Fuite des photos de personnalités d'août 2014

La fuite des photos de personnalités d'août 2014 (également connue sous fappening) est une diffusion de photos intimes volées sur des terminaux mobiles ou comptes de stockage en ligne. Certaines victimes témoignent de l'apparition de photos effacées depuis plusieurs années. Ce délit pourrait être qualifié, au pénal, de crime à caractère sexuel, ce qui justifie une enquête du FBI des États-Unis.

Publication initiale[modifier | modifier le code]

Le 31 août 2014, près de 200 photos présentant des scènes de personnalités américaines dénudées, surtout des femmes, ont été mises en ligne sur le forum 4chan, puis recopiées vers d'autres sites web et des réseaux sociaux, essentiellement Imgur et Tumblr. Le site Reddit a centralisé les liens sans les héberger ; ils seront retirés plus tard.

La publication initiale semble être l’acte d'un homme seul, qu'il soit le pirate ou qu'il ait acquis les photos sur un site spécialisé du Deep web. Il aurait été rapidement arrêté et incarcéré^{[réf. nécessaire]}. Les photos auraient été téléchargées à la suite d'une intrusion dans le service iCloud d'Apple^[1]^,^[2]^,^[3]. La société Apple a plus tard confirmé que les hackers ont profité d'une brèche précise, sans toutefois remettre en cause la sécurité du service iCloud^[4]^,^[5]^,^[6]. Néanmoins, Apple estime qu'un manuel de Dropbox au format PDF est mêlé à la publication et que les photos peuvent provenir de multiples sources^{[réf. nécessaire]}.

Rapidement cette publication est décrite comme une « attaque de pirate », qui ne serait pas seulement l'acte d'un individu isolé^{[réf. nécessaire]}. Les médias parlent de scandale des fuites (« leak »), alors que certains médias francophones parlent de « Celebgate », mot-valise formé de célébrité et du suffixe gate, en référence au scandale du Watergate. Pour les médias généralistes, Apple et les éventuels autres éditeurs de services piratés ont négligé la sécurité. Les médias spécialisés en informatique utilisent l’expression « The Fappening », mot-valise formé de fap, se masturber en argot américain, et happening, événement en direct, en langue anglaise.

De nombreuses réactions outrées, issues d'éditorialistes et de personnalités, font suite à cette publication. Certains estiment que la distribution des photos est assimilable à une intrusion dans la vie privée. Certaines victimes contestent l'authenticité des photos, parlant de photomontages (« fake ») mélangés aux photos volées. La fuite a aussi amené des observateurs à remettre en question le secret et la sécurité des services offerts dans le nuage, mettant en garde contre l'usage de ces services pour stocker des informations privées ou sensibles. Les éditeurs incriminés affirment que leurs services demeurent moins vulnérables que les ordinateurs personnels.

Publications ultérieures[modifier | modifier le code]

Le 20 septembre, une deuxième série de photos est mise en ligne^[7]. Moins d'une semaine plus tard, le 26 septembre 2014, une troisième série est mise en ligne^[8].

De nombreuses publications de photos volées se poursuivent en octobre 2014, laissant supposer plusieurs auteurs différents, publiant leurs collections anciennes. Le FBI rappelle que les sites internet hébergeant de telles publications peuvent être considérés par certains juges (en common law) comme complices de crimes. C'est pourquoi, dès le début du mois de septembre 2014, Reddit supprime tous les liens incriminés. Néanmoins, selon une certaine interprétation, indiquer des liens vers des publications interdites pour recel ne caractériserait pas un fait de complicité^{[réf. nécessaire]}. Alors qu'il est accepté par la jurisprudence que des hébergeurs tels que YouTube, Dailymotion, imgur et Tumblr exercent un contrôle a posteriori et non un filtrage a priori, la centralisation des liens est au contraire condamnée par de nombreuses jurisprudences, principalement celles à propos de The Pirate Bay. En octobre 2014, le site américain francophone webchoc.com modifie sa structure pour exercer un contrôle a posteriori et non plus a priori, les liens étant désormais publiés par des utilisateurs.

