Des bases de données contenant des informations sensibles sur les électeurs de plusieurs comtés de l'Illinois étaient accessibles en ligne, révélant 4,6 millions de dossiers comprenant des numéros de permis de conduire ainsi que des numéros de sécurité sociale complets et partiels et des documents tels que des certificats de décès. Jeremiah Fowler, chercheur en sécurité de longue date, est tombé par hasard sur l'une des bases de données qui semblait contenir des informations du comté de DeKalb, dans l'Illinois, et a ensuite découvert 12 autres bases de données exposées. Aucune n'était protégée par un mot de passe et aucun type d'authentification n'était requis pour y accéder.
Alors que le piratage informatique, soutenu par des criminels et des États, devient de plus en plus sophistiqué et agressif, les menaces pesant sur les infrastructures critiques se profilent à l’horizon. Mais souvent, les plus grandes vulnérabilités ne proviennent pas de problèmes logiciels ésotériques, mais d’erreurs béantes qui laissent la porte du coffre-fort ouverte et les joyaux de la couronne exposés. Après des années d’efforts pour renforcer la sécurité des élections aux États-Unis, la sensibilisation des États et des collectivités locales aux problèmes de cybersécurité s’est considérablement améliorée. Mais à l’approche des élections américaines de cette année, les résultats reflètent la réalité : il y a toujours plus d’oublis à détecter.
« J’ai déjà trouvé des bases de données électorales, donc je sais si c’est une base de données de marketing de bas niveau que quelqu’un a achetée », explique Fowler à WIRED. « Mais ici, j’ai vu des demandes d’électeurs – il y avait en fait des scans de documents, puis des captures d’écran de demandes en ligne. J’ai vu des listes électorales d’électeurs actifs, d’électeurs absents avec des adresses e-mail, certaines d’entre elles étant des adresses e-mail militaires. Et quand j’ai vu des numéros de sécurité sociale, des numéros de permis de conduire et des certificats de décès, je me suis dit : « OK, ça ne devrait pas être là. » »
Grâce aux documents publics, Fowler a déterminé que tous les comtés semblent avoir conclu un contrat avec un service de gestion électorale basé dans l'Illinois appelé Platinum Technology Resource, qui fournit un logiciel d'inscription des électeurs et d'autres outils numériques ainsi que des services tels que l'impression des bulletins de vote. De nombreux comtés de l'Illinois utilisent Platinum Technology Resource comme fournisseur de services électoraux, notamment DeKalb, qui a confirmé sa relation avec Platinum à WIRED.
Fowler a signalé les bases de données non protégées à Platinum le 18 juillet, mais il dit n'avoir reçu aucune réponse et les bases de données sont restées exposées. En fouillant davantage dans les archives publiques, Fowler s'est rendu compte que Platinum travaille avec le fournisseur de services gérés Magenium basé dans l'Illinois, il a donc envoyé une divulgation à cette société également le 19 juillet. Encore une fois, il dit n'avoir pas reçu de réponse, mais peu de temps après que les bases de données ont été sécurisées, les retirant de la vue du public. Platinum et Magenium n'ont pas répondu aux multiples demandes de commentaires de WIRED.
Platinum a commencé à distribuer vendredi une notification, consultée par WIRED, aux comtés concernés. « Nous avons des preuves d’une allégation selon laquelle le stockage de fichiers contenant les documents d’inscription des électeurs pourrait avoir été scanné », a écrit Platinum, ajoutant que les bases de données exposées n’indiquent pas une compromission plus profonde de ses systèmes. « Une enquête approfondie a été menée. Les conclusions soutiennent notre conviction actuelle qu’il n’existe aucune preuve de fuite ou de vol de formulaires d’inscription des électeurs… Nous avons profité de cette occasion pour déployer de nouvelles mesures de protection supplémentaires autour des documents d’inscription des électeurs. »
La loi de l'Illinois sur la notification des violations de données exige que l'État soit informé dans les 45 jours suivant un incident. Une version standard d'un contrat de services technologiques du comté de Champaign publié publiquement via une demande en vertu de la loi sur la liberté d'information exige qu'un sous-traitant informe le comté concerné dans les 15 minutes suivant l'identification d'une violation de données.
Fowler souligne que si les informations divulguées pourraient potentiellement rendre les personnes concernées plus vulnérables au vol d'identité et à d'autres escroqueries, elles pourraient également être utilisées à mauvais escient pour soumettre plusieurs demandes de vote par correspondance ou pour mener d'autres activités suspectes qui pourraient remettre en question le vote légitime d'un électeur et prendre du temps à se réconcilier. Mais il ajoute que les certificats de décès et autres documents contenus dans le trésor reflètent le travail que font les responsables électoraux dans tout le pays pour gérer les inscriptions électorales et s'assurer que le vote de chacun est compté avec précision.
« Il y a clairement des progrès en matière de sécurité des données de base, et je ne vois plus ce genre de choses très souvent », déclare Fowler. « Mais j'ai utilisé l'Internet ouvert et public et aucun outil spécialisé pour trouver cela. Et au bout du compte, c'est une infrastructure critique qui a été exposée. »