La commission électorale du Royaume-Uni a révélé que les données personnelles des personnes inscrites sur les listes électorales entre 2014 et 2022 ont été exposées lors d’une cyberattaque qui a débuté en août 2021. Cette attaque n’a été détectée qu’en octobre 2022. Selon la BBC, les pirates auraient également pu accéder aux données des électeurs qui avaient choisi de ne pas figurer sur les listes électorales publiques.
La commission électorale a indiqué sur Twitter qu’elle a attendu pour signaler ce retard afin de mettre fin à l’attaque, d’évaluer l’ampleur de l’incident, de renforcer ses systèmes et de prendre contact avec le Centre national de cybersécurité et le Bureau du Commissaire à l’information du Royaume-Uni.
Une grande partie des données était déjà dans le domaine public, mais il peut y avoir encore des risques pour ceux dont les données ont été prises auprès de l’organisme indépendant responsable des élections au Royaume-Uni. Les pirates ont eu accès aux serveurs contenant des copies des données d’inscription des électeurs, aux e-mails de la commission et à ses systèmes de contrôle. La commission indique notamment que les données du serveur de messagerie électronique présentent un risque plus élevé car elles peuvent contenir des informations sensibles issues du texte ou des pièces jointes des e-mails.
Les données du registre des élections, qui contiennent des noms, des adresses et d’autres informations personnelles, présentent un risque moindre, précise la commission. Cependant, des acteurs malveillants pourraient les comparer à d’autres données pour “déduire des comportements et identifier et profiler des personnes”. Heureusement, les adresses des électeurs résidant à l’étranger et les inscrits anonymes n’ont pas été conservées par la commission.
Le groupe de surveillance des élections ne sait pas exactement quels fichiers ont été consultés, selon les informations du directeur général de la Commission électorale du Royaume-Uni, Shaun McNally, publiées par la BBC. Le président de la commission, John Pullinger, a déclaré que l’attaque était “très sophistiquée”, mais que les pirates n’avaient pas pu modifier ou supprimer d’informations. La commission n’est également pas certaine de l’identité des attaquants, selon un fil sur Twitter.
Si vous vous inquiétez de l’impact de cette attaque sur les élections passées ou futures au Royaume-Uni, McNally ne semble pas trop préoccupé. Parce que “des aspects clés” du processus démocratique du Royaume-Uni reposent sur “une documentation et un dépouillement papier”, McNally a déclaré au Guardian qu’il serait difficile pour “une cyberattaque d’influencer le processus”.
La Commission électorale du Royaume-Uni estime qu’une action immédiate n’est pas nécessaire. Cependant, si vous pensez que vos données ont été incluses dans l’attaque (c’est-à-dire si vous vous êtes inscrit pour voter entre 2014 et 2022), la commission vous conseille de surveiller toute utilisation non autorisée de vos informations.
Source: [twitter.com](https://twitter.com/ElectoralCommUK/status/1688912368481562624?s=20), [twitter.com](https://twitter.com/ElectoralCommUK/status/1688895375090794496?s=20), [twitter.com](https://twitter.com/ElectoralCommUK/status/1688871271767867392?s=20), [electoralcommission.org.uk](https://www.electoralcommission.org.uk/privacy-policy/public-notification-cyber-attack-electoral-commission-systems), [bbc.com](https://www.bbc.com/news/uk-politics-66441010), [ico.org.uk](https://ico.org.uk/for-the-public/electoral-register/), [theguardian.com](https://www.theguardian.com/technology/2023/aug/08/uk-electoral-commission-registers-targeted-by-hostile-hackers
