IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ashley Madison : le site trompait ses clients en affichant sur sa page d'accueil la mention « Trusted Security Award »
Le site avoue la supercherie

Le , par Stéphane le calme

42PARTAGES

10  0 
L’année dernière, Ashley Madison, le site canadien de rencontre en ligne entretenant l’adultère, a fait l’objet d’un piratage par un groupe de pirates qui se font appeler The Impact Team. Ces derniers ont menacé Avid Life Media (ALM, qui a changé de nom après le scandale et a opté pour Ruby), qui a dans son portfolio plusieurs sites de rencontres pour adultes, de divulguer les données de leurs utilisateurs si elle ne retirait pas d'Internet ses sites AshleyMadison.com et EstablishedMen.com. Leur demande n’ayant pas reçu de réponse favorable, ils ont décidé de publier une base de données de 36 millions d’utilisateurs de la plateforme qui contenait des informations comme des informations relatives au profil de l’utilisateur (nom, autodescription de l’utilisateur, profil recherché, code postal, date de naissance, etc.), les informations relatives au compte de l’utilisateur (utilisées pour faciliter l’accès au service Ashley Madison comme l’adresse mail fournie au moment de l’inscription, les questions de sécurité et les réponses ainsi que les mots de passe hashés) et les informations de paiement (le nom réel de l’utilisateur, l’adresse de facturation et les quatre derniers chiffres de la carte de crédit).

Si des chercheurs avaient déjà dénoncé la faiblesse de la sécurité du site, notamment le choix de la protection des mots de passe par la fonction de hash bcrypt, cette fois-ci c’est une enquête des autorités de protection de la vie privée du Canada et de l’Australie qui vient souligner les mauvaises pratiques de sécurité. D’après les résultats de l’enquête, bien qu’Ashley Madison encourageait l’adultère en proposant un « processus de gestion des risques dédié pour protéger les renseignements personnels », le site lui-même s’appuyait sur des pratiques de sécurité qui ne correspondaient pas aux normes et ne répondaient pas aux lois relatives à la vie privée.

L’un des problèmes était le manque d’éthique : sur sa page d’accueil, Ashley Madison avait porté la mention « Trusted Security Award » à la droite d’une médaille. Étrangement, c’était le seul site en ligne à porter une telle mention. Aussi, l’entreprise derrière le site a admis plus tard qu’il s’agissait d’une récompense factice et a décidé de la retirer.



De plus, comme l’avait déjà indiqué The Impact Team, malgré la suppression par l’utilisateur, la désactivation d’un compte ou même l’inactivité d’un profil (c’est-à-dire un profil qui n’a pas été consulté par son propriétaire depuis une longue période), Ashley Madison conservait en réalité les informations personnelles de ses clients à moins que les utilisateurs n’optent pour l’option payante afin de supprimer définitivement leurs données. Cette pratique n’était pas clairement définie dans la politique de confidentialité d’Ashley Madison.

L’analyse de l’étendue du piratage n’a pas pu être menée convenablement, en partie parce que les pirates ont pu élever leurs privilèges pour s’octroyer des privilèges administrateurs et effacer les logs qui auraient pu contenir des traces de leurs activités. Aussi, ALM a fait savoir à l’équipe d’investigation ainsi qu’aux individus affectés via un courriel de notification, qu’en dehors des numéros complets de carte de paiement, qui n’étaient en général pas enregistrés par ALM, « toutes les autres informations que les visiteurs ont fournies via Ashleymadison.com pourraient avoir été acquises par les pirates ». Ces informations comprennent les photos des utilisateurs, les communications entre eux et avec le personnel ALM, et d’autres informations en plus de celles qui avaient déjà été affichées par les pirates.

Les gendarmes de la vie privée canadien et australien ont donné une série de recommandations que Ruby a accepté de suivre comme par exemple fournir une option gratuite pour supprimer les informations des utilisateurs une fois qu’ils suppriment leurs profils (les utilisateurs devaient payer 15 dollars US).

