« Utilisateur du site Ashley Madison, je sais tout sur vous, payez sinon je vous expose », lancent des pirates

**Neckara** · 14/09/2015, 13h14

Envoyé par SaiRictus

d'utiliser bcrypt pour le hashage des mdp

Pas obligatoirement, tout algorithme de hash recommandé peut faire l'affaire.
Le plus important est surtout de suivre les recommandations au niveau des paramètres que tu donnes comme le sel.

Pour voir les recommandations, tu peux consulter celles de l'ANSSI ou d'autres organisations.

stocker le contenu hashé en BDD (1 champ) + 1 champ pour stocker le nombre d'itérations de hashage (1 champ)

En somme, il te faut stocker le hash ainsi que tous les paramètres permettant de le recalculer, à partir du mot de passe. Donc aussi le sel.

Quelqu'un pourrait me donner les bonnes pratiques dans la gestion des mdp ?

Je pense que tu peux retrouver des débuts de réponses dans des sujets similaires dans le forum de la rubrique sécurité et dans les articles de la rubrique.

Après, c'est une question très ouverte que tu poses et très générale, on pourrait écrire des livres à ce sujet. Le mieux serait peut-être que tu créés ton propre sujet pour expliciter ta question (?).

**Neckara** · 15/09/2015, 11h34

@SaiRictus Je t'ai trouvé une note technique de l'ANSSI, Recommandations de sécurité relatives aux mots de passe.
Rien de vraiment révolutionnaire, je ne sais pas s'il t'intéresse. Sinon, tu peux tenter de chercher d'autres recommandations de l'ANSSI.

Il faut tout de même prendre du recul sur 3.1 et 3.2, et ne surtout pas utiliser des dictons (e.g. 1haev2 : 1 homme averti en vaut 2), assez connus. Si cette pratique se répand, le mot de passe ne tiendra pas longtemps¹.

J'essaye de regarder si je trouve d'autres recommandations. Là j'ai un Tweet de la gendarmerie Nationale : https://twitter.com/Gendarmerie/status/430345930454212608/photo/1?ref_src=twsrc^tfw

Ils recommandent 12 caractères minimums, il y a quelques décennies, c'était 8. Comme quoi même en ayant bcrypt, on continue d'augmenter la taille des mots de passes.

¹C'est comme au loto, pour gagner et ne pas partager ses gains, il faut jouer ce que personne d'autre n'a joué. Si tout le monde utilise le même mots de passe, quelque soit sa force, il ne vaudra plus rien.

EDIT : Je continu de lire ce que je trouve sur bcrypt.
D'ailleurs il y avait un sujet sur DVP à ce sujet.
J'ai aussi trouvé quelques papiers pour ceux que ça intéresse :
https://www.usenix.org/legacy/event/...vos/provos.pdf
https://www.usenix.org/system/files/...14-malvoni.pdf
http://www.openwall.com/presentation...ient-Cracking/
https://www.emsec.rub.de/media/crypt...g14_bcrypt.pdf

**aserf** · 15/09/2015, 18h49

Bonjour,

Aramii je ne suis pas tout as fait d'accord avec vous, si on prend 350 millions de test par seconde, il faut quand même en brut force quelle millions d'années pour cracké un md5.
16 xy 32 / 350 000 00 test par seconde / 3600 s / 24h / 365j = 30829380202302897682772,940442829 années (peut être que mes calcul sont faux, a verifier, mais les possibilités sont énorme)

l'ajout d'un sel permet de ne pas pouvoir utilisé les RT. ensuite ce que les développeur on fait pour récupérer les password il aurait pu le faire avec bcrypte de la même manière. Si bcrypte prend 5 fois plus de temps, a générer une clef il aurait juste mis 5 fois plus de temps pour avoir le même résultat.

le vrai problème est que les hacker on eu la base de donnée ET le code source avec la méthode de cryptage...

Cordialement,

**Neckara** · 15/09/2015, 23h40

Envoyé par aserf

Aramii je ne suis pas tout as fait d'accord avec vous, si on prend 350 millions de test par seconde, il faut quand même en brut force quelle millions d'années pour cracké un md5.

