Ashley Madison

En juillet 2015, le journaliste Brian Krebs rapporte qu’Ashley Madison — un site canadien dont le modèle économique consistait à faciliter les liaisons extraconjugales — a été piraté. Un groupe se présentant comme The Impact Team a discrètement contacté la maison-mère, Avid Life Media, avec une demande : fermer le site, ou les données partent en public.

La liste arrive en ligne

Avid Life Media ne ferme pas. The Impact Team, fidèle à son ultimatum, publie les données en deux vagues en août. Environ trente-deux millions d’adresses email, de mots de passe hachés, de détails de facturation et de profils intimes deviennent librement consultables via des sites miroirs qui apparaissent en quelques heures.

La fuite est inhabituelle pour deux raisons. D’abord, le mobile affiché des attaquants n’est pas financier. Ils s’opposent à des pratiques commerciales précises — en particulier une fonction payante de « suppression totale » qui, selon eux, ne supprimait rien du tout. Ensuite, les données elles-mêmes sont extraordinairement sensibles : chaque ligne expose potentiellement une liaison, et dans certaines juridictions un délit.

Des conséquences au-delà d’un serveur

Plusieurs suicides sont rapportés dans les semaines qui suivent la publication, dont au moins un cas largement couvert aux États-Unis. Des recours collectifs suivent. Avid Life Media se rebaptise Ruby Corp. et, dans une étrange et contestée vie d’après, le site continue de fonctionner.

Ce que la chronique retient

Ashley Madison est la première fois qu’une grande fuite de données a fonctionné avant tout comme une arme morale plutôt que comme un événement commercial. Elle a forcé une conversation plus large sur la responsabilité des plateformes pour des données sensibles, et sur l’asymétrie entre le cycle médiatique de vingt-quatre heures d’un attaquant et l’embarras permanent, consultable, d’une victime.