Une cyberattaque contre la Commission électorale du Royaume-Uni, qui a entraîné la violation des données des registres électoraux de 40 millions de personnes, aurait pu être évitée si l’organisation avait utilisé des mesures de Sécurité de base, selon les conclusions d’un rapport accablant de l’organisme de surveillance de la protection des données du Royaume-Uni publié cette semaine.
Le rapport publié par le Bureau du commissaire à l’information du Royaume-Uni a accusé lundi la Commission électorale, qui conserve des copies du registre britannique des citoyens ayant le droit de voter aux élections, d’une série de défaillances de sécurité qui ont conduit au vol massif d’informations sur les électeurs à partir d’août 2021.
La Commission électorale n’a découvert la compromission de ses systèmes que plus d’un an plus tard, en octobre 2022, et a attendu jusqu’en août 2023 pour divulguer publiquement la violation de données qui a duré un an.
La Commission a déclaré au moment de la divulgation publique que les pirates informatiques s’étaient introduits dans des serveurs contenant ses courriels et avaient volé, entre autres, des copies des registres électoraux du Royaume-Uni. Ces registres stockent des informations sur les électeurs qui se sont inscrits entre 2014 et 2022, et comprennent des noms, des adresses postales, des numéros de téléphone et des informations non publiques sur les électeurs.
Le gouvernement du Royaume-Uni a ensuite attribué l’intrusion à la Chineavec Avertissement de hauts fonctionnaires que les données volées pourraient être utilisées pour « l’espionnage à grande échelle et la répression transnationale des dissidents et des critiques présumés au Royaume-Uni ». La Chine a nié toute implication dans la violation.
L’ICO a officiellement réprimandé lundi la Commission électorale pour violation des lois britanniques sur la protection des données, ajoutant : « Si la Commission électorale avait pris des mesures de base pour protéger ses systèmes, telles que des correctifs de sécurité efficaces et la gestion des mots de passe, il est fort probable que cette violation de données ne se serait pas produite. »
Pour sa part, la Commission électorale a concédé dans Une brève déclaration à la suite de la publication du rapport selon lequel « des mesures de protection suffisantes n’étaient pas en place pour empêcher la cyberattaque contre la Commission ».
Jusqu’au rapport de l’ICO, on ne savait pas exactement ce qui avait conduit à la compromission de dizaines de millions d’informations sur les électeurs britanniques – ou ce qui aurait pu être fait différemment.
Nous savons maintenant que l’ICO a spécifiquement blâmé la Commission pour ne pas avoir corrigé les « vulnérabilités logicielles connues » de son serveur de messagerie, qui a été le point d’intrusion initial pour les pirates qui se sont emparés de tonnes de données d’électeurs. Le rapport confirme également un détail rapporté par fr.techtribune.neten 2023 selon lequel l’e-mail de la Commission était un serveur Microsoft Exchange auto-hébergé.
Dans son rapport, l’ICO a confirmé qu’au moins deux groupes de pirates informatiques malveillants se sont introduits dans le serveur Exchange auto-hébergé de la Commission en 2021 et 2022 en utilisant une chaîne de trois vulnérabilités collectivement dénommés ProxyShell, ce qui a permis aux pirates de s’introduire par effraction, de prendre le contrôle et d’installer un code malveillant sur le serveur.
Microsoft a publié des correctifs pour ProxyShell plusieurs mois plus tôt, en avril et mai 2021, mais la Commission ne les avait pas installés.
D’ici août 2021, l’agence américaine de cybersécurité CISA a commencé à tirer la sonnette d’alarme que des pirates malveillants exploitaient activement ProxyShell, alors que toute organisation disposant d’un processus efficace de correctifs de sécurité avait déjà déployé des correctifs il y a des mois et était déjà protégée. La Commission électorale n’est pas l’une de ces organisations.
« La Commission électorale n’avait pas mis en place un régime de correctif approprié au moment de l’incident », peut-on lire dans le rapport de l’ICO. « Cet échec est une mesure fondamentale. »
Parmi les autres problèmes de sécurité notables découverts au cours de l’enquête de l’ICO, la Commission électorale a permis de deviner des mots de passe « très susceptibles » et a confirmé qu’elle était « consciente » que certaines parties de son infrastructure étaient obsolètes.
Le commissaire adjoint de l’ICO, Stephen Bonner, a déclaré dans une déclaration sur le rapport et la réprimande de l’ICO : « Si la Commission électorale avait pris des mesures de base pour protéger ses systèmes, telles que des correctifs de sécurité efficaces et une gestion des mots de passe, il est fort probable que cette violation de données ne se serait pas produite. »
Pourquoi l’ICO n’a-t-elle pas infligé d’amende à la Commission électorale ?
Une cyberattaque entièrement évitable qui a exposé les données personnelles de 40 millions d’électeurs britanniques pourrait sembler être une violation suffisamment grave pour que la Commission électorale soit sanctionnée d’une amende, et pas seulement d’une réprimande. Pourtant, l’ICO n’a publié qu’un correctif public pour la sécurité bâclée.
Des organismes du secteur public ont fait l’objet de sanctionsr enfreindre les règles de protection des données dans le passé. Mais dans Juin 2022 sous le gouvernement conservateur précédent, l’ICO a annoncé qu’elle mettrait à l’essai une approche révisée de l’application de la loi sur les organismes publics.
