[Enquête Numerama] Le site de discussions et de rencontres BDSM Domi a laissé sans protection les données de 20 000 utilisateurs. Un hacker aurait pu mettre la main sur le détail des préférences sexuelles des victimes, et l'utiliser pour les harceler ou les faire chanter. Numerama est remonté jusqu'au responsable de la fuite : l'étrange groupe BD Multimedia dont l'activité se partage entre sites coquins et services financiers.

Rarement une fuite de données n’aura été aussi complète sur la vie intime des victimes. Fin 2019, l’intégralité des données de plus de 20 000 utilisatrices et utilisateurs français du site de discussions et de rencontres BDSM domi[.]com s’est retrouvée exposée sans protection, sans que le site ne subisse une cyberattaque. Dans cette fuite que Numerama a consultée après avoir été alerté par une source qui souhaite garder l’anonymat, il y avait, pour chaque personne, plus d’une vingtaine de lignes d’informations. Surtout, ces lignes contenaient le détail de leurs préférences sexuelles.

Domi affiche fièrement son statut : « La plus grande, la plus ancienne communauté BDSM, spécialisée depuis plus de 25 ans dans les rencontres SM ». Le postulat est discuté par des blogs spécialisés sur le sujet, mais le forum de rencontre existe bien depuis le Minitel et revendique plus de 38 000 inscrits sur sa page d’accueil.

Domi a récemment lancé une nouvelle version de son site, également accessible sur smartphone. // Source : Louise Audry pour Numerama

Pour comprendre la gravité de la fuite, il faut comprendre ce qu’est le BDSM. L’acronyme (pour bondage, discipline, sado-masochisme) englobe un ensemble de pratiques et de jeux sexuels, autour des rapports de domination et de soumission, des fétichismes, et de l’usage d’accessoires (corde, martinet, pinces…). Les adeptes du BDSM ont encadré leurs activités par des codes pour garantir la sécurité et le consentement de tous les partis, mais leurs pratiques sont encore considérées comme « à la marge ». Une majorité d’entre eux préfère donc garder ses préférences dans le cadre privé, souvent sous anonymat.

Entre de mauvaises mains, les données de la fuite permettraient d’alimenter du chantage à la divulgation d’information, des comportements discriminatoires ou encore du harcèlement ciblé… On peut facilement imaginer un scénario dans lequel le maître chanteur menace un utilisateur de révéler ses pratiques sexuelles à sa famille, ses collègues ou encore ses voisins.

La fuite, découverte à l’été 2019, n’a été réparée qu’en janvier 2020. L’entreprise BD Multimedia, éditrice de Domi et responsable légal de la fuite, n’a répondu à aucune de nos demandes de contact répétées, au cours de plusieurs semaines d’enquête.

Le détail des préférences sexuelles facilement accessible

À l’inscription, Domi vous demande de renseigner plusieurs informations intimes. D’abord, le genre : homme, femme, couple, « trans/trav » (sic). Puis vient le statut marital (marié(e), pacsé(e), célibataire…),  suivi par « l’orientation » (« hétéro », « homo / lesbienne », « bi-sexuel(le) »).

Enfin, deux écrans successifs vous proposent d’entrer dans le détail des préférences sexuelles, mais laissent aussi la possibilité de rester vague. Le site vous demande d’abord si vous préférez les jeux de soumission, de domination, ou les deux. Puis il propose de renseigner 6 préférences sexuelles parmi une liste de 22 choix : bondage, fessées, soubrette, bougies, pony-girl…

Dans son formulaire d’inscription, Domi demande toutes sortes d’informations intimes. // Source : Louise Audry pour Numerama

Toutes ces données renseignées dans le formulaire d’inscription font partie de la fuite, car les deux serveurs sur lesquels elles étaient stockées n’étaient pas protégés. N’importe qui pouvait donc les consulter depuis un navigateur web (Firefox, Chrome, Edge…) : il suffisait de rentrer l’adresse du serveur (une succession de chiffres séparés par des points) dans la barre de recherche.

Des données personnelles très précises

Non seulement ces informations sexuelles n’étaient pas protégées, mais elles étaient  accompagnées de données personnelles exceptionnellement précises : pseudo sur le site, adresse mail, date de naissance, coordonnées GPS exactes de l’adresse postale et sexe. Avec ce cocktail de données, il est très facile d’en déduire d’autres, comme l’identité d’une personne. Certains utilisateurs s’inscrivent d’ailleurs avec un courriel composé de leur vrai prénom, nom et département, sous la forme jeandupont75@gmail.com. D’autres ont indiqué un email qui ne révèle pas leur identité, mais il est possible de la retrouver en cherchant cet email dans d’autres bases de données fuitées. Ou encore, il est possible de remonter au nom d’autres personnes grâce à leur adresse avec une simple recherche dans l’annuaire.