En fait, on part du principe que le mot de passe va être dans un sous-domaine de départ très réduit par rapport à celui "permit" par md5 ou tout autre algorithme (domaine sans collisions).

En effet, on part de l'hypothèse qu'un mot de passe a, de facto, une taille "limite" (et -presque- atteinte) inférieure à la taille maximale possible avec l'algorithme utilisé ¹.
Cela pour des raisons pratiques, e.g. si le mot de passe est trop long, l'utilisateur ne pourra pas le retenir.

On accepte donc arbitrairement cette hypothèse. Ainsi on ne part pas du domaine de départ permit par MD5… mais à partir d'un sous-domaine arbitraire bien plus petit, qu'on pourrait nommer domaine des "mot de passes".

À 8 caractères avec 100 possibilités par caractères, on a que 100^8 possibilités, donc 10^16.
Donc, d'après tes chiffres, 285 714 286 secondes soit 217 années, si, 35 000 000 tests/secondes.
C'est déjà énormément moins que si tu utilisais toute le domaine possible permit par tout algorithme de hash, indépendamment de celui utilisé.

Bien qu'en se qui concerne md5 et SHA1, ces algorithmes sont en effet considérés comme craqué. Il est bien plus cohérent de parler de SHA2 ou SHA3 à la place.

Mais si on considère l'hypothèse de départ fausse, ou tout du moins pas encore atteinte, il n'y a aucun problème à utiliser du SHA2 sur des mots de passes suffisamment forts.
Dire que le SHA2 n'est pas adapté pour stocker des mots de passes, comme cela a pu être dit, est donc abusif, si on n'explicite pas se placer dans un référentiel où on considère arbitrairement l'hypothèse de départ juste.

Si bcrypte prend 5 fois plus de temps, a générer une clef il aurait juste mis 5 fois plus de temps pour avoir le même résultat.

Soit T(X) le coût de calcul de X hash.

Pour tout algorithme, on a T(X) <= X*T(1). à cause d'optimisations possibles (parallélisme, pipeline, coût matériel, consommation électrique, densité minimale d'un cœur, pré-calculs, étapes communes, caches, …).
Le but est bien évidement de rapprocher T(X) de X*T(1).
C'est pour cela que bcrypt tente d'empêcher les optimisation sur GPU.

Sauf que désormais, avec les FPGA, on peut réduire grandement les coûts… et on a pas fini.
Le jour où on atteindra T(X) ~= T(1) + (X-1)*k, bcrypt sera totalement cassé.

Donc si bcrypte coûte 5 fois plus pour générer un hash, cela aurait coûté moins de 5 fois plus à un attaquant.

Cf les papiers dont j'ai donné le lien dans mon message précédent.

l'ajout d'un sel permet de ne pas pouvoir utilisé les RT.

Je viens de m'apercevoir que j'ai fait un petit abus de langage. Quand je disais qu'un bon sel empêchera de faire des attaques par dictionnaires, j'aurais dû préciser "pré-calculé".
Quand on parle d'attaque par dictionnaire, on pense plus généralement à des dictionnaires non-précalculé. Désolé pour cet abus

.

L'exécution d'une attaque par compromis temps-mémoire ou RT est plus performante qu'une attaque par brute force. J'ai en revanche oublié de prendre en compte le coût du précalcul.
En effet, si le sel respecte correctement les recommandations en vigueurs et surtout est unique pour chaque hash, on ne peut pas vraiment utiliser de pré-calcul donc on se retrouve avec des complexités pires qu'une attaque par brute force.

Dommage qu'on ne me l'ai pas fait remarquer plus tôt

.

¹ d'autres travaux de recherches partent dans une autre direction en faisant en sorte que cette hypothèse soit fausse. Donc en cherchant comment faire pour ne pas avoir de facto une taille "maximale" à un mot de passe. Ou en cherchant des alternatives aux mots de passes.

**aserf** · 16/09/2015, 11h32

Tous dépend, tu pars du principe que le mot de passe n'a que 8 caractères, si tu met dedans un sel de 100 caractères (3 guid par exemple), il est nécessaire de tester toutes les solutions s'il n'ont pas le sel. Et s'il retrouve une correspondance c'est la password avec le sel qu'il retrouve (mais la c'est pour moi presque impossible avec les temps de calcul nécessaire).
maintenant s'ils ont le sel et l'algo ... bhein peu importe la complexité ils n'ont effectivement que les password simples à tester ...

