La Commission électorale nationale britannique a été confrontée à d’importantes faiblesses en matière de cybersécurité peu avant une importante violation de données, au cours de laquelle des pirates informatiques… ont potentiellement accédé aux données de millions d’électeurs., y compris des informations sensibles qui ne sont pas disponibles sur les registres publics. Aujourd’hui, la Commission électorale du Royaume-Uni elle-même a confirmé qu’elle avait échoué à un test de cybersécurité de base à peu près au moment où des pirates informatiques ont attaqué l’organisation.
Cela fait suite à des avertissements précédents selon lesquels la Commission électorale du Royaume-Uni avait échoué au test de cybersécurité de base. Cyber Essentials test dans de multiples domaines, notamment l’utilisation d’appareils et de logiciels obsolètes et vulnérables.
Les attaquants anonymes ont accédé à la correspondance électronique de la Commission électorale et auraient pu consulter des bases de données contenant les noms et adresses de 40 millions d’électeurs inscrits, dont des millions ne figurant pas sur les registres publics.
La Commission a déclaré que des “acteurs hostiles” ont piraté ses courriels et potentiellement les données de 40 millions d’électeurs.
Les pirates ont obtenu “le nom et l’adresse de toute personne au Royaume-Uni qui s’est inscrite pour voter entre 2014 et 2022, ainsi que les noms de ceux qui sont inscrits comme électeurs à l’étranger.” Les représentants du gouvernement ont pointé du doigt la responsabilité de la Russie avec. Sir David Omand, ancien directeur du GCHQ, aurait déclaré que la Russie était le principal suspect.
La commission a maintenant déterminé que l’attaque a commencé en août 2021, bien qu’elle n’ait été détectée qu’en octobre 2022. La commission a depuis révélé qu’elle n’avait pas réussi le test en raison de deux problèmes qui, selon elle, n’ont aucun lien avec le piratage :
- Une version antérieure du logiciel Windows trouvée en cours d’exécution sur certains ordinateurs portables de la Commission.
- Une version obsolète du logiciel du système d’exploitation sur les mobiles du personnel.
Elle a déclaré que ces problèmes n’étaient pas liés à l’attaque, qui a affecté les serveurs de messagerie de l’organisation.
Cyber Essentials est un programme volontaire mais largement utilisé par les organisations pour montrer à leurs clients qu’elles sont sensibilisées à la sécurité. Le gouvernement exige que tous les fournisseurs soumissionnant pour des contrats impliquant le traitement de certaines informations sensibles et personnelles détiennent un certificat Cyber Essentials à jour. Mais la Commission a échoué dans de multiples domaines lorsqu’elle a essayé de se faire certifier en 2021.
Lorsque le piratage a été divulgué pour la première fois, la Commission électorale a déclaré que les données piratées du registre électoral complet étaient “en grande partie dans le domaine public”. Cependant, moins de la moitié des données du registre ouvert, qui peuvent être achetées, sont accessibles au public, de sorte que les pirates auraient accédé à des données appartenant à des dizaines de millions de personnes qui ont choisi de ne pas figurer sur la liste publique.
Cyber Essentials est une norme que le gouvernement britannique exige de tous les fournisseurs, mais elle a été créée à l’origine pour aider les petites entreprises, et non les grandes sociétés.
Commission électorale : Safety Detectives : BBC : Guardian : Silicon : CSO Online : Computer Weekly :
Cybernews :
Tu pourrais aussi lire :
Test de pénétration pour une défense efficace de la cybersécurité:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuellement 5€ par mois ou 50€ par an. S’inscrire
- Comptes multi-utilisateurs, d’entreprise et de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
