Une cyberattaque contre la Commission électorale britannique, qui a entraîné la violation des données des registres électoraux de 40 millions de personnes, aurait pu être entièrement évitée si l'organisation avait utilisé des mesures de sécurité de base, selon les conclusions d'un rapport accablant de l'organisme britannique de surveillance de la protection des données publié cette semaine.
Le rapport publié lundi par le bureau du commissaire à l'information du Royaume-Uni a accusé la Commission électorale, qui conserve des copies du registre britannique des citoyens éligibles pour voter aux élections, d'une série de défaillances de sécurité qui ont conduit au vol massif d'informations sur les électeurs à partir d'août 2021.
La Commission électorale n’a découvert la compromission de ses systèmes que plus d’un an plus tard, en octobre 2022, et n’a attendu qu’en août 2023 pour divulguer publiquement la violation de données qui a duré un an.
La Commission a déclaré au moment de la divulgation publique que les pirates informatiques avaient piraté des serveurs contenant ses e-mails et volé, entre autres, des copies des registres électoraux britanniques. Ces registres stockent des informations sur les électeurs qui se sont inscrits entre 2014 et 2022, et comprennent des noms, des adresses postales, des numéros de téléphone et des informations électorales non publiques.
Le gouvernement britannique a plus tard attribué l'intrusion à la Chine, de hauts responsables avertissant que les données volées pourraient être utilisées pour « l'espionnage à grande échelle et la répression transnationale des dissidents et critiques perçus au Royaume-Uni ». La Chine a nié toute implication dans cette violation.
L'ICO a émis lundi un réprimande officielle à l'encontre de la Commission électorale pour violation des lois britanniques sur la protection des données, ajoutant : « Si la Commission électorale avait pris des mesures de base pour protéger ses systèmes, comme des correctifs de sécurité efficaces et une gestion des mots de passe, il est fort probable que cette violation de données n'aurait pas eu lieu. »
De son côté, la Commission électorale a reconnu dans une brève déclaration suite à la publication du rapport que « des protections suffisantes n'étaient pas en place pour empêcher la cyberattaque contre la Commission ».
Jusqu'au rapport de l'ICO, on ne savait pas exactement ce qui avait conduit à la compromission des informations de dizaines de millions d'électeurs britanniques, ni ce qui aurait pu être fait différemment.
Nous savons désormais que l'ICO a spécifiquement reproché à la Commission de ne pas avoir corrigé les « vulnérabilités logicielles connues » de son serveur de messagerie, qui était le point d'intrusion initial des pirates informatiques qui se sont emparés d'une quantité considérable de données électorales. Le rapport confirme également un détail rapporté par TechCrunch en 2023 selon lequel le courrier électronique de la Commission était un serveur Microsoft Exchange auto-hébergé.
Dans son rapport, l'ICO a confirmé qu'au moins deux groupes de pirates informatiques malveillants ont pénétré dans le serveur Exchange auto-hébergé de la Commission en 2021 et 2022 en utilisant une chaîne de trois vulnérabilités collectivement appelées ProxyShell, ce qui a permis aux pirates de pénétrer dans le serveur, d'en prendre le contrôle et d'y implanter du code malveillant.
Microsoft avait publié des correctifs pour ProxyShell plusieurs mois plus tôt, en avril et mai 2021, mais la Commission ne les avait pas installés.
En août 2021, l’agence américaine de cybersécurité CISA a commencé à tirer la sonnette d’alarme : des pirates informatiques malveillants exploitaient activement ProxyShell. À ce stade, toutes les organisations disposant d’un processus de correctifs de sécurité efficace avaient déjà déployé des correctifs il y a des mois et étaient déjà protégées. La Commission électorale ne faisait pas partie de ces organisations.
« La Commission électorale n’avait pas mis en place un système de correction approprié au moment de l’incident », peut-on lire dans le rapport de l’ICO. « Cette défaillance est une mesure de base. »
Parmi les autres problèmes de sécurité notables découverts au cours de l'enquête de l'ICO, la Commission électorale a permis que des mots de passe « hautement susceptibles » aient été devinés, et la Commission a confirmé qu'elle était « consciente » que certaines parties de son infrastructure étaient obsolètes.
Le commissaire adjoint de l'ICO, Stephen Bonner, a déclaré dans un communiqué sur le rapport et la réprimande de l'ICO : « Si la Commission électorale avait pris des mesures de base pour protéger ses systèmes, telles que des correctifs de sécurité efficaces et une gestion des mots de passe, il est fort probable que cette violation de données n'aurait pas eu lieu. »
Pourquoi l’ICO n’a-t-elle pas infligé d’amende à la Commission électorale ?
Une cyberattaque entièrement évitable qui aurait exposé les données personnelles de 40 millions d’électeurs britanniques pourrait sembler être une violation suffisamment grave pour que la Commission électorale soit sanctionnée par une amende, et non par un simple blâme. Pourtant, l’ICO s’est contentée de réprimander publiquement cette sécurité défaillante.
Les organismes du secteur public ont déjà été sanctionnés pour avoir enfreint les règles de protection des données. Mais en juin 2022, sous le gouvernement conservateur précédent, l'ICO a annoncé qu'elle allait tester une approche révisée de l'application des règles aux organismes publics.