« Les conclusions de ce rapport comportent des leçons importantes pour d'autres organisations qui détiennent des renseignements personnels. La leçon la plus largement applicable est qu'il est crucial que les organisations qui détiennent des renseignements personnels numériques adoptent des processus clairs et appropriés, des procédures et des systèmes pour gérer les risques relatifs à la sécurité de l'information, appuyés par une expertise adéquate (interne ou externe). Cela doit encore être plus vérifié dans le cas où les renseignements personnels détenus comprennent des informations de nature délicate qui, si elles étaient compromises, pourraient causer d'importants dommages à la réputation des personnes touchées ou à d'autres personnes. Les organisations qui détiennent des informations personnelles sensibles ou une quantité importante de renseignements personnels, comme ce fut le cas ici, devraient avoir des mesures de sécurité de l'information, y compris, mais sans s'y limiter :
  • une ou plusieurs politiques de sécurité ;
  • un processus de gestion des risques explicite qui aborde les questions de sécurité de l'information, en s’appuyant sur une expertise adéquate  ;
  • des formations adéquates à la vie privée et à la sécurité pour l'ensemble du personnel. »

Source : rapport de la Commission de la vie privée (Canada), Ashley Madison (déclaration de Ruby)

Voir aussi :

19 % des consommateurs américains seraient prêts à délaisser un commerçant dont les données ont été piratées, d'après un récent sondage de KPMG

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 15/12/2016 à 19:28
Donc un site qui promeut les affaires extra-conjugales, ment à ses utilisateurs, et vole leur argent sur la base de ses mensonges, non seulement n'amène pas à des peines de prison, mais en plus on lui demande de poursuivre en améliorant sa sécurité pour que ses méfaits puissent être mieux protégés ?

Je ne m'attendais pas à ce que les USA soient aussi sans gêne...
6  0 
Avatar de rawsrc
Expert éminent sénior https://www.developpez.com
Le 25/08/2016 à 11:35
Citation Envoyé par Stéphane le calme  Voir le message
[B][SIZE=4]De plus, comme l’avaient déjà indiqué The Impact Team, malgré la suppression par l’utilisateur, la désactivation d’un compte ou même l’inactivité d’un profil (c’est à dire un profil qui n’a pas été consulté par son propriétaire une longue période), Ashley Madison conservait en réalité les informations personnelles de ses clients

Les gendarmes de la vie privée canadien et australien ont donné une série de recommandations que Ruby a accepté de suivre comme par exemple fournir une option gratuite pour supprimer les informations des utilisateurs une fois qu’ils suppriment leurs profils (les utilisateurs devaient payer 15 dollars US).

Quand on vous dit que vos informations (privées ou pas) valent une fortune, c'est pas des blagues...

On croit rêver, allez une dernière petite louchette (15 $) juste pour bien te faire sentir l'énorme manque à gagner quand l'utilisateur décide de supprimer son compte et ses données (quand elles sont réellement effacées... et pas, comme trop souvent, juste archivées et soi-disant inaccessibles).
4  0 
Avatar de Jimmy_
Membre éprouvé https://www.developpez.com
Le 26/08/2016 à 15:26
Moi je ne comprend pas pourquoi ces gens utilisent leur véritable identité pour aller sur ce genre de site.

Bonjour je viens tromper ma femme : voici toutes mes coordonnées, vous pouvez la contacter et tout lui révéler ...


Cela montre que beaucoup de gens sont prêt à sacrifier leur vie privée en l'a vendant à un site internet et des inconnus.
Après effectivement ils sont mauvais en sécurité ils n'ont même pas protégé leurs données.

Désolé si je choque, mais pour l'adultère : un pseudonyme et une carte sim pré-payé, c'est quand même la base pour préserver sa vie.
4  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 25/08/2016 à 16:32
@NSKis, le problème c'est que pour beaucoup ils s'en rendent compte... Mais il s'en fiche totalement. La notion de vie privée (et pis encore, de respect de la vie privée) est quelque chose qui se perd de plus en plus depuis quelques années. Sous prétexte qu'on a des outils qui permettent de données des informations sur soi, certains se sentent "obligé" de tout dire sur eux et sur les autres... Il suffit de voir comment ont pulluler les émissions de télé-rézlité, le succès des tabloids, la prolifération de photos ou vidéos à caractère privé sur youtube (bien sûr au détriment de celui qui est photographié ou filmé, et sans réfléchir à l'impact que ça peut avoir...)
Alors après tout, si ces personnes sont prêt à tout déballer, pourquoi les services se gèneraient pour exploiter leurs données ?
(bien sûr je ne cautionne absolument pas ce système, mais j'ai trouvé un moyen très simple de le contrer: il n'y a que très peu d'information sur moi sur internet, et absolument rien de privé !)
3  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 28/08/2016 à 15:57
Citation Envoyé par rawsrc Voir le message
Quand on vous dit que vos informations (privées ou pas) valent une fortune, c'est pas des blagues...

