La sécurité insuffisante permet aux pirates informatiques d’accéder aux détails de 40 millions d’électeurs
Des millions de données personnelles des électeurs britanniques ont été laissées « vulnérables aux pirates informatiques » car les mots de passe n’avaient pas été changés et les logiciels n’avaient pas été mis à jour, a constaté l’organisme de protection des données du Royaume-Uni. La Commission électorale, qui supervise les élections britanniques, a été formellement réprimandée par le Bureau du Commissaire à l’information pour cette faille de sécurité.
À partir d’août 2021, des cyber-attaquants ont pu accéder aux ordinateurs contenant les registres électoraux, qui contiennent les détails des électeurs, y compris des millions de personnes dont les informations ne sont pas publiques. La Commission électorale a regretté que des protections suffisantes n’aient pas été mises en place pour prévenir cette cyber-attaque.
L’enquête n’a pas trouvé de preuves d’une utilisation abusive des données personnelles ni de préjudice direct causé par l’attaque. Les pirates informatiques ont eu accès aux systèmes de la Commission électorale pendant plus d’un an, et ce n’est que lorsqu’un employé a signalé l’envoi de spams depuis le serveur de messagerie de la commission que l’attaque a été repérée. Les hackers ont finalement été expulsés en 2022.
Le gouvernement britannique a accusé officiellement la Chine d’être derrière l’attaque, des allégations que l’ambassade chinoise a rejeté comme un « discrédit malveillant ».
L’enquête du Bureau du Commissaire à l’information a révélé que la Commission électorale n’avait pas mis en place les mesures de sécurité appropriées pour protéger les informations personnelles qu’elle détenait. Pour mener l’attaque, les pirates informatiques ont usurpé un compte utilisateur légitime et exploité plusieurs failles de sécurité connues publiquement dans les logiciels utilisés par la commission. Les mises à jour de logiciels qui corrigeaient ces failles de sécurité étaient disponibles depuis des mois avant l’attaque, mais la Commission électorale n’avait pas jugé bon de les appliquer.
De plus, la commission n’avait pas mis en place de politique « appropriée » pour s’assurer que les employés utilisaient des mots de passe sécurisés. Les enquêteurs ont découvert que 178 comptes de messagerie actifs utilisaient toujours des mots de passe identiques ou similaires à ceux définis par le service informatique de l’organisation lors de la création ou de la réinitialisation d’un compte.
Le commissaire adjoint du ICO, Stephen Bonner, a déclaré que si la Commission électorale avait pris « des mesures de base » pour protéger ses systèmes, il était « fort probable » que la violation des données n’aurait pas eu lieu. « En ne installant pas rapidement les dernières mises à jour de sécurité, ses systèmes ont été laissés exposés et vulnérables aux pirates informatiques », a-t-il déclaré.
En somme, cette affaire souligne non seulement l’importance de maintenir des pratiques de sécurité robustes pour protéger les données personnelles, mais aussi la nécessité pour les institutions de mettre en place des politiques et des processus adéquats pour garantir la sécurité des informations sensibles dont elles ont la responsabilité.