Non, prénom, email des clients, coordonnée bancaire, position sexuelle préférée.
Ashley Madison, le site de Mary People qui veut avoir des affaires secrets, a été attaché.
Vous pouvez aller au site qui a l'information et mettre votre email à votre partner.
Ashley Madison.
Ashley Madison.
Ashley Madison.
Ashley Madison.
La vie est petite, on a une affaire.
C'est un hack, un de les plus grands brûlés dans le monde.
Il y aura des procès, des divorces, des extorsions, mais c'est pas tout.
Les clients vont découvrir qu'ils étaient trompés par l'entreprise elle-même
et que toute sa stratégie reposait sur une immense arnaque.
Laissez-moi vous raconter comment un mystérieux groupe de pirates a mis Kao, le deuxième site de rencontres au monde,
et pourrit la vie de ces 37 millions de clients infidèles.
En 2002, un avocat du sport du nom de Noël Birdman,
lit dans un rapport que 30% des personnes adeptes de sites de rencontres
seraient en réalité des faux célibataires enquêtes d'une liaison.
Il décide de lancer une plateforme où les gens infidèles pourraient enfin se retrouver,
en étant un peu plus honnêtes entre eux.
Reste à trouver un nom accrocheur, et pour ça il s'emmerde pas et regarde les prédons de bébés féminins les plus populaires de l'année.
Et paf, Ashley Madison.
Ensuite, il crée un système pay as you play un peu particulier.
Si vous êtes une femme, tout est gratuit.
En revanche, si vous êtes un homme, vous devez acheter des crédits pour envoyer des messages.
Sur le papier, ce système a tout pour fonctionner.
Mais ça n'empêche pas Birdman de mettre en place dès le début des techniques particulièrement cyniques pour truquer le marché.
Des techniques dont, pour l'instant, seuls quelques-uns sont au courant.
L'autre défi que rencontre Ashley Madison, c'est son enc de visibilité.
Personne ne veut promouvoir l'adultère.
Les médias ont des réactions hostiles et aucun annonceur ne veut diffuser leur publicité.
Mais en 2007, quand Noël Birdman prend la place de CEO, ça va évoluer.
Tu te sens mal ?
Je suis un entrepreneur à l'endu de ce jour, et ça a été long avant de créer Ashley Madison.
Birdman est un génie de la communication.
Partout où il va, il prétend réussir à attirer des millions de femmes infidèles
et que son business a un impact positif sur les mariages.
Comment tu te sens en train de faire un coup de l'oeil ?
C'est comme ça que je me sens maintenant. C'est ma passion.
Avec tout ça, il se crée pas mal d'ennemis.
Mais il s'en fout complètement parce que ça marche du feu de Dieu.
Pour lui, il n'y a pas de mauvaise publicité.
Il crée les spots les plus choquants possibles.
Il se paye la tête de célébrité sur des panneaux géants.
Mais son coup le plus osé, c'est sans doute ce qu'il a fait en 2011
avec la star mondiale du golf, Tiger Woods.
Tiger Woods aurait de nombreuses maîtresses.
Et notre ami Noël, il y voit une opportunité en or.
Il commence par proposer au champion mondial du golf 5 millions d'euros
pour représenter Ashley Madison en tant que modèle d'infidélité.
Bon, naturellement, il va pas accepter.
Mais Noël s'en fout parce que c'était juste pour faire du bruit.
Surtout qu'il a trouvé une encore meilleure occasion de se faire de la pub sur son dos.
Il y a une émission télévisée particulièrement cynique
qui organise un concours de beauté pour toutes les maîtresses du golfeur.
Du coup, ce que fait Noël, c'est qu'il va voir la chaîne télé
et il leur donne 100 000 dollars pour pouvoir décerner le prix lui-même.
Mais ne croyez pas qu'il a encore atteint son full potentiel de cynisme
parce que, bientôt, il décide d'embarquer dans sa communication sa propre femme.
Donc là, si on a bien compris, elle met sa tête sur une pub
mais en même temps, elle dit qu'elle serait détruite si son mari était infidèle.
Je ne sais pas comment ça se passe dans sa tête.
Ashley Madison a maintenant réussi à s'imposer dans le paysage.
Mais il y a un problème.
Des concurrents comme Tinder ou Glidden commencent à leur tailler des croisières.
Du coup, Birdman joue la surenchère avec un nouvel argument de vente.
La confidentialité extrême.
Contrairement aux autres applications, Ashley Madison offrirait une discrétion absolue.
