- La Commission Électorale britannique annonce avoir été victime d’un piratage massif entre août 2021 et octobre 2022
- L’autorité explique s’être laissé du temps pour analyser l’étendue des dégâts et de renforcer la sécurité avant de révéler publiquement l’attaque
- Selon l’autorité, cette fuite de donnée pose avant tout un risque de profilage de certains britanniques, par recoupage
La mésaventure risque de causer pas mal de remous en Grande-Bretagne : la Commission Électorale locale explique avoir été victime d’un piratage massif pendant plus d’un an, à partir du mois d’août 2021. Dans un communiqué, la commission explique que les pirates, qui se sont également introduits dans le système d’emails et les systèmes de contrôle de l’institution, ont eu accès à des copies de listes d’électeurs compilées par l’institution à des fins de recherche et d’enquête sur les dons à des partis politiques.
Un responsable de l’institution explique que la commission sait quels fichiers étaient visibles des pirates, mais précise ne pas être en mesure de dire “de façon certaine” lesquels ont effectivement été consultés par les acteurs malveillants. Au moment de l’attaque, les fichiers détenus par la commission inculaient les noms et adresses de britanniques inscrits sur les listes électorales entre 2014 et 2022. Mais aussi les données personnelles de personnes ayant refusé leur participation à ces registres.
Un scénario catastrophe qui pourrait nuire au vote électronique
Seules les personnes enregistrées de manière anonyme dans ces listes (ce qui peut être fait, en Grande-Bretagne, pour des raison liées à la sécurité, notamment) sont a priori épargnées par ce piratage. Au total, les données de 40 millions de britanniques résidant sur le territoire métropolitain ou dans les territoires d’outre mer de la couronne sont susceptibles d’avoir été aspirés par les pirates.
La commission veut croire que les noms et adresses contenus dans les fichiers ne posent pas, en eux-mêmes, un risque élevé pour les personnes concernées. Toutefois, il est possible que ces données soient par la suite croisées avec d’autres pour “identifier et profiler des individus”. L’attaque elle-même se serait appuyée sur des techniques très complexes et sophistiquées qui ont permis aux acteurs malveillants de rester pendant plus d’un an sous le radar des systèmes de sécurité.
Ainsi le problème n’a été découvert qu’en octobre 2022, explique l’institution qui ne révèle que maintenant cette attaque – un délai justifié par la Commission par le temps qu’il a fallu pour faire cesser le piratage, évaluer l’étendue des données accédées et renforcer la sécurité de ses systèmes informatiques. Dans ce cas précis, le piratage n’aurait eu aucun impact dans aucune élection pendant la période.
Mais évidemment cela n’a rien pour rassurer ceux qui craignent une augmentation du risque d’interférence dans les élections suite à la généralisation du vote électronique. Alors que la Commission Électorale se refuse à dire qui pourrait être responsable d’une telle attaque, nos confrères de BBC remarquent que tout, dans cette opération, ressemble à une action au long cours visant à rechercher des failles le processus électoral britannique pouvant par la suite être exploitées de façon malveillante.
En France, le vote électronique était appelé à se généraliser pour l’élection de 2022. Mais les craintes en matière de sécurité et les défis techniques qu’une dématérialisation du vote implique ont pour l’instant reporté cet objectif aux Calendes grecques.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