On croit rêver, allez une dernière petite louchette (15 $) juste pour bien te faire sentir l'énorme manque à gagner quand l'utilisateur décide de supprimer son compte et ses données (quand elles sont réellement effacées... et pas, comme trop souvent, juste archivées et soi-disant inaccessibles).
Plus proche de nous, la RATP fait payer 5€ son Pass Navigo Découverte pour anonymiser les données de transport.
(ouvrir le menu "Sur quel passe charger votre forfait ?"
3  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 29/08/2016 à 16:00
Citation Envoyé par Songbird_ Voir le message
Mais malgré le manque de vigilance d'une grande majorité des utilisateurs, ce que je trouve encore plus triste, c'est que tant que les CGU stipulent qu'ils abusent leurs utilisateurs: c'est légitime.
Faux.
Les CNIL de toute l'Europe tapent sur les clauses abusives.
Ce n'est pas parce que c'est écrit dans les CGU que c'est légal.
Le hic est que la force de frappe des CNIL est juste risibles donc entre le moment où la clause abusive est inscrite et exploitée et le moment où elle est retirée, il peut se passer du temps, beaucoup de temps.
Bref, le mal est déjà fait.
3  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 30/08/2016 à 10:13
Citation Envoyé par Songbird_ Voir le message
Bonjour,

Oui, plutôt d'accord pour le coup.

Mais malgré le manque de vigilance d'une grande majorité des utilisateurs, ce que je trouve encore plus triste, c'est que tant que les CGU stipulent qu'ils abusent leurs utilisateurs: c'est légitime.

Il suffirait que les CGU obligent l'utilisateur à fournir un rein à l'entreprise pour que ça puisse passer sans soucis.

J'extrapole, mais je trouve ça vraiment dangereux.
Tu n'es pas si loin de la vérité

3  0 
Avatar de
https://www.developpez.com
Le 25/08/2016 à 17:07
Citation Envoyé par TheLastShot Voir le message

Alors après tout, si ces personnes sont prêt à tout déballer, pourquoi les services se gèneraient pour exploiter leurs données ?
Pour les rares qui ne sont pas prêts à tout déballer. Si le plus grand nombre veut bien tout donner, c'est à cause de la politique intelligente (pour ne pas dire sournoise) mise en place par les fournisseurs : d'abord on ne demande rien, puis on demande petit à petit chaque information, on patiente le temps que les gens s'y habituent, puis on impose à tout le monde de tout fournir. À part les quelques irréductibles, tout le monde se fait prendre avec ce petit jeu. C'est bien normal. Pour prendre l'exemple des parents, combien d'entre eux interdisent à leurs ados d'avoir un compte Facebook ? Sur ces ados, combien n'en ont pas un en cachette ? Et sur ceux qu'il reste, combien n'ont pas une furieuse envie d'étrangler leurs parents avec un oreiller ? Très peu de parents sont prêts à ce genre d'affrontement (ils préfèrent garder leur énergie pour interdire l'alcool et la cigarette, c'est déjà pas mal ).
Tout ça pour dire que ce n'est pas une volonté de la part des gens de tout donner, mais plutôt un manque de volonté de résister.
2  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 28/08/2016 à 16:00
Citation Envoyé par miky55 Voir le message
j’espère que le opt-out est rétroactif et supprime toute donnée déjà partagée.
Facebook devrait supprimer l'or qu'on lui fournit gratuitement ?

C'est comme ceux qui pensent qu'on peut vraiment supprimer son compte, c'est de l'utopie. Ce que vous avez donné à Facebook lui appartient.
2  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 25/08/2016 à 12:36
Un site de rencontre qui permet aux gens de tromper leur partenaire, et qui trompe ses clients... Malgré les problèmes éthiques évident de mon point de vue professionnel, du point de vue personnel j'aurais presque envie de dire que c'est une juste retour des choses =D
1  0