Le site de rencontre extra-conjugal canadien Ashley Madison a récemment connu un piratage historique d’informations personnelles de plus de 32 millions de ses clients. Les informations dérobées (nom, prénom, adresses mail, détails intimes, historiques de transaction,..) ont ensuite été publiées en ligne par un mystérieux groupe de pirates, the Impact Team. Ce scandale illustre parfaitement la problématique sans commune mesure de la confidentialité des données ultra personnelles traitées par ce type de sites internet, et révèle surtout les pratiques peu recommandables utilisées par ces derniers.
Des données plus que sensibles
La nature des données traitées par les sites de rencontres est extrêmement sensible, voire intime, puisqu’elle touche à des critères très personnels comme la communauté sociale, ethnique ou religieuse, l’apparence physique, les opinions politiques, les pratiques sexuelles. Il n’est donc pas étonnant que la Commission Nationale de l’informatique et des libertés (CNIL) se soit intéressée de près à ces sites de rencontres ; il serait même légitime de se demander pourquoi elle a tant tardé à le faire, même si ces contrôles étaient inscrits à son programme annuel depuis 2014.
Le 28 juillet dernier, la CNIL a ainsi mis en demeure huit entreprises éditrices de sites de rencontres, soit 13 sites. La crème de la rencontre en ligne française est ainsi pointée du doigt pour la légèreté avec laquelle elle recueille et traite les informations sensibles de ses clients. Les leaders Meetic, Attractive World et Adopte un Mec sont ainsi visés, tout comme les moins connus Easyflirt, Rencontre obèse, Destidyll, Forcegay, Mektoube, Jdream, Marmite love, Gauche rencontre et Celibest.
De sérieux manquements à la protection de la vie privée
Parmi les huit manquements à la loi Informatique et Libertés constatés dans chacune des huit sociétés éditrices, le premier pointé par la police d’Internet porte, sans surprise, sur l’extrême sensibilité des informations délivrées par les clients des sites de rencontre. « Les sites ne recueillent pas le consentement exprès des personnes pour la collecte de données sensibles (par exemple : données relatives à la vie et aux pratiques sexuelles, aux origines ethniques, aux convictions et pratiques religieuses, aux opinions politiques). » Or, la CNIL souligne qu’il est primordial « que les internautes aient conscience de la protection attachée à ces données qui révèlent des éléments-clés de leur intimité. »
L’institution formule également comme autres griefs non excusables que ces entreprises ne procèdent pas « à la suppression des données des membres ayant demandé leur désinscription ou ayant cessé d’utiliser leurs comptes depuis une longue durée », et mettent en œuvre des fichiers afin d’exclure des personnes de l’accès au service sans avoir procédé à des demandes d’autorisation auprès d’elles.
Enfin, elle leur reproche de ne pas informer correctement les internautes « de leurs droits (accès, suppression, rectification) ainsi que des conditions dans lesquelles des cookies sont déposés sur leur ordinateur ».
Malgré la gravité des manquements reprochés aux sites de rencontres, ils font uniquement l’objet d’une mise en demeure, qui ne consiste en aucun cas en une sanction et ils disposent d’un délai de trois mois pour se mettre en conformité avec la loi Informatique et Libertés. Ils resteront dans le collimateur de la CNIL jusqu’à cette mise en conformité. S’ils ne s’y soumettent pas, la CNIL aura la possibilité de désigner un rapporteur qui pourra formuler un rapport « proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction à leur égard ».
Par ailleurs, l’institution protectrice publie une série de conseils visant à aider les particuliers clients de sites de rencontres en ligne à « protéger leur intimité ».
Les sites de rencontre, eldorado des hackers ?
Par la confidentialité et la sensibilité des informations, les sites de rencontre constituent des cibles privilégiées pour les hackers. En effet, ces données constituent une excellente base pour procéder à du chantage financier, particulièrement dans le cas de sites spécialisés dans les rencontres adultères. Cela est d’autant plus vrai lorsque les clients de ces sites utilisent leur adresse professionnelle, ce qui permet d’identifier aisément les cibles les plus aisées. Par exemple, les analyses réalisées sur les informations volées à Ashley Madison montrent que de nombreuses adresses sont liées à des ministères, des grandes sociétés, ou même l’armée.
Par ailleurs, ces bases de données représentent aussi une mine d’or pour envoyer du spam en grande quantité, notamment lorsque les internautes utilisent un même mot de passe pour plusieurs sites en ligne. Les hackers peuvent alors, en utilisant les données de ces listes, pirater les boîtes électroniques et avoir accès aux comptes Paypal ou même bancaires de ces internautes.
Le site Ashley Madison est d’ailleurs loin d’être le premier à avoir été l’objet d’une attaque informatique. En effet, plusieurs avant lui avaient fait les frais des hackers : en janvier 2011, le site Plenty of Fish reconnaît avoir été piraté et victime d’un vol d’informations personnelles de 28 millions d’utilisateurs ; en janvier 2013, 42 millions de mots de passe liés à des comptes sur le réseau du site de rencontre Cupid Media sont publiés en clair ; Top Face, site de rencontre russe, se fait pirater les adresses de 20 millions de clients en janvier 2015, …
Ces multiples attaques confirment la pertinence de la mise en demeure de la CNIL. Cette dernière a également mis en lumière de graves manquements à la protection des données personnelles de la part de ces sites de rencontres, ainsi que des pratiques plus que douteuses (le site Adopte un Mec a notamment été épinglé pour les commentaires injurieux de ses employés au sein de son fichier client).
Si, à priori, on aurait pu penser que les sites de rencontre devaient regagner la confiance de leurs clients, ce « bad buzz » n’est peut-être pas, en définitive, si néfaste pour eux. La preuve en est que le site Ashley Madison a enregistré plusieurs milliers de nouvelles inscriptions après et malgré le piratage. Cela étaye l’importance du rôle à jouer par la CNIL dans la protection de la vie privée de ces utilisateurs, peut-être insuffisamment conscients des dangers liés à ces sites de rencontre. Les premiers éléments de réponse fin octobre, soit les 3 mois prévus après leur mise en demeure…
A l’heure actuelle où le piratage informatique sévit, toutes les plateformes de partage virtuel se doivent d’être doublement vigilant, et pas seulement les sites de rencontre. Cependant, au vu du nombre exponentiel de personnes inscrites, l’on doit alerter tous les internautes et non seulement les sites en question ou la CNIL car elles devraient faire attention aux informations confidentielles qu’elles partagent et ne doivent pas non plus utiliser leurs adresses mails personnelles. C’est dire que le mal devient virtuel.
Suis d’accord je croix que les pirates sont très nombreux et pour plus de sécurité vous devre maître tout en sécurité afin de ne pas laissé tout ces individu prend le control