Les clients bénéficient d'une inscription anonyme, d'une messagerie protégée,
d'une facturation dissimulée et même d'une option full delete.
En fait, pour un supplément de 20 dollars,
ils peuvent faire effacer les données des serveurs qui se trouvraient par ailleurs
dans un lieu très isolé et untouchable.
Donc, qu'ils se détendent, rien ne pourra jamais leur arriver.
A ce stade, dans les médias, Birdman a réussi à véhiculer l'image d'un entrepreneur impertinent
qui se bat contre les idées reçues.
Mais derrière la façade, certaines personnes vont commencer à découvrir des traits beaucoup plus sombres.
Il y a notamment un client mécontent qui a créé un forum
pour fédérer les critiques sur Ashley Madison.
AshleyMadisonSucks.com.
Et sur ce blog, on voit arriver des théories, comme quoi l'application serait une vaste fumisterie.
A cause de ça, le créateur du blog est menacé par Ashley Madison de poursuite judiciaire.
Alors il fait appel à un avocat qui prouve que le site est totalement légal.
Sauf que, les réactions vont devenir de plus en plus violentes.
Il va recevoir des appels anonymes, des menaces physiques,
des messages avec des sous-entendus sexuels,
au point que l'avocat finit par fuir sa maison avec sa famille.
Malgré tout, il tient bon.
Jusqu'au moment où le propriétaire du site reçoit un coach fill de Noël Birdman.
...

Cette fois, la pression est trop forte et il lui cède le site pour 75 000 dollars.
Et comme par magie, quelques semaines plus tard,
des centaines de témoignages positifs apparaissent sur le blog.
Pendant ce temps, le business ne finit pas de s'étendre.
Il s'implante au Japon, en Corée du Sud et dans 37 pays.
L'entreprise devient le deuxième site de rencontre au monde.
Et le PDG se fait sobrement appeler Noël Winerman, l'homme qui n'en finit pas de gagner.
Et en fait, depuis le début, cet homme, il a un objectif très précis en tête.
Ce qui coronne tous ces efforts, c'est l'introduction en bourse.
C'est le moment où lui et ses principaux investisseurs vont pouvoir cash out.
Autrement dit, vendre les parts et empocher un jackpot.
Pendant un an, Birdman prépare une offre publique d'achat.
Et pour mettre toutes les chances de son côté, il choisit la bourse de Londres.
Une bourse favorable à un type de placement bien particulier, les titres du vice.
Ce qu'on appelle les titres du vice, c'est des placements considérés comme moralement douteux.
Genre le tabac, les armes ou le jeu.
Ils sont décrits, mais ils savent qu'ils ont aussi un bien meilleur rendement que les autres actions.
Or, au dire de nombreux observateurs, HLMA Dison, ce serait pas seulement un excellent placement immoral,
ce serait une licorne, dont la valorisation pourrait atteindre un milliard de dollars.
Mais pour que ça marche, il faut que l'entreprise parvienne à se montrer sous son plus beau visage.
Or, c'est précisément à ce moment-là que ça va complètement partir.
En cacahuète.
Le 12 juillet 2015, deux employés du service client d'HLMA Dison découvrent un message sur leur ordinateur.
Avec une musique d'ACDC.
HLMA Dison doit fermer immédiatement.
Nous sommes les Impact Team.
Nous avons pris le contrôle de tous les systèmes dans tous les bureaux.
Toutes les bases de données clients, le code source, les informations financières, les e-mails.
Fermez HLMA Dison va vous coûter cher.
Mais ne pas vous soumettre, vous coûtera plus encore.
Nous allons publier tout l'historique des clients.
Les profils avec tous les fantasmes, photonues, conversations, transactions bancaires, vrais noms et adresses, documents, des salariés et e-mails.
AvidLifeMedia sera tenu responsable de fraudes et de dommages extrêmes envers des millions d'utilisateurs.
Noël Birdman et les cadres dirigeants ont le coup de stress de leur vie.
Ça ne pouvait pas arriver à un pire moment.
Parce que si c'est vrai, ils peuvent dire adieu à leurs rêves de grandeur et à leur carrière.
Mais est-ce que tout ça ne serait pas du bluff ?
De fait, les jours suivants, rien ne se produit.
Mais 7 jours après l'ultimatum, il y a un journaliste en cybersecurity du nom de Brian Krebs
qui reçoit un message étrange sur son blog.
Et il y a un lien vers des fichiers à télécharger.
Il accède à ce qui semble être une liste de salariés avec leur numéro de téléphone.
