La Commission électorale du Royaume-Uni a déclaré que certaines informations personnelles d’environ 40 millions d’électeurs avaient été exposées pendant plus d’un an. L’agence – qui réglemente et organise les élections dans le pays – a déclaré qu’elle était la cible d’une « cyberattaque complexe ». Il a détecté pour la première fois une activité suspecte sur son réseau en octobre 2022, mais a déclaré que les intrus avaient eu accès à ses systèmes pour la première fois en août 2021.
Les auteurs ont trouvé un moyen d’accéder aux serveurs de la Commission électorale, qui hébergeaient les systèmes de messagerie et de contrôle de l’agence, ainsi que des copies des listes électorales. Les détails des dons et des prêts aux partis politiques enregistrés et aux militants non partisans n’ont pas été affectés car ils sont stockés dans un système séparé. L’agence ne détient pas les coordonnées des électeurs anonymes ni les adresses des électeurs étrangers enregistrés en dehors du Royaume-Uni.
Les données qui ont été exposées comprenaient les noms et adresses des résidents britanniques qui se sont inscrits pour voter entre 2014 et 2022, ainsi que ceux qui sont inscrits comme électeurs étrangers. Les informations fournies à la commission par e-mail et formulaires Web ont également été exposées.
« Nous savons que ces données étaient accessibles, mais nous n’avons pas été en mesure de déterminer si les attaquants ont lu ou copié des données personnelles détenues sur nos systèmes », a déclaré la commission. L’agence a confirmé que l’attaque aurait pu affecter environ 40 millions d’électeurs. , il y avait 46,6 millions d’inscriptions électorales parlementaires et 48,8 millions d’inscriptions électorales des gouvernements locaux en décembre 2021.
La Commission électorale a dû adopter plusieurs mesures avant de divulguer le piratage. Il a dû verrouiller les « acteurs hostiles », analyser l’étendue possible de la violation et mettre en place davantage de mesures de sécurité pour empêcher qu’une situation similaire ne se reproduise à l’avenir.
Les données des registres électoraux sont limitées et une grande partie d’entre elles sont déjà dans le domaine public, a indiqué l’agence. En tant que tels, les responsables ne pensent pas que les données en elles-mêmes représentent un risque majeur pour les individus. Cependant, l’agence a averti qu’il est possible que les informations « pourraient être combinées avec d’autres données du domaine public, telles que celles que les individus choisissent de partager eux-mêmes, pour déduire des modèles de comportement ou pour identifier et profiler des individus ».
La Commission électorale a également noté que l’attaque n’avait eu aucun impact sur la sécurité des élections au Royaume-Uni. « Les données consultées n’ont pas d’impact sur la manière dont les gens s’inscrivent, votent ou participent aux processus démocratiques », a-t-il déclaré. « Cela n’a aucun impact sur la gestion des listes électorales ou sur le déroulement des élections. Le processus démocratique du Royaume-Uni est considérablement dispersé et des aspects clés de celui-ci restent basés sur la documentation et le comptage papier. Cela signifie qu’il serait très difficile d’utiliser un cyber – attaquer pour influencer le processus. »