**Neckara** · 16/09/2015, 12h08

Envoyé par aserf

maintenant si ils ont le sel et l'algo ... bhein peu importe la complexité ils n'ont effectivement que les password simple a tester ...

Effectivement, en sécurité informatique, on considère le sel et l'algorithme utilisé connu ou pouvant être connu. La connaissance de ces éléments ne doivent pas pour autant compromettre la sécurité du système.

En effet, on considère que la sécurité par l'obscurité ne fournit pas de réelle sécurité. Un attaquant pouvant potentiellement réussir à récupérer la BDD, le code source de l'algorithme, faire du reverse engineering…

**Stéphane le calme** · 25/08/2016, 12h00

Ashley Madison : les gendarmes de la vie privée du Canada et de l'Australie assurent que le site trompait ses clients,
en brandissant une fausse récompense de sécurité

L’année dernière, Ashley Madison, le site canadien de rencontre en ligne entretenant l’adultère, a fait l’objet d’un piratage par un groupe de pirates qui se font appeler The Impact Team. Ces derniers ont menacé Avid Life Media (ALM, qui a changé de nom après le scandale et a opté pour Ruby), qui a dans son portfolio plusieurs sites de rencontres pour adultes, de divulguer les données de leurs utilisateurs si elle ne retirait pas d'Internet ses sites AshleyMadison.com et EstablishedMen.com. Leur demande n’ayant pas reçu de réponse favorable, ils ont décidé de publier une base de données de 36 millions d’utilisateurs de la plateforme qui contenait des informations comme des informations relatives au profil de l’utilisateur (nom, autodescription de l’utilisateur, profil recherché, code postal, date de naissance, etc.), les informations relatives au compte de l’utilisateur (utilisées pour faciliter l’accès au service Ashley Madison comme l’adresse mail fournie au moment de l’inscription, les questions de sécurité et les réponses ainsi que les mots de passe hashés) et les informations de paiement (le nom réel de l’utilisateur, l’adresse de facturation et les quatre derniers chiffres de la carte de crédit).

Si des chercheurs avaient déjà dénoncé la faiblesse de la sécurité du site, notamment le choix de la protection des mots de passe par la fonction de hash bcrypt, cette fois-ci c’est une enquête des autorités de protection de la vie privée du Canada et de l’Australie qui vient souligner les mauvaises pratiques de sécurité. D’après les résultats de l’enquête, bien qu’Ashley Madison encourageait l’adultère en proposant un « processus de gestion des risques dédié pour protéger les renseignements personnels », le site lui-même s’appuyait sur des pratiques de sécurité qui ne correspondaient pas aux normes et ne répondaient pas aux lois relatives à la vie privée.

L’un des problèmes était le manque d’éthique : sur sa page d’accueil, Ashley Madison avait porté la mention « Trusted Security Award » à la droite d’une médaille. Étrangement, c’était le seul site en ligne à porter une telle mention. Aussi, l’entreprise derrière le site a admis plus tard qu’il s’agissait d’une récompense factice et a décidé de la retirer.

De plus, comme l’avait déjà indiqué The Impact Team, malgré la suppression par l’utilisateur, la désactivation d’un compte ou même l’inactivité d’un profil (c’est-à-dire un profil qui n’a pas été consulté par son propriétaire depuis une longue période), Ashley Madison conservait en réalité les informations personnelles de ses clients à moins que les utilisateurs n’optent pour l’option payante afin de supprimer définitivement leurs données. Cette pratique n’était pas clairement définie dans la politique de confidentialité d’Ashley Madison.

L’analyse de l’étendue du piratage n’a pas pu être menée convenablement, en partie parce que les pirates ont pu élever leurs privilèges pour s’octroyer des privilèges administrateurs et effacer les logs qui auraient pu contenir des traces de leurs activités. Aussi, ALM a fait savoir à l’équipe d’investigation ainsi qu’aux individus affectés via un courriel de notification, qu’en dehors des numéros complets de carte de paiement, qui n’étaient en général pas enregistrés par ALM, « toutes les autres informations que les visiteurs ont fournies via Ashleymadison.com pourraient avoir été acquises par les pirates ». Ces informations comprennent les photos des utilisateurs, les communications entre eux et avec le personnel ALM, et d’autres informations en plus de celles qui avaient déjà été affichées par les pirates.

Les gendarmes de la vie privée canadien et australien ont donné une série de recommandations que Ruby a accepté de suivre comme par exemple fournir une option gratuite pour supprimer les informations des utilisateurs une fois qu’ils suppriment leurs profils (les utilisateurs devaient payer 15 dollars US).

« Les conclusions de ce rapport comportent des leçons importantes pour d'autres organisations qui détiennent des renseignements personnels. La leçon la plus largement applicable est qu'il est crucial que les organisations qui détiennent des renseignements personnels numériques adoptent des processus clairs et appropriés, des procédures et des systèmes pour gérer les risques relatifs à la sécurité de l'information, appuyés par une expertise adéquate (interne ou externe). Cela doit encore être plus vérifié dans le cas où les renseignements personnels détenus comprennent des informations de nature délicate qui, si elles étaient compromises, pourraient causer d'importants dommages à la réputation des personnes touchées ou à d'autres personnes. Les organisations qui détiennent des informations personnelles sensibles ou une quantité importante de renseignements personnels, comme ce fut le cas ici, devraient avoir des mesures de sécurité de l'information, y compris, mais sans s'y limiter :

une ou plusieurs politiques de sécurité ;
un processus de gestion des risques explicite qui aborde les questions de sécurité de l'information, en s’appuyant sur une expertise adéquate ;
des formations adéquates à la vie privée et à la sécurité pour l'ensemble du personnel. »

Source : rapport de la Commission de la vie privée (Canada), Ashley Madison (déclaration de Ruby)

Voir aussi :

19 % des consommateurs américains seraient prêts à délaisser un commerçant dont les données ont été piratées, d'après un récent sondage de KPMG

**rawsrc** · 25/08/2016, 12h35

Envoyé par Stéphane le calme

[B][SIZE=4]De plus, comme l’avaient déjà indiqué The Impact Team, malgré la suppression par l’utilisateur, la désactivation d’un compte ou même l’inactivité d’un profil (c’est à dire un profil qui n’a pas été consulté par son propriétaire une longue période), Ashley Madison conservait en réalité les informations personnelles de ses clients

Les gendarmes de la vie privée canadien et australien ont donné une série de recommandations que Ruby a accepté de suivre comme par exemple fournir une option gratuite pour supprimer les informations des utilisateurs une fois qu’ils suppriment leurs profils (les utilisateurs devaient payer 15 dollars US).

Quand on vous dit que vos informations (privées ou pas) valent une fortune, c'est pas des blagues...

On croit rêver, allez une dernière petite louchette (15 $) juste pour bien te faire sentir l'énorme manque à gagner quand l'utilisateur décide de supprimer son compte et ses données (quand elles sont réellement effacées... et pas, comme trop souvent, juste archivées et soi-disant inaccessibles).

**Jarodd** · 28/08/2016, 16h57

Envoyé par rawsrc

Quand on vous dit que vos informations (privées ou pas) valent une fortune, c'est pas des blagues...

On croit rêver, allez une dernière petite louchette (15 $) juste pour bien te faire sentir l'énorme manque à gagner quand l'utilisateur décide de supprimer son compte et ses données (quand elles sont réellement effacées... et pas, comme trop souvent, juste archivées et soi-disant inaccessibles).

Plus proche de nous, la RATP fait payer 5€ son Pass Navigo Découverte pour anonymiser les données de transport.
(ouvrir le menu "Sur quel passe charger votre forfait ?")

**TheLastShot** · 25/08/2016, 13h36

Un site de rencontre qui permet aux gens de tromper leur partenaire, et qui trompe ses clients... Malgré les problèmes éthiques évident de mon point de vue professionnel, du point de vue personnel j'aurais presque envie de dire que c'est une juste retour des choses =D

**Saverok** · 25/08/2016, 14h44

après toutes les révélations en pagailles sur ce site, il n'y a rien de plus rien surprenant.

**NSKis** · 25/08/2016, 17h17

Envoyé par Saverok

après toutes les révélations en pagailles sur ce site, il n'y a rien de plus rien surprenant.

Il n'y a malheureusement pas que ce site qui pose problème... What'sApp vient d'annoncer qu'il allait partager les données privées de ses utilisateurs dont les numéros de téléphone avec FaceBook (et pourtant lorsque FaceBook avait racheté la société en 2014, les dirigeants avaient promis ne jamais partager leur données avec FaceBook)...

Bien sûr, on viole la politique de confidentialité de hier mais toujours pour la bonne vieille raison "En connectant votre numéro de téléphone avec les systèmes de Facebook, ce dernier peut vous offrir de meilleures suggestions d'amis et vous montrer des publicités plus pertinentes si vous avez un compte Facebook" (dixit What'sApp)

Quand est-ce que les utilisateurs vont finir par comprendre qu'ils sont les dindons de la farce...

**TheLastShot** · 25/08/2016, 17h32

@NSKis, le problème c'est que pour beaucoup ils s'en rendent compte... Mais il s'en fiche totalement. La notion de vie privée (et pis encore, de respect de la vie privée) est quelque chose qui se perd de plus en plus depuis quelques années. Sous prétexte qu'on a des outils qui permettent de données des informations sur soi, certains se sentent "obligé" de tout dire sur eux et sur les autres... Il suffit de voir comment ont pulluler les émissions de télé-rézlité, le succès des tabloids, la prolifération de photos ou vidéos à caractère privé sur youtube (bien sûr au détriment de celui qui est photographié ou filmé, et sans réfléchir à l'impact que ça peut avoir...)
Alors après tout, si ces personnes sont prêt à tout déballer, pourquoi les services se gèneraient pour exploiter leurs données ?
(bien sûr je ne cautionne absolument pas ce système, mais j'ai trouvé un moyen très simple de le contrer: il n'y a que très peu d'information sur moi sur internet, et absolument rien de privé !)

Invité · 25/08/2016, 18h07

Envoyé par TheLastShot

Alors après tout, si ces personnes sont prêt à tout déballer, pourquoi les services se gèneraient pour exploiter leurs données ?

Pour les rares qui ne sont pas prêts à tout déballer. Si le plus grand nombre veut bien tout donner, c'est à cause de la politique intelligente (pour ne pas dire sournoise) mise en place par les fournisseurs : d'abord on ne demande rien, puis on demande petit à petit chaque information, on patiente le temps que les gens s'y habituent, puis on impose à tout le monde de tout fournir. À part les quelques irréductibles, tout le monde se fait prendre avec ce petit jeu. C'est bien normal. Pour prendre l'exemple des parents, combien d'entre eux interdisent à leurs ados d'avoir un compte Facebook ? Sur ces ados, combien n'en ont pas un en cachette ? Et sur ceux qu'il reste, combien n'ont pas une furieuse envie d'étrangler leurs parents avec un oreiller ? Très peu de parents sont prêts à ce genre d'affrontement (ils préfèrent garder leur énergie pour interdire l'alcool et la cigarette, c'est déjà pas mal

).
Tout ça pour dire que ce n'est pas une volonté de la part des gens de tout donner, mais plutôt un manque de volonté de résister.

**miky55** · 25/08/2016, 18h03

Envoyé par NSKis

Il n'y a malheureusement pas que ce site qui pose problème... What'sApp vient d'annoncer qu'il allait partager les données privées de ses utilisateurs dont les numéros de téléphone avec FaceBook (et pourtant lorsque FaceBook avait racheté la société en 2014, les dirigeants avaient promis ne jamais partager leur données avec FaceBook)...

Bien sûr, on viole la politique de confidentialité de hier mais toujours pour la bonne vieille raison "En connectant votre numéro de téléphone avec les systèmes de Facebook, ce dernier peut vous offrir de meilleures suggestions d'amis et vous montrer des publicités plus pertinentes si vous avez un compte Facebook" (dixit What'sApp)

Quand est-ce que les utilisateurs vont finir par comprendre qu'ils sont les dindons de la farce...