Revendication[modifier | modifier le code]

Le 13 octobre 2014, un Russe de 28 ans, qui se présente comme un coureur automobile en couple avec une danseuse de pole-dance^[9], revendique les publications auprès du tabloïd The Sun. Il est depuis le 27 septembre 2014 le propriétaire du nom de domaine thefappening.so, enregistré en Californie^[10]. Il déclare être l'administrateur salarié d'un site web qui publie les photos et vidéos volées, sans en être le responsable légal. Le site serait hébergé en Arizona et publierait uniquement des médias trouvés sur le moteur de recherche Google dont il n'est pas l'auteur. Selon le Mail Online, la revendication est organisée par l'agence de communication anglaise East2west Limited. Selon un article du site spécialisé Tech Worm, un tel site agrégateur de contenu est sans aucun lien avec les piratages initiaux et « n'était en aucune manière impliqué dans le scandale du piratage.^{[trad 1]} »^[11]. Alors que la diffusion de pornographie ou d'un certain degré d'érotisme constituent des crimes en Chine (continentale), un site miroir en chinois (mandarin), thefappenin.so^[12], est créé le 8 octobre 2014 en Chine.

Enquête[modifier | modifier le code]

En mars 2016, Ryan Collins de Lancaster (Pennsylvanie) plaide coupable d'accès non autorisé à un ordinateur dans le but d'obtenir des informations, encourant ainsi 5 ans de prison, 18 mois étant requis par le procureur^[13]. La mise en ligne des photos n'a pas été imputée à Ryan Collins. Pendant l'enquête, il a été déterminé que Ryan Collins a envoyé des e-mails d'hameçonnage aux victimes, imitant l'apparence de ceux d'Apple et de Google, mettant en garde les destinataires que leurs comptes pouvaient être compromis et leur demandant des informations de comptes. Les victimes entraient leurs mots de passe et Collins obtenait ainsi l'accès à leurs comptes, téléchargeant des e-mails et des sauvegardes iCloud^[14]. 50 comptes iCloud et 72 comptes Gmail ont ainsi été piratés.

En octobre 2016, Ryan Collins est condamné à 18 mois de prison fédérale, comme requis par le procureur de Pennsylvanie^[15]^,^[16].

Au total, 3 Américains sont condamnés pour des intrusions dans les comptes mail et cloud de citoyens américains, mais aucun n'est reconnu coupable de publication sur internet^[17].

Faille de sécurité technologique[modifier | modifier le code]

L'issue de l'enquête aura permis de démontrer que Ryan Collins n'aura utilisé aucune faille de sécurité afin d'accéder aux photos et vidéos dérobées, mais qu'il aurait, au contraire, utilisé des mails d'hameçonnage ciblés afin de tromper les victimes pour qu'elles lui fournissent leurs identifiants et mots de passe de connexion à leurs comptes iCloud et Gmail^[15].

Notes et références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « August 2014 celebrity photo leaks » (voir la liste des auteurs).

Citations originales[modifier | modifier le code]

↑ (en) « was in no way involved in the hacking scandal »

Références[modifier | modifier le code]

↑ (en) Charles Arthur, « Naked celebrity hack: security experts focus on iCloud backup theory », The Guardian,‎ 1^er septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
↑ (en) Terrence McCoy, « 4chan: The ‘shock post’ site that hosted the private Jennifer Lawrence photos », The Washington Post,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
« They quickly spilled to Reddit, where thousands purveyed it under the handle of “the Fappening” — “fap” means to masturbate — before the news reached Buzzfeed and the rest of the viral media gang. »
↑ (en) David McCormack, Paul Chavez, Zoe Szathmary et Sophie Jane Evans, « New wave of leaks target more celebrities as authorities prove unable to stop spread as it emerges naked photos may have been passed around online club for MONTHS », The Daily Mail,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
« Last night, Reddit users took to a special subsection of the social networking site devoted to the leaks, called Fappening, to discuss the supposed release of a new wave of naked images. »
↑ (en) Mitchell Sunderland et Mike Pearl, « This Porn Site Operator Issued a Bounty for Helping Catch the 'Fappening' Leaker », Vice,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
↑ (en) Radhika Sanghani, « Jennifer Lawrence photo leak: Let's stop calling this hacking 'The Fappening' », The Telegraph,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
↑ (en) Martin Landi, « Stars' nude photo attack may have been down to password codes », Irish Independent,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
↑ (en) « Business Insider: Here's How Hacked Celebrities Are Responding To The Latest Round Of Nude Photos », Business Insider,‎ 22 septembre 2014 (lire en ligne, consulté le 8 octobre 2014)
↑ (en) « The Fappening 3: More Nude Photos Of Stars Leak Online », Hollywood Life,‎ 28 septembre 2014 (lire en ligne, consulté le 8 octobre 2014)
↑ (en) Will Steward, « Russian programmer behind website hosting hacked celebrity nude pictures is Porsche-driver with pole-dancing wife who runs business from shabby flat », Mail Online, 13 octobre 2014
↑ (en) « Thefappening.so - Thefappening Whois Report », sur ip-adress.com
↑ (en) Delwyn Pinto, « 28 year old Russian is the owner of iCloud Hacks leaked images website », Tech Worm, 13 octobre 2014
↑ (en) « Thefappenin.so - Thefappenin Whois Report », sur ip-adress.com
↑ (en) Pennsylvania Man Is Charged in Celebrity Hack, Reaches Plea Deal, NBC News, 15 mars 2016
↑ Prosecutors find that ‘Fappening’ celebrity nudes leak was not Apple’s fault, Techcrunch, 15 mars 2016
↑ ^{a et b} (en) Hacker who stole nude photos of celebrities gets 18 months in prison , The Guardian, 28 octobre 2016
↑ (en) Lancaster County Man Sentenced To 18 Months In Federal Prison For Hacking Apple And Google E-Mail Accounts Belonging To More Than 100 People, Including Many Celebrities, US Department of Justice, 27 octobre 2016
↑ (en)Hacker Sentenced Over Celebrity Nude Photo Leak, Ted Johnson, Variety, 27 octobre 2016, cité par Phishing 18 mois de prison pour un hacker du #celebgate, Élodie, Journal du Geek, 28 octobre 2016

