En début de semaine, la Commission électorale du Royaume-Uni a annoncé qu'elle avait subi une cyberattaque en août 2021 et que les attaquants avaient eu accès à des registres contenant les noms et adresses de toute personne au Royaume-Uni inscrite sur les listes électorales entre 2014 et 2022, ainsi que les noms des personnes inscrites sur les listes électorales à l'étranger. Dans une déclaration publiée sur son site web, la Commission électorale a indiqué que, si les pirates avaient d'abord accédé aux listes électorales et au système de messagerie de la Commission en août 2021, le piratage n'a été identifié qu'en octobre 2022, date à laquelle ses services ont détecté un schéma suspect de requête de connexion à ses systèmes. La commission a déclaré que, même si elle n’était pas en mesure de savoir avec certitude quelles informations ont été consultées, les données personnelles les plus susceptibles d'avoir été compromis sont les noms, les adresses, les adresses de messagerie et toutes les autres données personnelles envoyées à la commission par courrier électronique ou figurant sur les listes électorales.

Cependant, comme une grande partie du système électoral britannique est encore sur papier, « une cyberattaque aurait peu d’impact pour influencer le processus électoral ». Un porte-parole de la Commission électorale a déclaré à TechCrunch que l'incident, qui a vu les pirates accéder à la messagerie électronique, aux systèmes de contrôle et aux copies des listes électorales de la Commission, pourrait avoir affecté jusqu'à 40 millions d'électeurs britanniques. Il s'agit de tous ceux qui se sont inscrits sur les listes électorales entre 2014 et 2022, ainsi que les noms de ceux qui sont inscrits comme électeurs étrangers.

Un exploit d'une faille Exchange non corrigée à l'origine du piratage ?

La Commission a cherché à rassurer les personnes qui auraient pu être affectées par la violation en notant que le piratage n'aurait pas d'incidence sur la capacité d'une personne à prendre part au processus démocratique, ni sur son statut d'inscription actuel ou sur son droit de vote. « Nous regrettons que des protections suffisantes n'aient pas été mises en place pour empêcher cette cyberattaque. Depuis que nous l'avons identifiée, nous avons pris des mesures importantes, avec le soutien de spécialistes, pour améliorer la sécurité, la résilience et la fiabilité de nos systèmes informatiques », a déclaré Shaun McNally, directeur général de la Commission électorale, dans un communiqué. Conformément aux exigences de la loi, M. McNally a déclaré que la Commission électorale avait notifié l'Information Commissioner's Office (ICO) dans les 72 heures suivant l'identification de la violation et que l'ICO enquêtait actuellement sur l'incident. « La Commission électorale nous a contactés au sujet de cet incident et nous menons actuellement une enquête », a déclaré un porte-parole de l'ICO dans un communiqué. « Nous reconnaissons que cette nouvelle peut inquiéter les personnes qui craignent d'être affectées et nous voulons rassurer le public en lui disant que nous enquêtons de manière active et prioritaire ». Une page web récapitulative sur cette cyberattaque a par ailleurs été mise en ligne.

Techrunch a identifié que le serveur de messagerie de la Commission est un serveur de messagerie Exchange hébergé qui était en ligne au moins jusqu'en août 2022. Selon le chercheur en sécurité Kevin Beaumont, qui a vérifié les conclusions de notre confrère, le serveur Exchange était également entièrement corrigé au moment où il a été répertorié. Toutefois, c'est en août 2022 que des pirates ont commencé à exploiter une faille non corrigée à l'époque, appelée ProxyNotShell, qui affecte les serveurs Exchange sur site et qui peut être exploitée pour prendre le contrôle total d'un serveur de messagerie. À l'époque, les correctifs pour cette faille n'ont été poussés qu'en novembre 2022 selon Kevin Beaumont. L'exploitation de ProxyNotShell était largement répandue sur l'internet. Une question clé sera de savoir si les pirates ont accédé au réseau de la Commission puis à son serveur de messagerie, ou si le serveur de messagerie a été compromis en premier et utilisé pour pivoter et accéder au réseau de la Commission, indique notre confrère.

Les auteurs de l'attaque, toujours inconnus

Les responsables de l'attaque restent inconnus et la Commission a déclaré qu'aucun groupe ou individu n'avait revendiqué la responsabilité de cette intrusion. « Certes, le registre électoral britannique n’était pas à l’abri d’une cyberattaque, mais le plus inquiétant, c'est que celle-ci n’a été découverte que 15 mois plus tard », a déclaré Jake Moore, conseiller mondial en cybersécurité auprès de l'entreprise de sécurité Internet ESET. « Les cybercriminels travaillent mieux en mode furtif, mais il est rare que leur présence ne soit pas détectée pendant aussi longtemps.

Quelle que soit la complexité de l'attaque, il est triste de voir des acteurs malveillants s'introduire dans des systèmes et qu’ils puissent fouiller dans les données pendant aussi longtemps », a-t-il déclaré dans des commentaires envoyés par courriel. La commission électorale a déclaré qu’avant d'informer le public à propos de l'attaque, elle devait prendre plusieurs mesures. « Nous devions supprimer les acteurs et leur accès à notre système », a déclaré la commission dans son communiqué. « Nous devions également mettre en place des mesures de sécurité supplémentaires afin d'éviter que des attaques similaires ne se reproduisent à l'avenir ».