« Les hackers n’ont pas besoin de s’infiltrer quand les portes sont grand ouvertes. » – Anonyme
Imaginez un pirate informatique assis confortablement avec une tasse de thé anglais, feuilletant les dossiers de 40 millions d’électeurs britanniques sans faire beaucoup d’efforts. C’est exactement ce qui s’est passé suite à une attaque cybernétique que la Commission Électorale britannique aurait pu facilement empêcher… si seulement elle avait suivi quelques mesures basiques de sécurité.
L’ICO (Information Commissioner’s Office) n’a pas mâché ses mots dans son rapport publié cette semaine. Le gendarme britannique de la protection des données a sévèrement critiqué la Commission Électorale pour sa série de défaillances qui a permis le vol massif d’informations d’électeurs dès août 2021. Le plus incroyable ? La Commission n’a découvert la brèche que plus d’un an plus tard, en octobre 2022, et a attendu jusqu’en août 2023 pour le dévoiler publiquement.
« Prévention basique aurait probablement évité cette catastrophe. » – ICO
Selon le rapport, les hackers ont pénétré des serveurs contenant des copies des registres électoraux britanniques via un serveur Exchange non sécurisée. Ces registres contiennent des noms, adresses, numéros de téléphone, et autres informations privées de millions de citoyens inscrits entre 2014 et 2022. Autant vous dire qu’il aurait été plus facile pour eux de voler le trésor de la couronne que d’obtenir toutes ces données !
Plus tard, le gouvernement britannique a pointé du doigt la Chine, accusant des acteurs affiliés à l’État chinois d’être derrière cette intrusion. Naturellement, la Chine a nié toute implication, mais le mal était déjà fait. L’ICO a réprimandé la Commission pour non-conformité à ses obligations de protection des données, soulignant que des mesures de sécurité de base telles que la mise à jour des correctifs et une meilleure gestion des mots de passe auraient probablement empêché cette attaque.
La Commission a admis son manque de protection dans une déclaration succincte après la publication du rapport, ce qui nous laisse nous demander : « Aurait-elle pu être plus négligente ? » Nous avons maintenant la confirmation que le point d’entrée des hackers était bien connu : des vulnérabilités non corrigées sur un serveur Microsoft Exchange, nommées ProxyShell. Ces brèches auraient pu être comblées avec les correctifs disponibles depuis avril et mai 2021, mais la Commission n’a simplement pas jugé bon de les installer. Au moins, ils ont pris des notes sur l’art de procrastiner!
La Commission n’était pas seule à l’époque. CISA, l’agence américaine de cybersécurité, tirait déjà la sonnette d’alarme en août 2021, avertissant que des hackers exploitaient activement ProxyShell. Néanmoins, la Commission Électorale britannique semblait vivre sur une autre planète, ignorant les signaux d’alerte et continuant d’utiliser des mots de passe aussi sécurisés que « 1234 ».
Pour couronner le tout, l’ICO a choisi de ne pas infliger d’amende à la Commission. Pourquoi ? Parce qu’apparemment, le fait d’avoir exposé les données de 40 millions de personnes n’est pas suffisant sans preuve tangible de leur mauvaise utilisation. Imaginez un peu si les banques volées pouvaient s’en sortir de cette manière ! Au lieu de cela, la Commission a reçu une simple réprimande. Mais ne vous inquiétez pas; ils ont promis de se rattraper avec des politiques modernes et une authentification à multiples facteurs. On espère !
Il est clair que l’idée de punir moins sévèrement les entités publiques au profit d’une approche préventive doit être revisitée. Car pour l’instant, ce n’est pas la cybersécurité qui semble progresser, mais bien l’audace des hackers. En somme, un patch dans le système aurait été bienvenu bien avant le patch sur le nez de la Commission.
En fin de compte, quand on parle de cybersécurité, il vaut mieux prévenir que guérir… ou se retrouver sur la sellette en pleine fausse note électorale!
Source : Techcrunch