La Commission électorale a déclaré que des « acteurs hostiles »,
non spécifiés, avaient réussi à accéder à des copies de listes
électorales depuis le mois d’août 2021. Les registres tels qu’au
moment de la cyberattaque comprenaient le nom et l’adresse de toute
personne inscrite à un bureau de vote entre 2014 et 2022 au
Royaume-Uni, ainsi que les noms des personnes inscrites en tant
qu’électeurs étrangers. Les cybercriminels ont également pénétré
dans les e-mails et « systèmes de contrôle » de la commission, alors
que l’attaque n’a été découverte qu’en octobre de l’année dernière.

La commission déclare qu’il est difficile de prédire exactement
combien de personnes pourraient être touchées, mais elle estime que le
registre contient les détails d’environ 40 millions d’électeurs.

Pour Xavier Daspre, directeur technique de Proofpoint France, « La
nouvelle selon laquelle la Commission électorale britannique aurait
exposé les données de millions d’électeurs est une violation
importante de cybersécurité à laquelle, à vrai dire, nous aurions
dû nous y attendre. La fragilité des systèmes d’information des
démocraties est devenue de plus en plus évidente ces dernières
années, il n’est donc pas surprenant de voir un acteur de la menace
assez compétent et furtif, chercher à évaluer et potentiellement
saper les processus de vote. Cela n’enlève rien à la gravité de
l’événement, et nous avons de la chance que la commission électorale
du Royaume-Uni affirme que cela ’n’a eu d’impact sur aucune élection,
ni sur le statut d’inscription de qui que ce soit’. Ceci étant dit,
cela reste toujours un incident grave, car saper le processus
démocratique pourrait conduire à des changements sociétaux
incontrôlés et catastrophiques ».

Les élections passées nous ont montré que les cybercriminels ciblent
agressivement les infrastructures critiques du gouvernement pour
accéder à des informations sensibles et causer des dommages
généralisés. Cette fuite de données au Royaume-Uni nous rappelle que
ce type d’évènements, d’importance nationale, est tout à fait
privilégié par les cybercriminels de tout bord.

Pendant la campagne présidentielle française, en 2017, 15 Go de
données avaient été volées (dont 21 075 mails), publiés et relayés
par une armée de trolls sur les réseaux sociaux, le hashtag
#MacronLeaks faisant son apparition dans près d’un demi-million de
tweets en l’espace de vingt-quatre heures (IRSEM). [3] Le risque est
donc avéré, comme en témoigne l’inculpation de six officiers du GRU
[4] (renseignement militaire russe) par le ministère américain de la
Justice, pour leur implication dans une série de cyberattaques
mondiales, y compris celles de spear phishing ciblant les élections
présidentielles françaises de 2017, et attribuées à l’officier
Anatoliy Sergevich Kovalev. Bien que les candidats n’aient pas abordé
publiquement cette question, l’action en justice démontre que le risque
est réel et omniprésent.

Au Royaume-Uni, il est évident que les cybercriminels tiraient
pleinement parti de la structure vulnérable et décentralisée du
système électoral afin d’avoir accès à autant d’informations que
possible.

Xavier Daspre estime que « avec l’accès à cette masse d’informations
sur les électeurs, les attaquants ont à présent la possibilité et
les moyens de diffuser subtilement de la désinformation aux 40 millions
de citoyens de la base de données, ce qui renforce leur vision du monde
et amplifie la discorde. Ils peuvent également manipuler les
informations au sein de ces systèmes afin de créer la méfiance, en
remettant en question l’authenticité et l’exactitude des données des
électeurs, ou même, dans le pire des cas, des votes eux-mêmes ».

Selon Proofpoint, bien que nous ne puissions pas être certains de leur
motif, de ce qu’ils ont appris ou de ce que l’attaquant cherchait
vraiment, dans ce cas, « les attaquants ont eu accès aux systèmes
électoraux pendant un certain nombre de mois, ce qui indique qu’ils
étaient à la recherche d’autre chose que d’un gain financier rapide,
motif pourtant le plus courant des attaques. Plus un attaquant reste
longtemps, non détecté, dans un réseau, plus il peut causer de
dégâts ».

Cette violation rappelle à toutes les organisations publiques et
privées de prendre des mesures rapides pour renforcer leurs cyber
défenses, pour rendre plus difficile aux criminels l’accès initial
dans leurs systèmes et les dommages collatéraux qui s’en suivent.