Il a peut-être son scoop de l'AD, mais avant de pouvoir écrire quoi que ce soit,
il faut vérifier que ça vient bien d'acheter Madison et que c'est pas une farce.
Alors il remonte tout en haut de la liste et il trouve un certain Noël Birdman.
Ok, c'est réel.
Et pour montrer leur sérieux, la team va balancer 2500 profils clients,
la liste des comptes admins et plus troublant, une cartographie de tous leurs serveurs.
Ils annoncent un compte Arbours.
30 jours.
Et ils balancent tout.
Ashley Madison est submergée d'appels de clients terrorisés.
Ce qui devait être leur secret les mieux cachés sont en passe d'être partagés à la terre entière.
Réellement, qu'est-ce qui pouvait arriver de pire ?
Ce leak va déclencher une réaction en chaîne complètement dingue,
mais en lui-même, il est assez banal en fait.
On en parle souvent, mais des mails de phishing ou des fuites de données sont légion.
Et même si vous ne faites jamais aucune erreur, vous, les entreprises auxquelles vous devez parfois confier des données,
ont de grandes chances d'un jour subir une fuite.
Une partie des clients pourrait encore se croire à l'abri.
Je parle de tous ceux qui ont souscrit l'option full delete à 19 dollars.
Pour l'entreprise, l'option représente un chiffre d'affaires annuel de 1,7 million.
Donc avec ça, elle a probablement mis le paquet pour effacer correctement toute leur donnée.
Et pas en fait.
Pas du tout.
Les pirates ont déclaré qu'en fouillant dans les transactions bancaires,
ils ont retrouvé l'intégralité des clients premium.
Donc s'ils mettent leur menace à exécution, personne ne sera protégé.
Même pas les millionnaires et les célébrités qui auront payé le prix fort.
Le plus fou dans cette histoire, c'est que jamais un pire attach,
même d'une entreprise sans scrupules, n'avait réjoui autant de monde.
Parce qu'en fait, à ce stade, personne ne semble anticiper jusqu'où cette histoire valait.
La direction d'H.L. Madison publie un communiqué rassurant.
Nous avons pu sécuriser nos sites et fermer les points d'accès non autorisés.
Ils démentent que leur base principale ait été piratée
et annoncent rendre gratuites leur option full delete pour rassurer les clients.
Ils vont même jusqu'à affirmer qu'ils sont en bonne voie pour trouver le coupable.
Allez entendre, tout est sous contrôle.
Mais les jours défile et aucun coupable n'est annoncé.
En fait, il n'y a même pas de suspect.
En revanche, c'est dont tout le monde prend conscience
et que l'impact team ne demande pas de renseign.
Contrairement à 99% des pirates, ils n'ont pas l'air de faire ça pour l'argent.
Et ça, c'est le plus terrifiant, parce que ça veut dire que c'est un piratage moral
et qui sont là seulement pour faire un maximum de dégâts.
Les gens commencent à sérieusement paniquer.
Les consultants cibèrent sans n'importe message d'homme marié et de célibataire
des pères de famille et des échangeistes.
Karma est pas si mal de merde que tu es une femme de plus tôt.
La temps est up.
Des nouvelles réputés ce matin que les hackers
ont été responsables pour l'année dernière
contre le site de l'accès à la Madison.
Il a été très rapidement un sens de ne pas savoir ce qui s'est passé.
Qu'est-ce qui s'est passé ?
Ce qui s'est passé.
La Internet a été boussée depuis des news de un hack qui a été public.
Et maintenant, les noms d'assuré d'Achille Madison ont commencé à se lier.
Les profils de 37 millions de clients, avec leur nom, adresse, numéro de téléphone,
transaction, position sexuelle préférée...
C'est un coup de tonnerre.
Et la question que tout le monde se pose c'est...
Qui se trouve dans cette liste ?
Parce que pour l'instant, il n'y a que les organes de presse ou les experts cibères
qui sont en capacité de fouiller dans cette montagne de données.
Vous pouvez voir que mon nom a été associé à l'accès à l'accès à l'accès à la Madison.
Joe, bonjour.
Bonsoir.
Bonsoir.
Joe, vous nous rendez, vous êtes un peu suspicieux de votre partner.
Oui.
Vous vous rendez dans cette web site, et vos détails ont révélé que c'est sur la web site, Joe.
Vous êtes sérieux ?
Oui, je suis désolé.
Vous êtes prises de me le dire ?
Non, non, nous...
Ces web sites sont discuts.
Et cette fille, c'est la seule qui a eu lieu, elle devrait être en place.
Oui.
Oh, Joe est déçue.
