Contribution de l’EGE dans Futuribles sur l’affaire Ashley Madison et ses répercussions


Nicolas Mazzucchi, professeur associé à l'EGE et directeur de Polemos Consulting, s'interroge si Ashley Madison ne constituerait pas un tournant de la cybersécurité ?


L’affaire Ashley Madison concernant le vol puis la révélation auprès du grand public, en août 2015, des informations personnelles des utilisateurs de ce site canadien de rencontres extraconjugales a créé un important buzz dans les médias. Au-delà des questions relatives à la moralité d’un tel site, les principaux commentaires concernaient le ratio femmes/hommes réel des inscrits, bien loin des annonces des propriétaires du site [1]. Les motivations avancées par le groupe de hackers The Impact Team à l’origine de l’attaque se rapportaient en effet au « mensonge » des propriétaires d’Ashley Madison, faisant la publicité de leur site au travers de la promesse d’une quasi-parité femmes-hommes. En réalité, il semble, d’après les révélations de The Impact Team, qu’Ashley Madison comprenait un nombre extrêmement élevé de bots (agents logiciels informatiques) destinés à simuler des membres féminins, lesquels ne donnaient jamais de réponses aux demandes de mise en contact des hommes. En plus de la question, toujours présente, de la moralité d’une plate-forme ouvertement destinée à faciliter l’infidélité conjugale, cette affaire témoigne surtout de la volonté d’acteurs tiers de révéler les pratiques non éthiques d’une entreprise privée.


Cette affaire met en avant une certaine montée en puissance des acteurs de la société civile qui se saisissent de plus en plus, à titre individuel ou collectif, d’actions qu’ils considèrent comme mauvaises de la part d’entreprises ou d’organisations politiques. L’attaque contre Ashley Madison n’est en ce sens pas tout à fait nouvelle puisqu’elle fait écho à certaines actions des Anonymous comme « OpPetrol » contre les entreprises pétrolières en 2013 [2] ou « OpGabon » contre l’État gabonais puis les filiales d’entreprises européennes installées dans ce pays la même année [3]. La question de l’identité de ces acteurs non étatiques comme les Anonymous se pose puisqu’ils apparaissent et disparaissent très rapidement — le cas Anonymous étant lui-même très particulier puisque l’organisation fonctionne par agrégation spontanée et sans, en apparence, de hiérarchie : il suffit de se déclarer Anonymous pour en être. Sans possibilité d’identifier avec certitude ses agresseurs et leurs buts réels, il semble impossible, pour une entreprise, de pouvoir prévenir les attaques.


LIRE LA SUITE