La liste des abonnés du réseau d’entremise Ashley Madison serait téléchargeable sur plusieurs dépôts et liens P2P. Serait, car sur ce point, les avis sont excessivement partagés. Brian Krebs émet de nombreuses objections, et fait notamment remarquer qu’il est facile de forger un fichier de données provenant de plusieurs hacks de serveurs. Mêmes identifiants, mêmes mots de passe, cette pratique est répandue, et rien ne distingue un fichier nominatif d’un autre, et encore moins sa provenance. A ceci s’ajoute le fait que ledit fichier comporterait « trop » de données, et notamment des identités bancaires qui en théorie ne figurent pas dans les bases d’Ashley Madison en raison des contraintes PCI-DSS.
Ce à quoi Graham Clueley ajoute « ce n’est pas parce que l’on peut lire Barack Obama sur une liste de noms que le Président des Etats-Unis s’est effectivement inscrit ». En France, on appellerait ça une ImadLaouderie et cela n’étonnerait personne. D’autant plus que les révélations sur les jeux de l’amour et du hasard, même via Internet, ne traumatisent pas les peuples latins, habitués même à ces maîtresses qui se visitent en scooter ou qui sortent pas la porte de derrière.
D’autres sont plus catégoriques et prennent ces fichiers pour argent comptant., Wired, l’agence Reuter, Network World, et même Robert Graham qui y va même de son commentaire d’expert. Le dernier paragraphe de son billet explique que les motivations affichées des pirates seraient purement morales (l’épithète est peut-être mal choisi pour désigner une pudibonderie quasi fanatique), mais qu’en réalité, cette action coup-de-poing contre l’entreprise de cyber-marivaudage aurait pour moteur « #1 it’s fun and #2 because they can ».
Manque d’autres hypothèses : « #3 Parce que ça sert les intérêts d’une organisation concurrente », « #4 Parce que même faux, un tel fichier provoque un raz-de-marée médiatique » qui prouve à quel point le parfum de scandale fait vendre bien plus de papier que le détournement de la base SQL d’un intermédiaire bancaire. « #5 Pour camoufler une vengeance ou une attaque personnelle ciblée » qui passera totalement inaperçue dans ce foisonnement de prétendues révélations : chantage ne visant absolument pas l’hébergeur mais un ou plusieurs de ses abonnés, prélude à une attaque en ingénierie sociale plus poussée. « # 6… ad libitum »
Certaines de ces hypothèses ne sont d’ailleurs pas du tout contradictoires avec le fait que les fichiers diffusés soient vrais ou non.
Ajoutons qu’en matière d’intrusion, l’on assiste à une forme de systématisation des pratiques en quatre phases sauce Anonymous : hack des serveurs, récupération des fichiers sensibles, revendications ou menaces de chantage, publication sur Pastebin et/ou sur les réseaux BitTorrent. Au sein des DSI, on ne dira plus « j’ai été hacké », mais « j’ai été Pastebindé », comme au XVIIIème siècle, un personnage de la cour faisait l’objet de libelles, brocards et pamphlets lorsqu’il fréquentait un peu trop certaine maison du Parc au Cerfs de Versailles. Déjà, à cette époque, l’argument de la moralité cachait bien des revendications politiques ou des enjeux personnels.