Je ne sais pas si je dois faire ça.
Certaines victimes croient pouvoir échapper au pire, parce que personne n'a encore eu l'idée de taper leur nom.
Mais ils savent pas qu'il y a un autre danger qui les guette.
Le chantage.
Statistiquement, toutes les conditions sont réunies pour des opérations massives d'extorsion.
Il y a dans la base 15 000 mails de fonctionnaires, principalement du département d'État et du ministère de la Justice,
et 5000 adresses de militaires américains, pour qui l'infidélité est passible de prison ferme.
On trouve aussi 1200 adresses e-mail provenant d'Arabie Saoudite,
pays où l'adultère est punie par la peine de mort.
Et de fait, ça ne va pas louper.
Les avocats conseillent aux victimes de ne pas payer, mais parfois, la pression est juste trop forte.
Il y a un homme marié qui avait utilisé l'appli pour déjeuner avec trois femmes, et qui a reçu ce message.
Si vous ne voulez pas que je diffuse ces saletés à tous vos amis et votre famille,
vous devez m'envoyer exactement deux bitcoins.
Il avait juste déjeuné avec ses femmes, mais il s'est dit que ça pourrait détruire sa vie, alors il a payé.
Pour beaucoup de monde, le destin d'un pasteur baptiste de la Nouvelle-Orléans va servir d'électrochoc.
John Gibson était pasteur, professeur de séminaire de théologie et marié avec deux enfants.
Six jours après la fuite de données, il reçoit un appel de son employeur qui lui dit que son nom est dans le leak.
Rien ne prouve techniquement qu'il était infidèle, mais John va probablement perdre son poste
et il ne supporte pas la perspective d'être exposé publiquement.
Alors il écrit une lettre d'adieu à sa famille et il se donne la mort.
« Mon père était un bonhomme.
Il était un bonhomme avec des problèmes.
Mon père a atteint un point de l'impact et d'impact que il a pris sa propre vie. »
Les pirates savaient qu'il y aurait des dommages collatéraux, mais ils s'en foutaient pour vu que ça serve la cause.
Quelques jours après le leak, Ashley Madison n'a toujours pas opte empérer, alors il lâche une nouvelle fuite de données
et cette fois, il cible directement Noël Biderman.
Et Noël, tu peux admettre que ça se passe vraiment maintenant.
Tout y est, tout ses secrets, toutes ses stratégies, toutes ses manigances.
C'est un vrai trésor.
Il se trouve que les membres d'Ashley Madison n'étaient pas les seuls à cacher des secrets.
L'entreprise aussi.
« Lookin' for someone other than my wife.
Other than my wife.
Ashley Madison's wife.
»
Je sais pas si vous vous souvenez, mais Noël Biderman affirmait que l'appli a tiré des millions de femmes infidèles.
Sauf que dès le premier dump, on découvre que c'est n'importe quoi.
Dans la basse client, on en trouve seulement 5,5 millions.
Une femme pour 7 hommes.
Autrement dit, quelques îles désertes au milieu d'un océan.
Mais du coup, on peut se demander comment ça se fait que pendant tout ce temps, l'appli est aussi bien marché.
Et bah en fait, il trichait comme des malades.
Et le deuxième leak va révéler l'étendue de leur fourberie.
Dans le dump, on trouve d'abord 200 000 mails du PDG étalés sur 3 ans et demi.
C'est une mine d'informations avec potentiellement tous ses petits secrets.
Et quand on épluche les conversations, le premier truc qui interpelle, c'est que tout le monde semble référer à un concept étrange
qui s'appelle les anges.
Et se demande comment vont les anges ? Est-ce que t'as créé des anges ?
Comme vous l'aurez peut-être deviné, ces anges, ce sont des faux profils.
Il se trouve que l'entreprise mobilisait une armée de prestataires et de salariés
pour fabriquer des fausses femmes.
Et il le faisait à un niveau industriel.
Et l'autre truc qu'on découvre, c'est que mine de rien tout ça coûtait un fric monstrueux à la boîte.
Alors comment à la fin y s'y retrouver ?
On n'aurait potentiellement jamais eu la réponse à cette question
si dans le dump, il n'y avait pas eu un deuxième trésor, le code source de l'application.
Les pirates ont eu la générosité de balancer toute la stack.
Franchement, c'est assez dingue. On a rarement accès à autant de choses.
Et ça pose quelques questions sur l'origine de la source d'ailleurs.
Si on fouille bien dans le code, on finit par trouver des programmes très particuliers.
Des fembottes.