Le régulateur a déclaré que ce changement de politique signifiait que les autorités publiques ne devraient pas se voir infliger de lourdes amendes pour des infractions au cours des deux prochaines années, même si l'ICO a suggéré que les incidents feraient toujours l'objet d'une enquête approfondie. Mais le secteur a été informé qu'il devait s'attendre à un recours accru aux réprimandes et autres pouvoirs d'exécution, plutôt qu'aux amendes.
Dans une lettre ouverte expliquant cette décision, le commissaire à l’information John Edwards a écrit : « Je ne suis pas convaincu que les amendes élevées en elles-mêmes constituent un moyen de dissuasion aussi efficace dans le secteur public. Elles n’ont pas les mêmes répercussions sur les actionnaires ou les administrateurs individuels que dans le secteur privé, mais sont prélevées directement sur le budget consacré à la fourniture de services. L’impact d’une amende dans le secteur public se répercute souvent sur les victimes de la violation, sous la forme de réductions budgétaires pour des services essentiels, et non sur les auteurs. En réalité, les personnes touchées par une violation sont punies deux fois. »
À première vue, il pourrait sembler que la Commission électorale a eu la chance de découvrir sa brèche dans le cadre de l'essai de deux ans de l'ICO visant à adopter une approche plus souple de l'application sectorielle.
En accord avec l'ICO qui a déclaré qu'elle testerait moins de sanctions pour les violations de données du secteur public, Edwards a déclaré que le régulateur adopterait un flux de travail plus proactif de sensibilisation auprès des hauts dirigeants des autorités publiques pour tenter d'élever les normes et de favoriser la conformité en matière de protection des données dans l'ensemble des organismes gouvernementaux grâce à une approche de prévention des dommages.
Cependant, lorsque Edwards a révélé le plan visant à tester une combinaison d’application plus souple et de sensibilisation proactive, il a concédé que cela nécessiterait des efforts des deux côtés, écrivant : «[W]Nous ne pouvons pas y parvenir seuls. Il faut que toutes les parties prenantes rendent des comptes pour apporter ces améliorations.
La violation de la Commission électorale pourrait donc soulever des questions plus larges sur le succès du procès de l'ICO, notamment sur le fait de savoir si les autorités du secteur public ont respecté leur part d'un accord qui était censé justifier une application plus souple de la loi.
Il ne semble certainement pas que la Commission électorale ait été suffisamment proactive dans l'évaluation des risques de violation au cours des premiers mois du procès de l'ICO, c'est-à-dire avant de découvrir l'intrusion en octobre 2022. La réprimande de l'ICO qualifiant l'échec de la Commission à corriger une faille logicielle connue de « mesure de base », par exemple, ressemble à la définition d'une violation de données évitable que le régulateur avait déclaré vouloir purger dans le cadre de son changement de politique du secteur public.
Dans ce cas, cependant, l'ICO affirme qu'elle n'a pas appliqué la politique d'application la plus souple du secteur public.
En réponse aux questions sur les raisons pour lesquelles la Commission électorale n’a pas été sanctionnée, la porte-parole de l’ICO, Lucy Milburn, a déclaré à TechCrunch : « Après une enquête approfondie, aucune amende n’a été envisagée pour cette affaire. Malgré le nombre de personnes concernées, les données personnelles concernées se limitaient principalement aux noms et adresses figurant dans le registre électoral. Notre enquête n’a trouvé aucune preuve que des données personnelles aient été utilisées à mauvais escient ou qu’un préjudice direct ait été causé par cette violation. »
« La Commission électorale a désormais pris les mesures nécessaires pour améliorer sa sécurité par la suite, notamment la mise en œuvre d'un plan de modernisation de son infrastructure, ainsi que des contrôles de politique de mot de passe et une authentification multifacteur pour tous les utilisateurs », a ajouté le porte-parole.
Selon le régulateur, aucune amende n'a été infligée car aucune donnée n'a été utilisée à mauvais escient, ou plutôt, l'ICO n'a trouvé aucune preuve d'utilisation abusive. Le simple fait de révéler les informations de 40 millions d'électeurs ne répond pas aux critères de l'ICO.
On peut se demander dans quelle mesure l’enquête du régulateur visait à déterminer comment les informations sur les électeurs avaient pu être utilisées à mauvais escient ?
De retour sur le procès de l'ICO en matière d'application de la loi dans le secteur public fin juin, alors que l'expérience approchait de la barre des deux ans, le régulateur a publié une déclaration indiquant qu'il réexaminerait la politique avant de prendre une décision sur l'avenir de son approche sectorielle à l'automne.
Reste à savoir si cette politique sera maintenue ou si les sanctions seront moins nombreuses et les amendes plus lourdes pour les violations de données du secteur public. Quoi qu'il en soit, l'affaire de violation de données de la Commission électorale montre que l'ICO est réticente à sanctionner le secteur public, à moins que l'exposition des données des personnes puisse être liée à un préjudice démontrable.
Il n’est pas évident de voir comment une approche réglementaire laxiste en matière de dissuasion par conception contribuera à améliorer les normes de protection des données au sein du gouvernement.