Quant au pseudo présent dans la fuite, il permet de lier la victime avec d’autres services qu’elle utilise, et d’en savoir toujours plus sur elle. Pour compléter le tableau, l’adresse IP, la date de création du compte, la dernière date de connexion, et le nombre de photos publiques et privées téléchargées sur le site figurent également.

Domi associe les données les plus intimes avec des données personnelles très précises. // Source : Louise Audry pour Numerama

Si une personne malveillante a mis la main sur la fuite, elle dispose donc de données extrêmement précises pour faire chanter ou harceler les utilisateurs, et de plusieurs moyens de contact. La base peut également être revendue puis exploitée par d’autres cybercriminels pour des attaques à plus grande échelle.

Reste à savoir si d’autres personnes que notre source ont eu accès à la base de données. Plusieurs outils permettent de détecter les tentatives de connexion au système de l’entreprise, mais faut-il encore qu’ils soient en place.

Une fuite commune, très facile à repérer

L’emplacement de la fuite, le port 9200 de deux serveurs Elastic Search, est une des sources de fuite les plus communes. Comme nous vous l’expliquions dans une précédente enquête, cette technologie, très pratique pour analyser les données, devient un véritable casse-tête à protéger. Par inadvertance, ou après des changements, le port 9200 peut être ouvert au lieu d’être fermé derrière un mot de passe ou d’autres protections.

En revanche, ce type de fuite est très facile à repérer : lors d’un audit — ou d’une tentative d’attaque –, les hackers vont commencer par scanner les ports des serveurs du site, avant même de lancer un script. Et puisque le port 9200 d’Elastic Search est réputé pour être mal protégé, il sera détecté lors de cette phase d’éclairage.

Si une personne avait tenté de mettre la main sur les données de Domi, elle aurait donc pu le faire facilement. Mais puisque le site n’est que très peu connu et qu’il n’a qu’un faible nombre d’utilisateurs, il pourrait avoir échappé aux convoitises.

Et c’est précisément tout l’enjeu de cette affaire : la société éditrice ne voulait pas être liée à la faille.

Domi, bien caché sous le tapis d’une entreprise de services financiers

Numerama est remonté au responsable de la fuite, pour savoir si les utilisateurs avaient été prévenus, comme il est prévu dans le règlement général sur la protection des données (RGPD). Pour trouver le responsable de Domi, il faut aller chercher le nom de sa société éditrice dans ses mentions légales.

Il s’agit de BD Multimedia, une entreprise créée en 1986 et cotée en Bourse depuis 23 ans, qui a mis un pied dans tout un éventail d’activités : elle a démarré à l’époque du Minitel sur le marché des 3615, puis a enchainé dans les télécoms, les jeux rémunérés ou encore les imprimés de communication.

Lorsque notre source a contacté l’entreprise le 7 novembre 2019 pour les prévenir de la fuite — dont ils étaient déjà au courant –, un interlocuteur lui a répondu que le site ne leur appartenait pas, ce qui est faux. Depuis 2017, BD Multimedia a pour projet de mettre son passé derrière elle et de déplacer son activité dans les sites coquins dans une structure à part. Mais elle n’est toujours pas passée à l’acte.

Sur son site BD Multimedia fournit un organigramme. Si il précise toutes ses marques de services financiers, elle ne fait pas mention de Domi. // Source : Capture d’écran Numerama

Sur son site officiel, le groupe se désigne aujourd’hui comme une « fintech », une de ces startups qui compte chambouler le monde de la finance et les services bancaires avec une technologie de pointe. Cette devanture, BD Multimedia ne l’a que depuis 2015, lorsqu’elle a obtenu l’agrément d’établissement de paiement hybride. En 2017, Jim Dorra — fils de l’ancien PDG et cofondateur de l’entreprise, Daniel Dorra — comptait capitaliser sur la dynamique du secteur. Il faisait alors le tour des médias dans le but d’attirer les investisseurs.

Le groupe allait mal : son chiffre d’affaires avait été divisé par cinq en quatre ans, et le dirigeant espérait relancer l’entreprise familiale avec une levée de fonds de 7 millions d’euros. Mais il n’est pas parvenu à rassembler la somme, et l’entreprise a dû couper près de la moitié de ses effectifs.

