L’organisme britannique en charge de l’organisation des élections nationales, la Commission Électorale, a détecté qu’une personne non autorisée avait accédé à son système informatique contenant notamment les noms et adresses postales de 40 millions de britanniques.

Selon le rapport d’instruction de l’autorité britannique de protection des données (ICO), cette intrusion frauduleuse est intervenue le 24 août 2021 en utilisant des failles[1] de sécurité du serveur de message Microsoft Exchange 2016, utilisé par la Commission Électorale. Une fois introduit, l’attaquant a ensuite déployé un programme, accessible à distance, qui lui a permis de s’introduire à trois nouvelles reprises : en septembre 2021, en juin 2022 et en août 2022.

Les investigations, menées notamment par l’agence nationale britannique de sécurité des systèmes d’informations (NCSC) – l’équivalent de l’ANSSI en France –, ont également permis d’établir qu’une seconde personne s’est introduite dans le système de l’organisme en octobre 2021, et que des e-mails suspects avaient été envoyés par le serveur de la Commission Électorale au cours de la même période.

Enfin, l’enquête de l’ICO a permis de constaté que les mots de passes utilisés par la Commission Électorale étaient très faibles, et que plusieurs comptes partageaient le même mot de passe, qui correspondait à celui instauré initiallement, lors de la création du compte. De manière générale, seul un conseil était prodigué aux utilisateurs : « ne révélez pas ou n’écrivez pas vos mot de passe »[2].

Suite à cette instruction, l’autorité britannique de protection des données a considéré que les pratiques de la Commission Électorale étaient contraires à l’obligation de sécurité (et de confidentialité) des données du RGPD, car la Commission n’avait pas appliqué les correctifs de sécurité proposés par Microsoft en mai 2021, c’est-à-dire trois mois avant l’attaque initiale, et car la Commission n’était pas équipée d’une politique stricte de mot de passe.

« Nous regrettons que des protections suffisantes n’aient pas été mises en place pour empêcher la cyber-attaque contre la Commission. Comme l’a noté et salué l’ICO, depuis l’attaque, nous avons modifié notre approche, nos systèmes et nos processus pour renforcer la sécurité et la résilience de nos systèmes et nous continuerons à investir dans ce domaine. »

L’ICO a également estimé que ces manquements justifiaient qu’un – simple – avertissement soit prononcé contre la Commission Électorale, car des mesures ont depuis été implémentées, notamment un « plan de modernisation de la technologie », une application de surveillance des serveurs et réseaux, un programme dédié aux menaces et vulnérabilités, une politique de mot de passe et une authentification multifacteur.

L'avis d'eWatchers (par Morgan Schmiedt)

La Commission Électorale, c’est 140 employés et 18M£ de budget. Elle a notamment pour mission de « promouvoir la confiance du public dans le processus démocratique et d’en garantir l’intégrité »[3]. Quand on voit le peu de professionnalisme de cette Commission, la « confiance du public dans le processus démocratique » n’en sort pas grandie, et on peut douter de sa capacité d’assurer l’intégrité des scrutins.

Pendant l’enquête, la Commission a déclaré « qu’elle était consciente des problèmes liés à l’obsolescence des infrastructures »[4]. Elle était donc bien consciente de faire n’importe quoi, mais elle ne s’en souciait juste pas. Après tout, que risque-t-on si on perd les noms et les adresses et toute sa population ? Visiblement, pas grand-chose. Responsables, mais jamais coupables.

Liens

Notes et références

  1. L’attaque a été réalisée en profitant des vulnérabilités CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473.
  2. Ce conseil n’est naturellement pas à suivre. Voir « Vous devriez noter vos mots de passe »
  3. selon le §1.1 du rapport de l’ICO.
  4. selon le §4.3 du rapport de l’ICO.