquants ne rendent public leur cambriolage le 19 juillet. Selon une conférence de presse tenue aujourd’hui par la police de Toronto, les employés d’AshleyMadison ont en fait découvert le brèche le matin du 12 juillet 2015, lorsqu’ils sont venus travailler et ont allumé leurs ordinateurs pour trouver leurs écrans réquisitionnés avec le message initial de l’équipe de l’Impact – une diatribe accompagnée de la chanson « Thunderstruck » du groupe de rock AC/DC jouer en arrière-plan.
Fait intéressant, moins d’un mois avant cet épisode, les dirigeants d’AshleyMadison semblaient très désireux de terminer une série d’évaluations de sécurité internes, d’audits et d’exercices de formation de sensibilisation à la sécurité pour les employés.
« Compte tenu de notre politique d’enregistrement ouvert et des exploits récents de grande envergure, chaque consultant en sécurité et sa famille élargie essaieront de monter en puissance », a écrit Ashley Madison, directeur de la sécurité, Mark Steele, à Biderman dans un e-mail daté du 25 mai 2015. « Notre base de code a beaucoup (criblé?) XSS/CRSF des vulnérabilités relativement faciles à trouver (pour un chercheur en sécurité) et quelque peu difficiles à exploiter dans la nature (nécessite le phishing). D’autres vulnérabilités seraient des choses comme l’injection SQL/les fuites de données, ce qui serait beaucoup plus dommageable » [links added].
Aussi grave que cette violation ait été pour AshleyMadison et ses millions d’utilisateurs, elle est probablement loin d’être terminée : les pirates qui ont passé au peigne fin les enregistrements de courrier électronique divulgués de l’entreprise viennent de publier une archive « dox sélectionnée » – une collection de documents, d’images et d’autres données de la boîte de réception de Biderman, y compris un scénario de film de 100 pages co-écrit par Biderman intitulé « Au lit avec Ashley Madison.” Les archives contiennent également des dizaines d’autres documents sensibles, notamment une numérisation du permis de conduire du PDG, des copies de chèques personnels, des numéros de compte bancaire, l’adresse de son domicile et ses déclarations de revenus pour les quatre dernières années.
De plus, l’équipe Impact n’a toujours pas publié les données de l’autre propriété d’Avid Life Media qu’elle prétend avoir piratée – Establishedmen.com, un site « sugar daddy » qui prétend mettre en relation des hommes riches avec de jeunes femmes consentantes.
Plus tôt dans la journée, la police de Toronto a annoncé qu’Avid Life Media avait offert une récompense de 500 000 $ pour les informations menant à l’arrestation et à la poursuite du ou des pirates responsables de la violation. Mais de nombreux lecteurs se sont rendus sur Twitter ou dans la section des commentaires de ce site pour dénoncer la prime comme un stratagème en retard ou cynique, certains affirmant que l’entreprise aurait dû offrir la récompense il y a des semaines – avant que l’équipe Impact ne publie l’intégralité de la base de données des utilisateurs de l’entreprise et ne cause autant de dégâts irréversibles.
Laissant de côté la prolifération de sites qui permettent désormais aux conjoints suspects de rechercher l’adresse e-mail de leur proche dans la fuite de données d’AshleyMadison, certains utilisateurs se retrouvent du côté des destinataires d’attaques d’extorsion en ligne. Pire encore, la police de Toronto a déclaré aux journalistes ce matin qu’elle avait deux rapports non confirmés de suicides associés à la fuite des profils de clients d’AshleyMadison.