Domi fait partie d’un petit empire du sexe mal en point

Que ce soit sur son site ou dans ses rapports financiers, BD Multimedia fait à peine mention d’une de ses activités historiques, l’édition de sites internet. Le groupe a pourtant construit, à l’époque du minitel, un petit empire de sexe. Son étendard se nommait alors Gayplanet, site de rencontre pour hommes gays fermé en 2017. Si ce site n’a pas survécu, d’autres perdurent.

L’entreprise éditrice de Domi édite également Coquincalin, un autre site de rencontres. // Source : Louise Audry pour Numerama

BD Multimedia gère encore Démonìa, un des magasins (physique et en ligne) français d’accessoires BDSM et de lingerie les plus connus du milieu. Jusqu’à récemment, le groupe éditait aussi quatre forums de rencontres et d’échanges sexuels : domi[.]com, coquincalin[.]com, echangisme[.]com et domina[.]com. Chaque forum a un public cible légèrement différent : échangiste, amateur de BDSM, libertin… Pour profiter de la plateforme, il faut rapidement sortir la carte bancaire. Dans le cas de Domi, comptez entre 8 et 12 euros par mois pour obtenir Domi Premium et vous offrir l’accès à l’historique des messages, à un nombre de recherches illimité ou encore à l’intégralité des profils — dont les photos privées.

Ces quatre sites, laissés pratiquement sans maintenance pendant les années 2000, vieillissent mal. En 2015, BD Multimedia décide donc de dépoussiérer ce pan de son activité et choisit Domi comme nouvelle devanture. Le développement de la plateforme est lancé en 2016, mais il patine rapidement. Démarré en interne, le projet est ensuite confié à un sous-traitant, une entreprise de services du numérique (ESN).

D’après une de nos sources, les relations entre les deux sociétés s’enveniment très rapidement, et ce conflit aurait affecté les standards de sécurité du site. BD Multimedia finit tout de même par déployer une nouvelle version de Domi, celle aujourd’hui en ligne, malgré un décalage important par rapport aux ambitions initiales. Contacté, le sous-traitant n’a pas répondu à nos demandes de commentaire.

Domina et Echangisme.com sont également en cours de refonte. // Source : Louise Audry pour Numerama

Domi n’est pas le seul site à attendre un coup de jeune. Sur echangisme[.]com comme sur domina[.]com, un message annonce : « Chers visiteurs et abonnés, [le site] doit s’éclipser de la toile pour refondre son site et revenir avec un nouveau look et des fonctionnalités les plus avancées.  ». Mais ce lifting prend du retard.

Dans son dernier rapport financier, BD Multimedia indique que l’activité d’édition et de site communautaires lui a rapporté 665 000 euros au premier semestre 2019, ce qui représente 13 % de son chiffre d’affaires. « Le chiffre d’affaires de cette activité est en baisse d’environ 15 % par rapport au 1er semestre 2018. Le projet de rénovation des outils techniques et marketing n’a pas été mis en place dans les délais prévus, impactant les développements commerciaux » justifie l’entreprise auprès de ses actionnaires.

En d’autres termes : la protection de ses utilisatrices et utilisateurs n’était pas une priorité.

Que faire si je suis un utilisateur ou une utilisatrice de Domi ?

Les données ont été vulnérables pendant au moins plusieurs mois, mais rien n’indique qu’une personne malveillante a mis la main dessus. Pourtant, il n’est pas possible d’écarter cette éventualité : soyez donc encore plus attentifs aux emails louches que vous pourriez recevoir et, surtout, changez vos mots de passe si vous utilisiez ces mêmes identifiants sur d’autres sites.

La fuite est désormais réparée — une solution a été apportée entre fin décembre 2019 et début janvier 2020 — et vos données ne sont donc plus directement exposées. Si vous ne souhaitez plus que vos données soient sur le forum, vous pouvez demander que l’entreprise supprime toute trace de vos données sur ses serveurs. Cette disposition est prise en compte par Domi dans sa section « Données personnelles » : « Conformément à la loi, vous disposez d’un droit d’accès, de modification, de rectification et de suppression des données qui vous concernent (art. 38 à 40 de la loi Informatique et Libertés). Pour l’exercer, adressez-vous à editeur@bdmultimedia.fr.  »

Partager sur les réseaux sociaux