Les données dérobées du site Ashley Madison sont disponibles sur le Web. Est-ce une raison pour inciter une chasse aux infidèles?
Je ne connaissais pas le site Ashley Madison jusqu’à tout récemment suite à l’attaque qu’il a subie. Comme plusieurs, j’ai été surpris de l’ampleur de l’incident de sécurité touchant le site Web qui offre des services pour faciliter les infidélités.
J’ai lu également les revendications du groupe de pirates The Impact Team pour fermer le site d’Ashley Madison sinon, il diffuserait les données des clients du site. Il y a quelques jours, ces derniers ont mis leurs menaces à exécution en rendant publique la liste des utilisateurs du site Web. Quand j’ai entendu cette nouvelle, je me suis dit:
Ça y est! Une chasse aux infidèles va commencer pour trouver qui est inscrit sur ce site.
Un bon coup pour Crypto.Québec
Au Québec, l’équipe de Crypto.Québec a fait un bon coup médiatique en donnant quelques informations sur les données dérobées provenant du site Ashley Madison. Bravo les gars! Sans méchanceté, je vous félicite, car vous n’avez pas divulgué de noms de clients comme ça s’est fait ailleurs dans le monde…
Et parlant de divulgation. Le lendemain sur le Web, on a vu apparaître un utilitaire permettant de chercher les noms de clients du site en saisissant leur adresse de courriel. Bref, un outil pour faciliter la chasse aux infidèles. Personnellement, j’ai trouvé ça immoral de produire un outil de la sorte qui facilite l’accès à des données provenant d’un acte criminel.
Et j’ai trouvé ça peu éthique quand des « professionnels » de la sécurité ont diffusé sur les réseaux sociaux, le lien vers cet utilitaire.
Un peu de professionnalisme, SVP!
Comme professionnels travaillant en sécurité de l’information, nous ne devons pas prêter serment comme des policiers (ou des gendarmes). Par contre, notre travail est de sensibiliser et d’assurer la protection des données des organisations. Pas d’encourager leurs diffusions. Même si Ashley Madison n’est une organisation avec qui on travaille et même si on n’est pas en accord avec les services qu’elle offre, on ne doit pas prendre part à la propagation de leurs données.
En guise de comparaison, c’est comme si un agent de sécurité aurait diffusé l’adresse d’un entrepôt contenant du matériel volé. Ça ne fonctionne pas.
Si on me sert le prétexte que le lien annoncé sert à dénoncer les infidélités, peut-on m’expliquer pourquoi des experts en sécurité se lancent maintenant dans une telle chasse aux infidèles?
C’est la faute à Ashley Madison
Je suis convaincu que ces professionnels seront surpris par ce billet tellement c’est banal de diffuser un message avec un lien sur les réseaux sociaux. Justement dans ce cas-ci, ça ne l’est pas.
Outre la banalité du geste, je crois que la diffusion de ce message a été faite dans une optique où certains étaient contents d’avoir trouvé un petit quelque chose d’extraordinaire à publier sur les réseaux sociaux. De plus en plus, les experts de sécurité cherchent du sensationnalisme à diffuser. Ce n’est pas propre à notre domaine, mais c’est ce qui pourrait expliquer le geste.
Au final
Je ne suis pas reconnu pour donner dans la controverse. Vous pouvez lire les autres articles sur ce blogue. Vous verrez que c’est très léger. Mais cette fois, je me devais de faire une sortie en règle. C’était plus fort que moi. Je devais écrire sur ce sujet.
Sans rancune, chers collègues, mais vous l’avez « échappé ».
Photo: Securisa (avec olloclip, macro 15x)
[maxbutton id= »4″]