Salut, ça serait cool d'avoir ta source pour le partage d'infos de whatsapp. C'est pour tous les comptes? il y a une demande d'autorisation? ou c'est complètement à l'insu de l'utilisateur?

**NSKis** · 25/08/2016, 18h50

Envoyé par miky55

Salut, ça serait cool d'avoir ta source pour le partage d'infos de whatsapp. C'est pour tous les comptes? il y a une demande d'autorisation? ou c'est complètement à l'insu de l'utilisateur?

La source? Les média américains dont le New York Times: http://www.nytimes.com/2016/08/26/te...book.html?_r=0

Extrait: "WhatsApp will soon begin to share some member information with Facebook. WhatsApp said on Thursday that it would start disclosing the phone numbers and analytics data of its users with Facebook. It will be the first time the messaging service has connected people’s accounts to the social network to share information, as Facebook tries to coordinate information across its collection of businesses."

Traduction: WhatsApp va débuter l'échange de certaines données de ses membres avec FaceBook. WhatsApp a dit mardi qu'il allait commencer par fournir les numéros de téléphone et les données statistiques de ses membres à FaceBook. etc...

Pour les non-anglophones, un peu de patience... Les média francophones vont certainement en parler ces prochains jours...

En gros tu as donné tes données à WhatsApp? Alors ferme ta gu...! WhatsApp en fait ce qu'il veut sans demander ton avis!!!

**Olivier Famien** · 15/12/2016, 19h06

Ashley Madison condamné à payer 1,6 million de dollars et à implémenter un vrai programme de sécurité
après avoir trompé ses clients et exposé leurs données

En 2015, Ashley Madison, le site canadien qui met en relation sur son site des hommes mariés et d’autres personnes afin d'entretenir des aventures extra-conjugales a vu les données de 36 millions de ses utilisateurs être divulguées sur la toile après que, Ruby, l’entreprise derrière ce site a refusé de céder à la demande des pirates (The Impact Team) qui souhaitaient que l’entreprise retire de la toile ses sites AshleyMadison.com et EstablishedMen.com (qui met en relation des jeunes femmes et des hommes riches). Selon les analyses faites, les pirates se sont introduits sur le réseau de l'entreprise et ont collecté les données entre novembre 2014 et juin 2015. Pendant cette période, l'entreprise n'a rien soupçonné jusqu'à ce que les données soient publiées sur internet.

Dans le lot des données publiées, on pouvait retrouver par exemple l’adresse mail des utilisateurs, les questions de sécurité et les réponses définies lors de l’inscription sur le site, les mots de passe hashés, les identifiants réels des utilisateurs comme le nom, l’adresse de facturation ou encore les quatre derniers chiffres de la carte de crédit.

Après la fuite massive de données, plusieurs experts se sont penchés sur les mesures de sécurité mises en place par le site et ont découvert que les mécanismes de sécurité en vigueur étaient poreux. Les autorités américaines qui ne sont pas restées loin de cette affaire ont également mené leur enquête afin de déterminer le degré de responsabilité de Ruby anciennement connu sous le nom d’Avid Life Media (ALM) avant que le scandale des données piratées parut au grand jour.

Il faut souligner que les conséquences résultant de la fuite de données furent énormes. Certains avançant même le suicide de certaines personnes après que leurs identifiants ont été aperçus dans la liste des données qui ont fuité, tandis que dans la vie courante, personne ne pouvait s’imaginer qu’elles s’adonnaient à de telles pratiques.

Aussi, eu égard au fait qu’un grand nombre d’Américains ont été impactés dans cette affaire, la Federal Trade Commission (FTC) qui protège les intérêts des consommateurs américains a mené son enquête en collaboration avec les autorités canadiennes et australiennes et a porté plainte contre le site AshleyMadison.com pour avoir trompé les consommateurs et pour n’être pas parvenu à protéger les données des 36 millions d’utilisateurs repartis à travers 46 pays.

Il faut souligner le site affirmait que les informations personnelles comme la date de naissance, le statut des relations ou encore les préférences sexuelles étaient protégées de manière sécurisée, mais selon la FTC, cette sécurité était laxiste.

