Ashley Madison représente une nouvelle étape plus sombre du piratage informatique

Fin juillet, Avid Life Media (ALM) – propriétaire du site de rencontres en ligne Ashley Madison – a confirmé avoir été victime d’une violation massive de données, exposant potentiellement les données personnelles et l’identité de millions d’utilisateurs d’Ashley Madison.

Un mois plus tard, les craintes de l'entreprise (sans parler des craintes de ses utilisateurs) ont été confirmées lorsque les pirates informatiques supposés responsables, connus sous le nom d'Impact Team, ont publié les noms , adresses, numéros de téléphone et détails des transactions par carte de crédit d'environ 32 millions de clients. Les informations ont été publiées via le « Dark Web » – un coin semi-anonymisé d'Internet accessible uniquement via un navigateur spécial Tor et un routeur Onion . Naturellement, des instructions sur la façon d'accéder aux données sont apparues, suivies d'un flot d'histoires dans les tabloïds de partenaires qui avaient trouvé les coordonnées de leur moitié. D'autres reportages ont notamment porté sur des accusations selon lesquelles la fuite était le fruit d'un travail interne et sur une réflexion sociale plus approfondie quant à la manière dont ou pourquoi de nombreuses personnes utilisent réellement le site.

Le côté obscur

Cependant, du point de vue de la cybersécurité, Ashley Madison représente l’exemple le plus marquant à ce jour d’une nouvelle phase plus sombre des cyberattaques. Plutôt que de simplement tenter de provoquer des perturbations et de l’embarras, ou de générer un peu de publicité, les cybercriminels piratent de plus en plus leurs activités pour obtenir une rançon. Début juillet, le service de streaming de films Plex a été piraté, l'attaquant tentant d' extraire de l'argent du service. Un mois plus tôt, la Banque de Chine et la Banque d'Asie de l'Est avaient toutes deux été victimes d'une attaque DDoS , des pirates menaçant ces institutions de prolonger l'attaque si elles ne payaient pas une forte somme en Bitcoins.

L'équipe Impact a affirmé que l'attaque était presque une croisade morale contre l'entreprise derrière Ashley Madison. Selon les pirates, ALM a réalisé 1,7 million de dollars de revenus en 2014 grâce au service de suppression complète, qui permet aux utilisateurs de supprimer l'historique d'utilisation du site et les informations personnelles identifiables pour un coût unique de 19 dollars. L'équipe Impact affirme que ce n'est pas le cas, les détails de paiement des utilisateurs restant accessibles.

Une question à 3,2 milliards de dollars ?

Cependant, une raison plus probable du piratage est la nature extrêmement sensible des informations volées et la valeur qu'elles pourraient représenter. Imaginez si les 32 millions de personnes dont les données ont été divulguées sur le dark web étaient prêtes à payer 100 dollars pour qu’elles soient supprimées ? Faites le calcul (ou si vous n’en avez pas envie, les recettes des pots-de-vin pourraient atteindre la somme astronomique de 3,2 milliards de dollars) et vous verrez clairement à quel point une violation comme celle d’Ashley Madison représente une menace.

Alors, qu’est-ce que cela signifie pour les entreprises ? Il s’agit tout simplement de la nécessité de prendre la cybersécurité au sérieux – et vite. Indépendamment de votre opinion sur Ashley Madison et les services qu'elle propose, le piratage reste un exemple des défis omniprésents auxquels les entreprises sont confrontées pour protéger les données des clients payants, avec des implications supposées également sur les revenus futurs.

De nombreuses entreprises ne modifient tout simplement pas leurs politiques et leurs mesures de protection suffisamment rapidement pour faire face à l’évolution rapide des menaces de sécurité. Si vous n’avez pas encore été ciblé, vous avez eu de la chance. Si les organisations n’agissent pas maintenant, les pirates informatiques continueront de trouver de nouveaux moyens de compromettre leurs systèmes et de voler des données.  

Prendre de l'avance sur les pirates informatiques

Malheureusement, il n’existe pas de solution miracle pour se protéger des pirates informatiques. Cependant, les organisations devraient commencer par examiner ce qu’elles tentent de protéger et ce que les pirates informatiques pourraient chercher à compromettre. De plus en plus, les vecteurs de ces attaques sont multithread. Par exemple, alors qu’une attaque DDoS est en cours, elle est souvent conçue pour distraire l’équipe de sécurité et informatique pendant que les pirates attaquent chirurgicalement vos applications ailleurs pour accéder à vos données. Les zones d'intérêt habituelles de ces attaques sont les applications, où un pirate peut exploiter la logique de application ou les personnes utilisant ces applications.

Laissant de côté tout débat moral autour d’Ashley Madison, l’accent devrait être mis sur la façon dont les pirates informatiques prennent de plus en plus le dessus sur les entreprises, et portent atteinte à la liberté individuelle ou au droit à l’anonymat dans le processus. Pour éviter que ces attaques ne deviennent une histoire hebdomadaire, voire quotidienne, le secteur de la sécurité et les entreprises de tous les secteurs doivent travailler ensemble pour devancer les pirates informatiques.