La Commission électorale du Royaume-Uni a fait l’objet d’une attaque en ligne qui pourrait avoir exposé les noms et adresses d’électeurs, ainsi que le système de courrier électronique de la Commission et d’autres systèmes non spécifiés.
Dans un avis public publié sur son site, la Commission a déclaré que l’intrusion a été identifiée en octobre 2022, après qu’une activité suspecte a été détectée sur ses systèmes, mais qu’il était clair que les attaquants avaient accédé à ces systèmes pour la première fois plus d’un an auparavant, en août 2021.
Suite à la pénétration de ses systèmes, les attaquants ont eu accès aux serveurs qui hébergent le courrier électronique de la Commission, aux systèmes de contrôle et aux copies des listes électorales couvrant l’ensemble du pays.
La Commission a indiqué aujourd’hui par courriel au Register qu’elle « fait actuellement l’objet d’une enquête de l’Information Commissioner’s Office » et qu’elle « ne peut divulguer aucune information susceptible de compromettre cette enquête ». Elle note que la cyber-attaque « comprenait l’accès au serveur Exchange de la Commission, qui contient notre système de messagerie électronique. Cela signifie que toute personne ayant contacté la Commission électorale par courrier électronique ou par le biais du formulaire de notre site web aura fourni des données qui ont été accessibles dans le cadre de cette attaque ».
« Le courrier électronique est comme les clés du royaume numérique », nous a dit M. Woodward, ajoutant qu’il aurait pu potentiellement donner beaucoup d’informations sur la Commission électorale et son fonctionnement, et permettre aux attaquants de cibler les fonctionnaires électoraux.
« Ce qui est encore plus inquiétant, c’est que l’attaque n’a pas été découverte pendant 15 mois et que les autorités n’ont été alertées d’aucune anomalie sur leurs systèmes pendant cette période. Les cybercriminels travaillent mieux en mode furtif, mais il est rare qu’ils restent indétectés aussi longtemps », a déclaré Jake Moore, conseiller mondial en cybersécurité pour l’entreprise de sécurité ESET. La Commission électorale a refusé de préciser si elle savait combien de fois ses systèmes avaient été consultés au cours de cette période de 15 mois, s’il existait des preuves que son système de messagerie électronique avait été consulté de quelque manière que ce soit, et quels étaient les systèmes de contrôle auxquels les attaquants étaient censés avoir accès.