En fait, ils avaient développé des robots féminins pour envoyer automatiquement au moment idéal des messages à leurs nouveaux clients.
Et c'est pas un petit truc.
20 millions de personnes, soit deux tiers des hommes qui en ont reçu.
Si on résume, c'est des gens qui payaient pour tisser des liens avec des vraies femmes
alors qu'en réalité, tout ce qu'ils avaient, c'était un datasunter.
C'était une naranak monumentale. Mais c'est peut-être pas encore là le pire.
Parce que jusque là, tout le monde pensait que la cible d'Hashley Madison, c'était des hommes mariés en quête d'aventure.
Alors que même ça, c'était faux.
En fait, un datascientiste a découvert que Hashley Madison recrutait massivement sur des sites pornographiques.
Ils inondaient pornoble de bannières.
Dans le fond, ça paraît logique.
À ce moment, les gars pensent avec leur organe et paf Hashley Madison.
Et du fait, ça marche du feu de Dieu.
En 2011, par exemple, ils ont fait une campagne flash sur les plateformes de Mangaek,
qui est un conglomérat qui détient les principaux sites.
Et en un mois, ils ont recruté 70 000 personnes.
Le code source est assez fascinant et révèle que en réalité, tout était conçu pour exploiter la vision tunnel de ces gars qui arrivaient des plateformes.
Lors de leur première connexion, ils recevaient direct des messages de robot toutes les trois minutes pour leur donner l'impression qu'ils arrivaient dans un océan d'opportunités.
Ils avaient droit à des plaisanteries suggestives et des promesses de relations sexuelles.
Et pour pouvoir y répondre, ils devaient passer à la caisse, évidemment.
Et aujourd'hui, c'est sûr, à l'ère de Lya, ça paraît complètement débile de tomber dans ce panneau, mais il faut dire que c'était extrêmement bien fait pour l'époque.
Surtout que le système de paiement était ultra-forbes.
Si ils désactivaient pas cette option ici, leur message coûtait deux fois plus cher.
Et si ils cochaient pas cette petite case là, la carte de paiement était automatiquement débité à nouveau.
En gros, en calcul Venus, les mecs étaient siphonés.
Ce qui fait que quand on regarde toute la stratégie, on réalise que contrairement à leur grand panneau publicitaire,
Ashley Madison n'était pas du tout un site de rencontre pour homme infidèle.
C'était juste une bonne vieille arnaque pornographique.
Mais il y a encore un grand mystère que ce leak n'a pas rêvé.
Ça, c'est Nico qui pensait il y a encore six mois qu'il ne serait jamais proprio.
Ça, c'est Nico dans son appartement qui a découvert que grâce à Nexity, on peut être proprio à partir de 534,17€ par mois pendant les trois premières années.
Nous, mon lapin, c'est maman, tu m'ouvres !
Et ça, c'est Odile, la maman de Nico qui l'a aidée à devenir proprio.
Mais bon, qui a quand même un peu de mal à couper le cordon.
Le montant de 534,17€ par mois est une estimation de l'effort d'épargne nécessaire
pendant la durée de l'offre de remboursement de trois ans. Voir conditions complètes sur Nexity.fr
Les 37 millions de clients, 200 000 e-mails du PDG, 100% du code source.
Qui a bien pu réussir ? Un piratage aussi prodigieux.
Ashley Madison a promis une prime de 500 000 $ à qui retrouveraient les auteurs du crime.
De son côté, la police de Toronto a mobilisé 20 enquêteurs disposant de ressources illimitées.
Mais trois semaines après le début de l'attaque, ils sont toujours au point mort.
Surtout que pendant qu'ils patouchent dans leur enquête, il y a une dernière révélation
qui va exploser sur la vie privée de Noël Biederman lui-même.
Dans les mails de Biederman, on découvre des choses assez glauques.
A l'occasion d'un voyage d'affaires à Hong Kong, il avait fait appel à deux escorts de girls
qui pouvaient avoir l'âge de ses enfants.
Il y a aussi 300 mails suggérant qu'il avait une relation régulière avec une femme qu'il trouvait dans des hôtels.
En fait, ce gars trompait tout le monde, même sa femme.
Franchement, comment survivre à tout ça ?
Les médias essaient de le contacter, mais il est injoignable.
Il a trop de choses contre lui, la pression est trop forte.
Alors, deux jours plus tard, il démissionne.
Ce qui avait fomenté cet attaque avait incroyablement bien choisi leur moment.
Ashley Madison était entrée dans une période extrêmement stratégique
où toute sa com' devait être millimétrie.
