Le piratage d’Ashley Madison révèle des noms de fonctionnaires européens

Le site Ashley Madison promet un service 100 % discret. [Ashley Madison]

Plusieurs fonctionnaires de l’UE se sont servis de leurs adresses email pour créer des comptes sur le site de rencontre adultère Ashley Madison. Un article exclusif d’EURACTIV.

« La vie est courte, essayer l’adultère. » C’est le slogan d’Ashley Madison, un site de rencontres extra-conjugales canadien, récemment piraté. Les données personnelles de 36 millions d’utilisateurs ont été rendues publiques par les pirates, un groupe appelé « The Impact Team ».

Le site Ashley Madison vantait pourtant la fiabilité de son système de sécurité, permettant ainsi à ses utilisateurs de mener leurs rencontres clandestines à l’insu de leurs partenaires officiels.

Huit fonctionnaires de la Commission, dont un chef d’unité, ont accédé au site via leur adresse email professionnelle, « @ec.europa.eu », selon les données recoupées par EURACTIV. Trois employés du Parlement européen ont également utilisé leurs adresses « ep.europa.eu » ou « europaparl.eu » pour se connecter au service de rencontre.

Aucune adresse officielle du Conseil des ministres ou de la Banque centrale européenne n’est apparue dans la liste, où figure pourtant une adresse du Service européen pour l’action extérieure, le service des affaires étrangères européen, et une autre de l’Autorité européenne des marchés financiers, le législateur financier paneuropéen. La liste dévoile une dernière adresse officielle de l’UE, indiquant un membre d’EUFOR, la force de réaction rapide européenne.

EURACTIV a décidé de ne pas publier les noms de ces 14 personnes (13 hommes et une femmes). 

Rien n’indique que ces fonctionnaires européens ont rencontré quelqu’un via le site, ou que leurs comptes étaient couramment utilisés au moment du piratage. Il est possible que ces adresses aient été collectées sur Internet ou simplement volées, mais l’un de ces utilisateurs a effectué un paiement de 82 dollars canadiens sur le site, ce qui prouve qu’il en faisait effectivement usage.

Ashley Madison a promis une récompense de 332 000 euros à toute personne pouvant identifier les pirates.

Cartes de crédit, adresses et préférences sexuelles

Les données exposées, facilement accessibles sur Internet, comprennent les adresses, numéros de carte de crédit et orientation sexuelle des utilisateurs. Elles incluent également les caractéristiques recherchées par ces derniers chez leurs partenaires sexuels.

Certains spécialistes craignent que ces informations ne soient utilisées par des groupes criminels ou terroristes pour faire chanter ces fonctionnaires européens.

Les hackers ont également exposé des questions et réponses dont pouvaient se servir les utilisateurs pour récupérer leur mot de passe en cas d’oubli, ainsi que les mots de passe eux-mêmes, dans une version cryptée. Ces informations pourraient donc permettre à des pirates informatiques de changer les mots de passe, ce qui pose également un problème de sécurité si l’utilisateur se sert du même mot de passe pour plusieurs sites.

L’agence Associated Press a par ailleurs révélé que 15 000 employés du gouvernement américain ont utilisé leur adresse officielle pour créer des comptes sur le site de rencontre.

Des spécialistes de la cybersécurité ont déjà souligné que les bureaucrates américains recherchant des aventures extra-conjugales sur Internet avaient ouvert la voie de contenus gouvernementaux sensibles aux pirates, et notamment aux espions.

Shane Tews, chercheur à l’American Enterprise Institute, a expliqué au Daily Caller News Foundation que même si un seul fonctionnaire fédéral avait ouvert un faux message d’Ashley Madison contenant un logiciel malveillant sur un ordinateur ou une adresse email du gouvernement, toutes les informations de l’agence pourraient être compromises. Ce type de hameçonnage d’envergure qui utilise de logiciels malveillants pour s’introduire dans un système sécurisé s’appelle le « spear phishing ».

Selon des spécialistes contactés par le Guardian, les fonctionnaires des banques qui ont un compte sur le site pourraient également devenir la proie de maîtres chanteurs.

Règles de protection des données

Les règles de protection des données de l’UE s’appliquent aux entreprises dont les activités se déroulent en Europe. La Commission européenne a estimé en 2001 que le Canada appliquait des mesures de protection des données adéquates, une décision qui permet aux entreprises de transférer des données de l’Europe vers le Canada.

Avid Life Media, la société mère d’Ashley Madison, a des employés en Europe et a annoncé au printemps vouloir entrer en bourse à Londres.

Les slogans « Prix de fiabilité de sécurité » et « service 100 % discret » figurent toujours sur le site Ashley Madison. Depuis la publication des données piratées, deux suicides ont déjà été liés au scandale du site de rencontre.

EURACTIV a contacté la Commission européenne et le Parlement européen, qui n’ont pour l’heure pas souhaité réagir.