En plus, il faut noter qu’Ashley Madison avait apposé sur son site la mention « Trusted Security Award » pour certifier que le site est vraiment sécurisé. Toutefois, ces informations se sont révélées fausses dans la pratique, car le site n’a reçu aucune distinction particulière en matière de sécurité. À côté de ces faits, AshleyMadison.com a annoncé la suppression de toutes les informations des consommateurs utilisant son service « Full Delete » pour la suppression complète de leurs données. Cela s’est également révélé faux, car lorsque certains utilisateurs ont payé 19 dollars pour le service « Full Delete » afin de voir leurs données disparaître de ce site, le site a quand même conservé les données sur ces utilisateurs.

En outre, pour maximiser ses profits, le site a créé de faux profils de femmes et a pu ainsi attirer un grand nombre de clients, dont 19 millions d’Américains, afin de convertir ces hommes en clients payants. Ces personnes auraient donc échangé avec des bots plutôt qu’avec des femmes comme elles le croyaient.

Pour toutes ces raisons, la cour de justice de Columbia a condamné AshleyMadison.com à payer la somme de 1,6 million de dollars et à mettre en place un véritable programme de sécurité pour les données sur sa plateforme afin de mieux protéger les informations personnelles des utilisateurs contre les pirates l’avenir. La moitié de cette somme ira à la FTC et l'autre partie sera remise aux autorités étatiques impliquées dans l'enquête.

Source : Federal Trade Commission

Et vous ?

Que pensez-vous de la décision de la FTC ?

Pourra-t-elle véritablement régler le problème ?

Voir aussi

L'application chinoise de rencontre Tandan dévoile vos données personnelles et vos habitudes, un remake du scandale d'Ashley Madison ?

Un site de rencontres expose une base de données avec des informations sur 1,5 million « d'infidèles », les MdP étaient disponibles en texte clair

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

**surcouf1** · 19/12/2016, 14h07

Envoyé par Olivier Famien

Ashley Madison, le site canadien qui met en relation sur son site des hommes mariés et d’autres personnes afin d'entretenir des aventures extra-conjugales

quelle jolie périphrase. Pourquoi ne dire "tromper sa femme" tout simplement ?

Il faut souligner que les conséquences résultant de la fuite de données furent énormes.

Certes, tout suicide est un drame. Néanmoins, l'article pourrait aussi mentionner, par justice, les victimes dues à l'existence du site : les hommes qui le consultent, et leur femme naturellement (qu'il y ait une relation extra-conjugale concrète ou pas). Ces drames préexistent aux drames issus du piratage.

**Saverok** · 19/12/2016, 17h43

Envoyé par Rubicon

Néanmoins, l'article pourrait aussi mentionner, par justice, les victimes dues à l'existence du site : les hommes qui le consultent, et leur femme naturellement (qu'il y ait une relation extra-conjugale concrète ou pas). Ces drames préexistent aux drames issus du piratage.

C'est un propos moral qui n'a pas grand intérêt.
Des conjoints qui se trompent (car ça va dans les 2 sens, il n'y a pas que les hommes qui soient infidèles), ça existe depuis que des civilisations ont choisis la monogamie comme mode de fonctionnement des relations inter-sexe.
Bref, ça ne date pas d'hier.
Ashley Madison n'a rien à voir là-dedans.
Ca existait avant et ça continuera après.
Ce site n'a fait que répondre à un besoin commercial voir sociétal.

De même, des hommes qui trompent leurs femmes et se font prendre pour ensuite se suicider, aussi dramatique celui puissent être, ce n'est pas nouveau non plus.

Ashley Madison est responsable de négligence et je trouve normale cette condamnation.
Quand on confie ses données personnelles à un site, celui-ci doit mettre en place un minimum de règles de sécurité.
Cela s'applique autant à Ashley Madison qu'à Sony, Yahoo!, Orange ou FB.

Pour ce qui est de la morale, cela ne concerne en rien la justice.
A ma connaissance, on ne lapide pas les femmes infidèles sur la place publique en occident (contrairement à ce que certains souhaiteraient...)