Et là, elle se retrouve dans la pire position possible.
La Federal Trade Commission inflige d'abord à l'entreprise
une amende de 1,6 million de dollars pour violation du droit des consommateurs.
Mais beaucoup d'anciens clients trouvent ça insuffisant.
Alors, tout en restant dans l'anonymat, ils se regroupent pour lui intenter un procès.
Or, ce qu'il faut savoir, c'est qu'une classe action aux US, ça peut couler une boîte.
Parce que plus il y a de plaignants, plus le règlement risque d'être salé.
Ça pourrait réellement être la fin d'Ashley Madison.
Mais l'avocat de l'entreprise a une idée diabolique.
Il dit aux ex-clients, vous pouvez pas rester dans l'anonymat.
Si vous voulez être plaignant, il faut donner votre identité.
C'est la loi.
Et là, il y en a quelques-uns qui vont hésiter.
Parce que s'ils font ça, il y aura plus de retour en arrière.
Tout le monde sera au courant qu'ils étaient clients de tromper sa femme.com.
Et du coup, sur les 42 plaignants, il y en a 24 qui partent.
Ceux qui restent obtiendront un règlement de 11,2 millions de dollars.
Ce qui est une goutte d'eau dans le chiffre d'affaires de l'entreprise.
Ashley Madison survit, mais ils n'ont plus de clients.
Alors, il décide de faire un virage à 180°.
Il vire à l'équipe dirigeante, change de nom et il devienne un site pour adulte ouvert d'esprit.
Ce qui devait être la licorne du vice devient un banal site de rencontre.
Tout ça à cause d'une mystérieuse équipe de pirates, dont pour l'heure, on ne sait toujours rien.
Alors, qui a fait ça ? Qui a exécuté un crime aussi parfait ?
Ce qui est très intriguant dans cette histoire, c'est que les pirates, ils auraient pu se faire un fric de malade.
Ils auraient pu demander une rancon ou vendre leurs butins.
Mais non, ils ont décidé de balancer leur trésor à tout le monde gratuitement.
Ils ont dit faire ça pour la justice.
Mais est-ce que cette histoire de cyber justici est vraiment crédible ?
L'impactime, c'est un groupe de hackers qui n'existe pas.
En tout cas, il n'a aucune trace sur internet.
Et puis, il y a le ton employé.
Les messages sont extraordinairement rancunis.
Ça ressemble plutôt à une vengeance personnelle.
Et pas seulement contre l'entreprise, contre Noël Biederman lui-même.
Autre élément, le pirate avait sous la main 300 Giga de mails d'employés.
Mais il s'est contenté de divulguer ceux du PDG.
Il avait clairement des comptes à régler avec lui.
Il y a des tas de gens qui avaient de très bonnes raisons d'en vouloir à Biederman.
Ça pouvait être un des billions de pigeons qui ont payé.
Ou une femme trompée par son mari.
Quelque chose qui va dans le sens de cette dernière hypothèse,
c'est l'analyse sémantique de John McAfee.
Selon cette figure de la cyber sécurité,
le pirate aurait utilisé des expressions bien spécifiques,
comme scumbags ou cheating dirtbags,
des mots qui, statistiquement,
auraient plus de chance d'avoir été dit par une femme.
En plus de ça, le pirate évoque l'histoire d'un mari infidèle
qui aurait méchamment utilisé H.L. Madison le lendemain de la Saint-Valentin.
Méchamment qui s'intéresse à la Saint-Valentin.
On est d'accord.
Ça, c'est McAfee qui le dit pas moi.
Mais que ce soit un homme ou une femme trompée,
cette personne détenait des compétences bien spécifiques.
Elle avait mis en place son propre serveur sur tort,
sur lequel elle avait partagé un torrent
et n'avait laissé aucune trace ou métadonnée sur son passage.
C'était pas un rondum.
Alors, est-ce que le scénario d'une attaque extérieure est possible ?
Une des vulnérabilités les plus classiques,
surtout à l'époque, c'est l'injection SQL.
Or, il se trouve que quelques mois auparavant,
le DSI alertait précisément sur ce risque.
Sauf que ce qui rend cette hypothèse difficile à croire,
c'est la masse d'informations liquides.
Le pirate a certes récupéré la base de données,
mais aussi des extractions giga-completes du code source
et de tous les programmes,
des milliers de documents qui n'ont aucun sens,
genre les plans d'aménagement du bureau
ou la liste des contrats de stock option.
Donc, il y a deux options.
