Entre août 2021 et octobre 2022, un tiers malveillant a eu accès aux données de quelque 40 millions de citoyens britanniques, contenues dans les systèmes de la Commission électorale. L’intrusion n’a toutefois eu aucun impact sur les processus électoraux outre-Manche.
La Commission électorale britannique a peut-être détecté une activité suspecte dans ses systèmes en octobre dernier, elle a attendu ce mois d’août pour la révéler au public. Surtout, les attaquants avaient infiltré son réseau dès août 2021. Cette lenteur, l’administration britannique l’explique par la nécessité de « prendre plusieurs mesures », avant d’informer ses usagers de l’incident. D’autant que les autorités, NCSC et ICO en tête, ont été notifiées dès la découverte de l’intrusion.
L'organisme de surveillance chargé d’organiser les élections outre-Manche dit ne pas être en mesure de déterminer si les attaquants ont exfiltré les données des registres électoraux. Lesquels contiennent les noms complets des citoyens inscrits sur les listes électorales, leurs adresses email, adresses physiques, numéros de téléphone, date d’inscription et toute image ou détails renseignés par les usagers.
40 millions de victimes
Sont ainsi affectés les personnes en Grande-Bretagne inscrites sur les listes électorales entre 2014 et 2022, les noms des personnes inscrites comme électeurs étrangers au cours de la même période, ainsi que les noms et adresses des électeurs enregistrés en Irlande du Nord en 2018. Soit environ 40 millions de personnes. Le système de courrier électronique de la Commission était également accessible lors de l'attaque.
L’attaque n’est pas susceptible d’influer sur le processus électoral au Royaume Uni. « Il n’y a eu aucun impact sur la sécurité des élections britanniques. Les données consultées n'ont pas d'impact sur la façon dont les gens s'inscrivent, votent ou participent aux processus démocratiques. Elle n'a aucun impact sur la gestion des listes électorales ni sur le déroulement des élections » signale l’organisme, tout en regrettant « que des protections suffisantes n'aient pas été mises en place pour empêcher cette cyberattaque ».