[11] (en) « was in no way involved in the hacking scandal »

[guardian-1-1] (en) Charles Arthur, « Naked celebrity hack: security experts focus on iCloud backup theory », The Guardian,‎ 1^er septembre 2014 (lire en ligne, consulté le 17 septembre 2014)

[mccoy-2] (en) Terrence McCoy, « 4chan: The ‘shock post’ site that hosted the private Jennifer Lawrence photos », The Washington Post,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
« They quickly spilled to Reddit, where thousands purveyed it under the handle of “the Fappening” — “fap” means to masturbate — before the news reached Buzzfeed and the rest of the viral media gang. »

[McCormack-3] (en) David McCormack, Paul Chavez, Zoe Szathmary et Sophie Jane Evans, « New wave of leaks target more celebrities as authorities prove unable to stop spread as it emerges naked photos may have been passed around online club for MONTHS », The Daily Mail,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)
« Last night, Reddit users took to a special subsection of the social networking site devoted to the leaks, called Fappening, to discuss the supposed release of a new wave of naked images. »

[Sunderland-4] (en) Mitchell Sunderland et Mike Pearl, « This Porn Site Operator Issued a Bounty for Helping Catch the 'Fappening' Leaker », Vice,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)

[Sanghani-5] (en) Radhika Sanghani, « Jennifer Lawrence photo leak: Let's stop calling this hacking 'The Fappening' », The Telegraph,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)

[stars-6] (en) Martin Landi, « Stars' nude photo attack may have been down to password codes », Irish Independent,‎ 2 septembre 2014 (lire en ligne, consulté le 17 septembre 2014)

[7] (en) « Business Insider: Here's How Hacked Celebrities Are Responding To The Latest Round Of Nude Photos », Business Insider,‎ 22 septembre 2014 (lire en ligne, consulté le 8 octobre 2014)

[8] (en) « The Fappening 3: More Nude Photos Of Stars Leak Online », Hollywood Life,‎ 28 septembre 2014 (lire en ligne, consulté le 8 octobre 2014)

[9] (en) Will Steward, « Russian programmer behind website hosting hacked celebrity nude pictures is Porsche-driver with pole-dancing wife who runs business from shabby flat », Mail Online, 13 octobre 2014

[10] (en) « Thefappening.so - Thefappening Whois Report », sur ip-adress.com

[12] (en) Delwyn Pinto, « 28 year old Russian is the owner of iCloud Hacks leaked images website », Tech Worm, 13 octobre 2014

[13] (en) « Thefappenin.so - Thefappenin Whois Report », sur ip-adress.com

[14] (en) Pennsylvania Man Is Charged in Celebrity Hack, Reaches Plea Deal, NBC News, 15 mars 2016

[15] Prosecutors find that ‘Fappening’ celebrity nudes leak was not Apple’s fault, Techcrunch, 15 mars 2016

[guardian-16] {a et b} (en) Hacker who stole nude photos of celebrities gets 18 months in prison , The Guardian, 28 octobre 2016

[17] (en) Lancaster County Man Sentenced To 18 Months In Federal Prison For Hacking Apple And Google E-Mail Accounts Belonging To More Than 100 People, Including Many Celebrities, US Department of Justice, 27 octobre 2016

[18] (en)Hacker Sentenced Over Celebrity Nude Photo Leak, Ted Johnson, Variety, 27 octobre 2016, cité par Phishing 18 mois de prison pour un hacker du #celebgate, Élodie, Journal du Geek, 28 octobre 2016

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[trad 1]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker