Fuite des photos de personnalités d'août 2014
La fuite des photos de personnalités d'août 2014 (également connue sous fappening) est une diffusion de photos intimes volées sur des terminaux mobiles ou comptes de stockage en ligne. Certaines victimes témoignent de l'apparition de photos effacées depuis plusieurs années. Ce délit pourrait être qualifié, au pénal, de crime à caractère sexuel, ce qui justifie une enquête du FBI des États-Unis.
Publication initiale
Le 31 août 2014, près de 200 photos présentant des scènes de personnalités américaines dénudées, surtout des femmes, ont été mises en ligne sur le forum 4chan, puis recopiées vers d'autres sites web et des réseaux sociaux, essentiellement Imgur et Tumblr. Le site Reddit a centralisé les liens sans les héberger ; ils seront retirés plus tard.
La publication initiale semble être l’acte d'un homme seul, qu'il soit le pirate ou qu'il ait acquis les photos sur un site spécialisé du Deep web. Il aurait été rapidement arrêté et incarcéré. Les photos auraient été téléchargées à la suite d'une intrusion dans le service iCloud d'Apple[1] - [2] - [3]. La société Apple a plus tard confirmé que les hackers ont profité d'une brèche précise, sans toutefois remettre en cause la sécurité du service iCloud[4] - [5] - [6]. Néanmoins, Apple estime qu'un manuel de Dropbox au format PDF est mêlé à la publication et que les photos peuvent provenir de multiples sources.
Rapidement cette publication est décrite comme une « attaque de pirate », qui ne serait pas seulement l'acte d'un individu isolé. Les médias parlent de scandale des fuites (« leak »), alors que certains médias francophones parlent de « Celebgate », mot-valise formé de célébrité et du suffixe gate, en référence au scandale du Watergate. Pour les médias généralistes, Apple et les éventuels autres éditeurs de services piratés ont négligé la sécurité. Les médias spécialisés en informatique utilisent l’expression « The Fappening », mot-valise formé de fap, se masturber en argot américain, et happening, événement en direct, en langue anglaise.
De nombreuses réactions outrées, issues d'éditorialistes et de personnalités, font suite à cette publication. Certains estiment que la distribution des photos est assimilable à une intrusion dans la vie privée. Certaines victimes contestent l'authenticité des photos, parlant de photomontages (« fake ») mélangés aux photos volées. La fuite a aussi amené des observateurs à remettre en question le secret et la sécurité des services offerts dans le nuage, mettant en garde contre l'usage de ces services pour stocker des informations privées ou sensibles. Les éditeurs incriminés affirment que leurs services demeurent moins vulnérables que les ordinateurs personnels.
Publications ultérieures
Le 20 septembre, une deuxième série de photos est mise en ligne[7]. Moins d'une semaine plus tard, le , une troisième série est mise en ligne[8].
De nombreuses publications de photos volées se poursuivent en octobre 2014, laissant supposer plusieurs auteurs différents, publiant leurs collections anciennes. Le FBI rappelle que les sites internet hébergeant de telles publications peuvent être considérés par certains juges (en common law) comme complices de crimes. C'est pourquoi, dès le début du mois de septembre 2014, Reddit supprime tous les liens incriminés. Néanmoins, selon une certaine interprétation, indiquer des liens vers des publications interdites pour recel ne caractériserait pas un fait de complicité. Alors qu'il est accepté par la jurisprudence que des hébergeurs tels que YouTube, Dailymotion, imgur et Tumblr exercent un contrôle a posteriori et non un filtrage a priori, la centralisation des liens est au contraire condamnée par de nombreuses jurisprudences, principalement celles à propos de The Pirate Bay. En octobre 2014, le site américain francophone webchoc.com
modifie sa structure pour exercer un contrôle a posteriori et non plus a priori, les liens étant désormais publiés par des utilisateurs.
Revendication
Le 13 octobre 2014, un Russe de 28 ans, qui se présente comme un coureur automobile en couple avec une danseuse de pole-dance[9], revendique les publications auprès du tabloïd The Sun. Il est depuis le le propriétaire du nom de domaine thefappening.so, enregistré en Californie[10]. Il déclare être l'administrateur salarié d'un site web qui publie les photos et vidéos volées, sans en être le responsable légal. Le site serait hébergé en Arizona et publierait uniquement des médias trouvés sur le moteur de recherche Google dont il n'est pas l'auteur. Selon le Mail Online, la revendication est organisée par l'agence de communication anglaise East2west Limited. Selon un article du site spécialisé Tech Worm, un tel site agrégateur de contenu est sans aucun lien avec les piratages initiaux et « n'était en aucune manière impliqué dans le scandale du piratage.[trad 1] »[11]. Alors que la diffusion de pornographie ou d'un certain degré d'érotisme constituent des crimes en Chine (continentale), un site miroir en chinois (mandarin), thefappenin.so[12], est créé le en Chine.
Enquête
En mars 2016, Ryan Collins de Lancaster (Pennsylvanie) plaide coupable d'accès non autorisé à un ordinateur dans le but d'obtenir des informations, encourant ainsi 5 ans de prison, 18 mois étant requis par le procureur[13]. La mise en ligne des photos n'a pas été imputée à Ryan Collins. Pendant l'enquête, il a été déterminé que Ryan Collins a envoyé des e-mails d'hameçonnage aux victimes, imitant l'apparence de ceux d'Apple et de Google, mettant en garde les destinataires que leurs comptes pouvaient être compromis et leur demandant des informations de comptes. Les victimes entraient leurs mots de passe et Collins obtenait ainsi l'accès à leurs comptes, téléchargeant des e-mails et des sauvegardes iCloud[14]. 50 comptes iCloud et 72 comptes Gmail ont ainsi été piratés.
En octobre 2016, Ryan Collins est condamné à 18 mois de prison fédérale, comme requis par le procureur de Pennsylvanie[15] - [16].
Au total, 3 Américains sont condamnés pour des intrusions dans les comptes mail et cloud de citoyens américains, mais aucun n'est reconnu coupable de publication sur internet[17].
Faille de sécurité technologique
L'issue de l'enquête aura permis de démontrer que Ryan Collins n'aura utilisé aucune faille de sécurité afin d'accéder aux photos et vidéos dérobées, mais qu'il aurait, au contraire, utilisé des mails d'hameçonnage ciblés afin de tromper les victimes pour qu'elles lui fournissent leurs identifiants et mots de passe de connexion à leurs comptes iCloud et Gmail[15].
Notes et références
Citations originales
- (en) « was in no way involved in the hacking scandal »
Références
- (en) Charles Arthur, « Naked celebrity hack: security experts focus on iCloud backup theory », The Guardian, (lire en ligne, consulté le )
- (en) Terrence McCoy, « 4chan: The ‘shock post’ site that hosted the private Jennifer Lawrence photos », The Washington Post, (lire en ligne, consulté le )
- « They quickly spilled to Reddit, where thousands purveyed it under the handle of “the Fappening” — “fap” means to masturbate — before the news reached Buzzfeed and the rest of the viral media gang. »
- (en) David McCormack, Paul Chavez, Zoe Szathmary et Sophie Jane Evans, « New wave of leaks target more celebrities as authorities prove unable to stop spread as it emerges naked photos may have been passed around online club for MONTHS », The Daily Mail, (lire en ligne, consulté le )
- « Last night, Reddit users took to a special subsection of the social networking site devoted to the leaks, called Fappening, to discuss the supposed release of a new wave of naked images. »
- (en) Mitchell Sunderland et Mike Pearl, « This Porn Site Operator Issued a Bounty for Helping Catch the 'Fappening' Leaker », Vice, (lire en ligne, consulté le )
- (en) Radhika Sanghani, « Jennifer Lawrence photo leak: Let's stop calling this hacking 'The Fappening' », The Telegraph, (lire en ligne, consulté le )
- (en) Martin Landi, « Stars' nude photo attack may have been down to password codes », Irish Independent, (lire en ligne, consulté le )
- (en) « Business Insider: Here's How Hacked Celebrities Are Responding To The Latest Round Of Nude Photos », Business Insider, (lire en ligne, consulté le )
- (en) « The Fappening 3: More Nude Photos Of Stars Leak Online », Hollywood Life, (lire en ligne, consulté le )
- (en) Will Steward, « Russian programmer behind website hosting hacked celebrity nude pictures is Porsche-driver with pole-dancing wife who runs business from shabby flat », Mail Online,
- (en) « Thefappening.so - Thefappening Whois Report », sur ip-adress.com
- (en) Delwyn Pinto, « 28 year old Russian is the owner of iCloud Hacks leaked images website », Tech Worm,
- (en) « Thefappenin.so - Thefappenin Whois Report », sur ip-adress.com
- (en) Pennsylvania Man Is Charged in Celebrity Hack, Reaches Plea Deal, NBC News,
- Prosecutors find that ‘Fappening’ celebrity nudes leak was not Apple’s fault, Techcrunch,
- (en) Hacker who stole nude photos of celebrities gets 18 months in prison , The Guardian,
- (en) Lancaster County Man Sentenced To 18 Months In Federal Prison For Hacking Apple And Google E-Mail Accounts Belonging To More Than 100 People, Including Many Celebrities, US Department of Justice,
- (en)Hacker Sentenced Over Celebrity Nude Photo Leak, Ted Johnson, Variety, 27 octobre 2016, cité par Phishing 18 mois de prison pour un hacker du #celebgate, Élodie, Journal du Geek, 28 octobre 2016