Comment le vol de 40 millions de registres électoraux au Royaume-Uni aurait pu être entièrement évité

Durée de lecture : environ 8 minutes


Une cyberattaque contre la Commission électorale britannique, qui a entraîné la violation des données des registres électoraux de 40 millions de personnes, aurait pu être entièrement évitée si l’organisation avait utilisé des mesures de sécurité de base, selon les conclusions d’un rapport accablant de l’organisme britannique de surveillance de la protection des données publié cette semaine.

Le rapport publié par le bureau du commissaire à l’information du Royaume-Uni Le gouvernement britannique a accusé lundi la Commission électorale, qui conserve des copies du registre britannique des citoyens éligibles pour voter aux élections, d’une série de défaillances de sécurité qui ont conduit au vol massif d’informations sur les électeurs à partir d’août 2021.

La Commission électorale n’a découvert la compromission de ses systèmes que plus d’un an plus tard, en octobre 2022, et a attendu jusqu’en août 2023 pour divulguer publiquement la violation de données qui dure depuis un an.

La Commission a déclaré au moment de la divulgation publique que les pirates informatiques avaient piraté des serveurs contenant ses e-mails et volé, entre autres, des copies des registres électoraux britanniques. Ces registres stockent des informations sur les électeurs qui se sont inscrits entre 2014 et 2022, et comprennent des noms, des adresses postales, des numéros de téléphone et des informations électorales non publiques.

Le gouvernement britannique plus tard, il a attribué l’intrusion à la Chineavec Avertissement de hauts responsables que les données volées pourraient être utilisées pour « l’espionnage à grande échelle et la répression transnationale des dissidents et des critiques perçus au Royaume-Uni ». La Chine a nié toute implication dans cette violation.

L’ICO a émis lundi un réprimande officielle à l’encontre de la Commission électorale pour violation des lois britanniques sur la protection des données, ajoutant : « Si la Commission électorale avait pris des mesures de base pour protéger ses systèmes, comme des correctifs de sécurité efficaces et une gestion des mots de passe, il est fort probable que cette violation de données n’aurait pas eu lieu. »

Pour sa part, la Commission électorale a concédé une brève déclaration suite à la publication du rapport selon lequel « les protections suffisantes n’étaient pas en place pour empêcher la cyberattaque contre la Commission ».

Jusqu’au rapport de l’ICO, on ne savait pas exactement ce qui avait conduit à la compromission des informations de dizaines de millions d’électeurs britanniques, ni ce qui aurait pu être fait différemment.

Nous savons maintenant que l’ICO a spécifiquement reproché à la Commission de ne pas avoir corrigé les « vulnérabilités logicielles connues » de son serveur de messagerie, qui était le point d’intrusion initial des pirates informatiques qui se sont emparés d’une quantité considérable de données électorales. Le rapport confirme également un détail rapporté par TechCrunch en 2023 selon lequel le courrier électronique de la Commission était un serveur Microsoft Exchange auto-hébergé.

LIRE AUSSI  Lineaje lève 20 millions de dollars pour aider les organisations à lutter contre les menaces qui pèsent sur leur chaîne d'approvisionnement en logiciels

Dans son rapport, l’ICO a confirmé qu’au moins deux groupes de pirates informatiques malveillants ont pénétré dans le serveur Exchange auto-hébergé de la Commission en 2021 et 2022 en utilisant une chaîne de trois vulnérabilités collectivement appelés ProxyShellce qui a permis aux pirates de pénétrer dans le serveur, d’en prendre le contrôle et d’y implanter du code malveillant.

Microsoft avait publié des correctifs pour ProxyShell plusieurs mois plus tôt, en avril et mai 2021, mais la Commission ne les avait pas installés.

D’ici août 2021, l’agence américaine de cybersécurité CISA a commencé à sonner l’alarme que des pirates informatiques malveillants exploitaient activement ProxyShell, et que toute organisation disposant d’un processus de correctifs de sécurité efficace avait déjà déployé des correctifs il y a des mois et était déjà protégée. La Commission électorale ne faisait pas partie de ces organisations.

« La Commission électorale n’avait pas mis en place un système de correction approprié au moment de l’incident », peut-on lire dans le rapport de l’ICO. « Cette défaillance est une mesure de base. »

Parmi les autres problèmes de sécurité notables découverts au cours de l’enquête de l’ICO, la Commission électorale a permis que des mots de passe « hautement susceptibles » aient été devinés, et la Commission a confirmé qu’elle était « consciente » que certaines parties de son infrastructure étaient obsolètes.

Le commissaire adjoint de l’ICO, Stephen Bonner, a déclaré dans un communiqué sur le rapport et la réprimande de l’ICO : « Si la Commission électorale avait pris des mesures de base pour protéger ses systèmes, telles que des correctifs de sécurité efficaces et une gestion des mots de passe, il est fort probable que cette violation de données n’aurait pas eu lieu. »

Pourquoi l’ICO n’a-t-elle pas infligé d’amende à la Commission électorale ?

Une cyberattaque entièrement évitable qui aurait exposé les données personnelles de 40 millions d’électeurs britanniques pourrait sembler être une violation suffisamment grave pour que la Commission électorale soit sanctionnée par une amende, et non par un simple blâme. Pourtant, l’ICO s’est contentée de réprimander publiquement cette sécurité défaillante.

Les organismes du secteur public ont déjà été sanctionnés pour avoir enfreint les règles de protection des données. Juin 2022 Sous le gouvernement conservateur précédent, l’ICO avait annoncé qu’elle allait tester une approche révisée de l’application de la loi sur les organismes publics.

LIRE AUSSI  Do Kwon, cofondateur de Terraform Labs et crypto-fugitif, devrait être extradé vers la Corée du Sud

Le régulateur a déclaré que ce changement de politique signifiait que les autorités publiques ne devraient pas se voir infliger de lourdes amendes pour des infractions au cours des deux prochaines années, même si l’ICO a suggéré que les incidents feraient toujours l’objet d’une enquête approfondie. Mais le secteur a été informé qu’il devait s’attendre à un recours accru aux réprimandes et autres pouvoirs d’exécution, plutôt qu’aux amendes.

Dans un lettre ouverte Le commissaire à l’information John Edwards a expliqué cette décision à l’époque : « Je ne suis pas convaincu que les amendes élevées en elles-mêmes soient aussi efficaces pour dissuader les entreprises du secteur public. Elles n’ont pas les mêmes répercussions sur les actionnaires ou les administrateurs individuels que dans le secteur privé, mais sont prélevées directement sur le budget de prestation de services. Les conséquences d’une amende du secteur public se répercutent souvent sur les victimes de la violation, sous la forme de réductions budgétaires pour des services essentiels, et non sur les auteurs. En effet, les personnes touchées par une violation sont punies deux fois. »

À première vue, il pourrait sembler que la Commission électorale a eu la chance de découvrir sa brèche dans le cadre de l’essai de deux ans de l’ICO visant à adopter une approche plus souple de l’application sectorielle.

En accord avec l’ICO qui a déclaré qu’elle testerait moins de sanctions pour les violations de données du secteur public, Edwards a déclaré que le régulateur adopterait un flux de travail plus proactif de sensibilisation auprès des hauts dirigeants des autorités publiques pour tenter d’élever les normes et de favoriser la conformité en matière de protection des données dans l’ensemble des organismes gouvernementaux grâce à une approche de prévention des dommages.

Cependant, lorsque Edwards a révélé son projet de combiner une application plus souple et une sensibilisation proactive, il a concédé que cela nécessiterait des efforts des deux côtés, écrivant : « Nous ne pouvons pas y parvenir seuls. Il faut que toutes les parties soient responsables de la mise en œuvre de ces améliorations. »

La violation de la Commission électorale pourrait donc soulever des questions plus larges sur le succès du procès de l’ICO, notamment sur le fait de savoir si les autorités du secteur public ont respecté leur part d’un accord qui était censé justifier une application plus souple de la loi.

Il ne semble certainement pas que la Commission électorale ait été suffisamment proactive dans l’évaluation des risques de violation au cours des premiers mois du procès de l’ICO, c’est-à-dire avant de découvrir l’intrusion en octobre 2022. La réprimande de l’ICO qualifiant l’échec de la Commission à corriger une faille logicielle connue de « mesure de base », par exemple, ressemble à la définition d’une violation de données évitable que le régulateur avait déclaré vouloir purger dans le cadre de son changement de politique du secteur public.

LIRE AUSSI  Comment créer une équipe à partir de zéro

Dans ce cas, cependant, l’ICO affirme qu’elle n’a pas appliqué la politique d’application la plus souple du secteur public.

En réponse aux questions sur les raisons pour lesquelles la Commission électorale n’a pas été sanctionnée, la porte-parole de l’ICO, Lucy Milburn, a déclaré à TechCrunch : « Après une enquête approfondie, aucune amende n’a été envisagée pour cette affaire. Malgré le nombre de personnes concernées, les données personnelles concernées se limitaient principalement aux noms et adresses figurant dans le registre électoral. Notre enquête n’a trouvé aucune preuve que des données personnelles aient été utilisées à mauvais escient ou qu’un préjudice direct ait été causé par cette violation. »

« La Commission électorale a désormais pris les mesures nécessaires pour améliorer sa sécurité par la suite, notamment la mise en œuvre d’un plan de modernisation de son infrastructure, ainsi que des contrôles de politique de mot de passe et une authentification multifacteur pour tous les utilisateurs », a ajouté le porte-parole.

Selon le régulateur, aucune amende n’a été infligée car aucune donnée n’a été utilisée à mauvais escient, ou plutôt, l’ICO n’a trouvé aucune preuve d’utilisation abusive. Le simple fait de révéler les informations de 40 millions d’électeurs ne répond pas aux critères de l’ICO.

On peut se demander dans quelle mesure l’enquête du régulateur visait à déterminer comment les informations sur les électeurs avaient pu être utilisées à mauvais escient ?

Retour sur le procès de l’ICO en matière d’application des lois du secteur public fin juinAlors que l’expérience approchait de la barre des deux ans, le régulateur a publié une déclaration indiquant qu’il réexaminerait la politique avant de prendre une décision sur l’avenir de son approche sectorielle à l’automne.

Reste à savoir si cette politique sera maintenue ou si les sanctions seront moins nombreuses et les amendes plus lourdes pour les violations de données du secteur public. Quoi qu’il en soit, l’affaire de violation de données de la Commission électorale montre que l’ICO est réticente à sanctionner le secteur public, à moins que l’exposition des données des personnes puisse être liée à un préjudice démontrable.

Il n’est pas évident de voir comment une approche réglementaire laxiste en matière de dissuasion par conception contribuera à améliorer les normes de protection des données au sein du gouvernement.



Source link

Héloïse Morineau

Héloïse Morineau est une journaliste passionnée par l'écriture et la découverte de nouveaux sujets. Avec une expérience de plusieurs années dans le domaine du journalisme, elle a développé une expertise dans la rédaction d'articles de qualité, tant sur des sujets d'actualité que sur des sujets plus spécialisés.

Laisser un commentaire