Soit, le gars était tellement obsédé par Ashley Madison
qu'il a passé 50 sa vie à infiltrer chaque machine de la boîte,
soit, c'était un interne.
À ce stade, on n'a pas plus d'infos,
mais le pirate l'a décidé de prendre la parole une dernière fois.
Un journaliste sollicite un intermédiaire sur le dark web
pour le mettre en relation avec le pirate.
Il s'attend pas à grand-chose, mais le lendemain,
il reçoit une adresse mail à contacter.
Il envoie une liste de questions et obtient une réponse.
De la même clé PGP qui a servi à authentifier les fils de données.
Et ces questions sont très intéressantes.
Comment avez-vous piraté avidlash-médias ?
Est-ce que c'était difficile ?
Nous avons travaillé suffisamment pour rendre notre attaque complètement indétectable.
Puis, on est entré et il n'y avait rien à contrôner.
Comment était leur sécurité ?
On ne surveillait aucune sécurité.
La seule chose était un réseau segmenté.
Vous pouviez utiliser PAS1234 depuis internet via VPN
pour accéder à tous les serveurs en mode administrateur.
Quand avez-vous appris le hacking ?
Il y a très longtemps.
L'enquête de la FTC confirme que le pirate avait bien accédé au réseau VPN
grâce à des identifiants légitimes et qu'ensuite, il avait eu devant lui un boulevard.
Les développeurs du site avaient codé en dur tout un tas d'identifiants confidentiels,
des jetons AWS, des modes PAS, des passes de données, des clés privés de certificats.
Les employés avaient des accès complètement abusés,
qui pouvaient conserver après leur départ.
Mais le plus dingue, c'était l'accès VPN.
Il était censé être protégé par une clé à utiliser en même temps que le mode PAS,
sauf qu'en fait, cette clé était stockée sur un Google Drive.
Les experts vont aussi analyser les logs VPN, mais à partir d'avril 2015, tout a été supprimé.
On dirait que le pirate a couvert ses traces.
De son côté, Krebs, le journaliste cyber qui a eu le scoop, a une idée.
Il se demande si cette vengeance personnelle ne pourrait pas être liée à une affaire antérieure de l'entreprise.
Il se met à passer un revue les 12,7 Giga de mail de Biderman jusqu'à ce qu'il tombe,
sur une vieille histoire oubliée.
En août 2012, Ashley Madison doit gérer une crise majeure.
Une source interne a divulgué à la presse des captures d'écran, suggérant la fabrication de faux profils.
Quelqu'un n'était visiblement pas content et leur a planté un couteau dans le dos.
Pour identifier le coupable, le DSI va dresser la liste de toutes les personnes disposant des privilèges suffisants pour faire ça.
Et il remarque une adresse mail plutôt étrange.
Asdfzf.com
Ce mail est l'identifiant d'un ancien salarié, Will Harrison.
Pour les dirigeants, ça a dû être un choc qui quille encore des accès.
Ce gars s'est fait licencier 6 mois plus tôt et était en guerre ouverte avec Ashley Madison.
Krebs décide de scanner internet pour rassembler tout ce qu'il peut savoir sur ce gars.
Il va détérer des histoires hallucinantes dont même Ashley Madison n'était pas au courant.
Will avait de bons gros antecedents judiciaires.
Il avait été inculpé pour intrusion, appel téléphonique obscène, ivresse publique et il avait été accusé d'extorsion criminelle.
Ensuite, c'était un harceleur professionnel.
Il avait enregistré une dizaine de nondomènes à partir d'adresse mail temporaire et il s'en servait pour doxer les patrons qui les met pas.
Les conversations de Biderman révèlent que Will avait été embauché en 2011 en tant qu'expert SIO pour faire la promotion de l'appli sur internet.
Quand il est licencié un an plus tard, il réclame des primes qu'on lui refuse de payer.
Le ton monte, les mails se transforment en menaces anonymes et en appel masqué.
Et l'entreprise finit par le signaler à la police.
Mais ça ne décourage pas Will qui va traiter Biderman de salles bâtards juifs et avards.
Et il utilise ses techniques de black SIO pour le calomnie.
Les dirigeants remarquent que lorsqu'il tape son nom sur Google, le moteur de recherche suggère les mots juifs.
Et les premières pages de résultats sont remplis de liens vers des gros buscules néo-nazies.
Krebs veut pas sauter trop vite aux conclusions mais c'est quand même la première fois qu'on a une piste sérieuse.
Après l'incident de 2012, le DSI l'avait sûrement viré des comptes admins mais vu le niveau de sécurité du système d'information,
on peut imaginer qu'il avait trouvé le moyen de rester dans le réseau.
