La Commission électorale britannique a annoncé le 8 août qu’elle a été victime d’une cyberattaque de grande envergure pendant près de quinze mois. Les données personnelles de plus de 40 millions d’électeurs au Royaume-Uni ont été exposées et potentiellement récupérées par les cyberassaillants.
Une cyberattaque dévoilée publiquement dix mois après avoir été remarquée
Entre août 2021 et octobre 2022, un groupe de pirates, dont l’identité reste inconnue, a réussi à s’infiltrer dans le système informatique de l’autorité électorale du Royaume-Uni. Durant cette période, les hackeurs ont eu un accès non autorisé aux serveurs de la Commission hébergeant différents types de données : e-mails, systèmes de contrôle d’accès, copies de registres électoraux entre 2014 et 2022, etc.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Grâce à ces documents, les cyberassaillants ont éventuellement pu récupérer les prénoms et noms de famille, adresses mail, numéros de téléphone, adresses du domicile, photographies personnelles, dates d’obtention du droit de vote, de plusieurs dizaines de millions d’électeurs britanniques. Seules les personnes qui se sont enregistrées de manière anonyme sur les listes électorales sont sûres et certaines d’être passées à travers les mailles du filet.
Sur Twitter, la Commission électorale a expliqué pourquoi elle avait mis près de dix mois avant d’annoncer la cyberattaque qu’elle avait subie. « Nous devions faire tout le nécessaire pour retirer l’accès à nos systèmes aux cyberassaillants, évaluer l’étendue de l’incident, assurer la liaison avec le centre national de cybersécurité (NCSC) et l’Information Commisssion Office [la CNIL britannique, ndlr], et mettre en place des mesures de sécurité supplémentaires avant de pouvoir rendre l’incident public, » a-t-elle précisé.
We needed to remove the actors and their access to our system, assess the extent of the incident, liaise with the National Cyber Security Centre and ICO, and put additional security measures in place before we could make the incident public.
— Electoral Commission (@ElectoralCommUK) August 8, 2023
Le système électoral du Royaume-Uni épargné par l’attaque informatique
Le régulateur ne sait pas avec certitude quels fichiers ont été consultés et récupérés. Toutefois, selon l’autorité électorale, une grande partie des données potentiellement récupérées par les pirates informatiques étaient « déjà dans le domaine public ». Toutefois, le risque reste plus grand pour ceux dont les informations n’étaient présentes que dans les systèmes informatiques de la commission.
Le PDG de la Commission électorale britannique, Shaun McNally, s’est exprimé pour la BBC, déclarant que « l’attaque était très sophistiquée, mais que les hackeurs n’avaient pas la possibilité de modifier ou de supprimer des informations ». Peu inquiet, il a également ajouté que cette cyberattaque n’a eu « aucun impact » sur la sécurité des élections au Royaume-Uni.
Sollicité par l’autorité électorale, NCSC a affirmé « avoir fourni à la Commission électorale des conseils d’experts et un soutien pour faciliter leur rétablissement après la première identification d’un cyberincident ». Enfin, la Commission électorale a mis en garde les électeurs en leur demandant de garder un œil sur d’éventuels faits inhabituels pouvant prouver que leurs informations personnelles aient été utilisées sans leur permission.