Le régulateur a déclaré que le changement de politique signifiait qu’il était peu probable que les autorités publiques voient de lourdes amendes imposées pour des infractions au cours des deux prochaines années, même si l’ICO a suggéré que les incidents feraient toujours l’objet d’une enquête approfondie. Mais le secteur a été informé qu’il devait s’attendre à un recours accru aux réprimandes et autres pouvoirs d’exécution, plutôt qu’à des amendes.
Dans un Lettre ouverte Le commissaire à l’information, John Edwards, a expliqué cette décision à l’époque : « Je ne suis pas convaincu que les amendes élevées à elles seules soient aussi efficaces pour dissuader le secteur public. Ils n’ont pas le même impact sur les actionnaires ou les administrateurs individuels que dans le secteur privé, mais proviennent directement du budget pour la prestation de services. L’impact d’une amende dans le secteur public est également souvent répercuté sur les victimes de l’infraction, sous la forme d’une réduction des budgets pour les services essentiels, et non sur les auteurs. En effet, les personnes touchées par une violation sont punies deux fois.
À première vue, on pourrait penser que la Commission électorale a eu la chance de découvrir sa violation dans le cadre de l’essai de deux ans de l’ICO d’une approche plus douce de l’application sectorielle.
De concert avec l’ICO qui a déclaré qu’elle testerait moins de sanctions pour les violations de données dans le secteur public, Edwards a déclaré que le régulateur adopterait un flux de travail plus proactif de sensibilisation des hauts dirigeants des autorités publiques pour tenter d’élever les normes et de favoriser la conformité à la protection des données dans les organismes gouvernementaux grâce à une approche de prévention des préjudices.
Cependant, lorsque Edwards a révélé le plan visant à tester la combinaison d’une application plus douce et d’une sensibilisation proactive, il a concédé que cela nécessiterait des efforts des deux côtés, écrivant : «[W]Nous ne pouvons pas le faire seuls. Il doit y avoir une responsabilisation pour apporter ces améliorations de toutes les parties.
La violation de la Commission électorale pourrait donc soulever des questions plus larges sur le succès de l’essai de l’ICO, notamment si les autorités du secteur public ont respecté leur part d’un marché qui était censé justifier une application plus douce.
Il ne semble certainement pas que la Commission électorale ait été suffisamment proactive dans l’évaluation des risques de violation au cours des premiers mois de l’essai de l’ICO, c’est-à-dire avant de découvrir l’intrusion en octobre 2022. La réprimande de l’ICO qualifiant l’incapacité de la Commission à corriger une faille logicielle connue de « mesure de base », par exemple, ressemble à la définition d’une violation de données évitable que le régulateur avait déclaré vouloir purger son changement de politique dans le secteur public.
Dans ce cas, cependant, l’ICO affirme qu’il n’a pas appliqué la politique d’application plus souple du secteur public dans ce cas.
Répondant à des questions sur les raisons pour lesquelles elle n’a pas imposé de sanction à la Commission électorale, la porte-parole de l’ICO, Lucy Milburn, a déclaré à fr.techtribune.net: « Après une enquête approfondie, une amende n’a pas été envisagée dans cette affaire. Malgré le nombre de personnes touchées, les données personnelles concernées se limitaient principalement aux noms et adresses figurant dans le registre électoral. Notre enquête n’a trouvé aucune preuve que les données personnelles ont été utilisées à mauvais escient, ou qu’un préjudice direct a été causé par cette violation.
« La Commission électorale a maintenant pris les mesures nécessaires que nous attendons pour améliorer sa sécurité à la suite de l’incident, y compris la mise en œuvre d’un plan de modernisation de son infrastructure, ainsi que des contrôles de politique de mot de passe et une authentification multifactorielle pour tous les utilisateurs », a ajouté le porte-parole.
Comme le régulateur le lui dit, aucune amende n’a été infligée parce qu’aucune donnée n’a été utilisée à mauvais escient, ou plutôt, l’ICO n’a trouvé aucune preuve d’utilisation abusive. Le simple fait d’exposer les informations de 40 millions d’électeurs ne répondait pas à la barre de l’ICO.
On peut se demander dans quelle mesure l’enquête du régulateur s’est concentrée sur la façon dont les informations sur les électeurs ont pu être utilisées à mauvais escient.
Retour à l’essai de l’ICO sur l’application de la loi dans le secteur public en fin juin, alors que l’expérience approchait de la marque des deux ans, l’organisme de réglementation a publié une déclaration indiquant qu’il examinerait la politique avant de prendre une décision sur l’avenir de son approche sectorielle à l’automne.
Reste à savoir si la politique sera maintenue ou s’il y aura moins de réprimandes et plus d’amendes pour les violations de données dans le secteur public. Quoi qu’il en soit, l’affaire de violation de la Commission électorale montre que l’ICO est réticente à sanctionner le secteur public – à moins que l’exposition des données des personnes puisse être liée à un préjudice démontrable.
Il n’est pas clair comment une approche réglementaire laxiste en matière de dissuasion dès la conception contribuera à améliorer les normes de protection des données dans l’ensemble du gouvernement.