Maintenant pour en avoir le cornet, il va falloir le trouver.
Alors où est-ce que notre suspect pourrait se trouver ?
Krebs retrouve de vieilles adresses et des numéros de portables mais tout est obsolète.
Il met finalement la main sur le numéro de la belle-mère de Will qui vivrait avec son père en Virginie du Nord.
Le journaliste raconte à la belle-mère qu'il cherche Will et qu'il aimerait savoir où il était au moment du hack.
Elle écoute sagement et elle lui lâche une bombe.
Son beau-fils vivait avec eux mais il est plus là.
En août 2014, il s'est tiré une balle dans la tête.
Pour Krebs, c'est un coup de tonnerre parce que le candidat vers qui tout semblait pointer était mort au moment des faits.
En fait, Will souffrait d'une grave maladie mentale.
La belle-mère raconte qu'il était schizophrène et paranoïaque et qu'il refusait de prendre ses médicaments.
Quand il était là, elle se sentait constamment menacée.
Selon ses mots, c'était quasiment un sociopathe.
Et là, tout est remis en question.
Mais pour autant, est-ce qu'il n'aurait quand même pas joué un rôle dans tout ça ?
Certaines personnes suggèrent à Krebs que Will aurait pu avoir récupéré et vendu les données avant sa mort
mais dans le leak, les dernières transactions financières datent de juin 2015.
Donc, c'est pas possible.
Il se trouve que si on regarde le dernier mail qu'il a envoyé à Piderman,
Will a fait une promesse énigmatique.
Rappelez-vous que je vous ai déjoué la dernière fois et que je vous déjouerai cette fois encore
en me tenant très loin de l'action et en me contentant de rester sur la ligne de touche en encourageant l'opposition.
Nous sommes légions.
Peut-être qu'il a réussi à rester dans les systèmes, qu'il a travaillé ensuite avec d'autres gens
et qu'il leur a partagé des accès administrateurs.
En fait, à ce jour, la théorie la plus crédible qu'on est, c'est qu'il bossait avec des néo-nazis.
Il y a une société du renseignement à New York qui surveille constamment des centaines de formes cybercriminels
et il se trouve que pendant les six mois qui ont précédé l'attaque,
ils ont constaté un déchaînement de violence délirant contre Noël Biederman.
Le 10 juillet, Noël Biederman a le droit à d'affre Montage Photo sur un autre site
dans le fil appelé Les Juifs normalisent la perversion sexuelle.
Et là, c'est le moment où vous attendez la réponse définitive, la solution de l'enquête.
Sauf que, on est 10 ans plus tard et on n'a pas plus d'infos.
L'histoire du piratage d'H.L. Madison restera à jamais un mystère.
Les pirates n'ont jamais été retrouvés.
Par contre, on sait ce que sont devenus les gens.
H.L. Madison rebaptisait Rubi, attirait les leçons du passé,
ils ont créé un fonds de dotation pour les couples en difficulté
et ils promœvent désormais la fidélité dans le mariage.
Ça, par contre, c'est pas vrai.
En fait, deux ans plus tard, ils ont repris leur nom d'avant
et ils sont redevenus le site numéro 1 pour l'adultère.
Qu'est-ce que vous voulez ? On ne se refait pas.
Noël Biederman pour sa part est réapparu à Toronto.
Il a pris des postes en CDD en stratégie d'ata marketing
et il a développé sa petite activité de conseil auprès des PME.
En 2024, des journalistes ont essayé de le contacter pour savoir ce qu'il était devenu
et son avocat a transmis cette réponse.
M. Biederman est et était un mari et un père dévoué.
Il a essayé ces dernières années de tourner la page et de réparer les dégâts
dans sa vie et ses relations.
Il apprécie la chance qu'il a que sa femme Amanda soit restée auprès de lui
dans cette épreuve.
Bonjour à toutes et à tous. Je suis Clémence Baudoc,
je suis Sophie Rich et notre podcast, Cople Goal,
fait partie de la sélection à Castreau Command.
Cople Goal, c'est un podcast qui, comme son nom l'indique, parle de couple, mais pas que.
Ça parle aussi de rencontres, de séduction, de rupture, des red flags à repérer,
des conversations qui font avancer et de comment on s'échopper.
C'est grâce à moi.
Si vous avez un coeur qui parfois palpite, parfois se brise,
Cople Goal est le podcast qu'il vous faut.
Abonnez-vous pour devenir un Cople Goal.
On a dit non au sur le Cople Goal.