Technologie
Des bases de données contenant des informations sensibles sur les électeurs de plusieurs comtés de l’Illinois étaient accessibles publiquement sur Internet, exposant 4,6 millions de dossiers incluant des numéros de permis de conduire ainsi que des numéros de sécurité sociale complets et partiels, ainsi que des documents tels que des certificats de décès. Jeremiah Fowler, un chercheur en sécurité de longue date, a découvert l’une de ces bases de données, qui semblait contenir des informations du comté de DeKalb, et a ensuite identifié 12 autres bases de données exposées. Aucune d’entre elles n’était protégée par un mot de passe ni ne nécessitait d’authentification pour y accéder.
Alors que le piratage criminel et soutenu par des États devient de plus en plus sophistiqué et agressif, les menaces pesant sur les infrastructures critiques sont omniprésentes. Cependant, les plus grandes vulnérabilités ne proviennent souvent pas de problèmes logiciels complexes, mais d’erreurs flagrantes qui laissent la porte ouverte et exposent les informations sensibles. Après des années d’efforts pour renforcer la sécurité des élections aux États-Unis, la sensibilisation des États et des collectivités locales aux problèmes de cybersécurité s’est considérablement améliorée. Néanmoins, à l’approche des élections américaines de cette année, les découvertes mettent en lumière le fait qu’il reste toujours des négligences à corriger.
« J’ai déjà trouvé des bases de données d’électeurs par le passé, donc je sais un peu à quoi m’attendre, que ce soit une base de données d’un faible niveau de marketing achetée par quelqu’un », explique Fowler. « Mais ici, j’ai vu des demandes d’inscription des électeurs – il y avait en fait des scans de documents, ainsi que des captures d’écran de demandes en ligne. J’ai vu des listes d’électeurs actifs, des électeurs absents avec des adresses e-mail, dont certaines étaient des adresses militaires. Et quand j’ai vu des numéros de sécurité sociale, des numéros de permis de conduire et des certificats de décès, je me suis dit : ‘OK, cela ne devrait pas être là.’ »
En consultant des documents publics, Fowler a déterminé que tous les comtés semblent avoir un contrat avec un service de gestion des élections basé en Illinois, appelé Platinum Technology Resource, qui fournit des logiciels d’inscription des électeurs et d’autres outils numériques, ainsi que des services comme l’impression de bulletins de vote. De nombreux comtés de l’Illinois utilisent Platinum Technology Resource comme fournisseur de services électoraux, y compris DeKalb, qui a confirmé sa relation avec Platinum.
Fowler a signalé les bases de données non protégées à Platinum le 18 juillet, mais il affirme n’avoir reçu aucune réponse et que les bases de données sont restées exposées. En approfondissant ses recherches dans les documents publics, il a réalisé que Platinum collaborait avec le fournisseur de services gérés basé en Illinois, Magenium, et a donc envoyé une divulgation à cette entreprise le 19 juillet. Là encore, il dit n’avoir reçu aucune réponse, mais peu après, les bases de données ont été sécurisées, les retirant de la vue publique. Platinum et Magenium n’ont pas répondu aux multiples demandes de commentaires.
Platinum a commencé à distribuer une notification, vue par WIRED, aux comtés concernés vendredi. « Nous avons des preuves d’une affirmation selon laquelle le stockage de fichiers contenant des documents d’inscription des électeurs pourrait avoir été scanné », a écrit Platinum, ajoutant que les bases de données exposées n’indiquent pas une compromission plus profonde de ses systèmes. « Une enquête approfondie a été menée. Les résultats soutiennent notre conviction continue qu’il n’y a aucune preuve que des formulaires d’inscription des électeurs aient été divulgués ou volés… Nous avons profité de cette occasion pour déployer de nouvelles mesures de sécurité autour des documents d’inscription des électeurs. »
La loi de l’Illinois sur la notification des violations de données exige une notification à l’État dans les 45 jours suivant un incident. Une version standard d’un contrat de services technologiques du comté de Champaign, publiée publiquement par le biais d’une demande de loi sur la liberté d’information, exige qu’un entrepreneur notifie le comté concerné dans les 15 minutes suivant l’identification d’une violation de données.
Fowler souligne que bien que les informations exposées pourraient rendre les individus concernés plus vulnérables au vol d’identité et à d’autres escroqueries, elles pourraient également être utilisées pour soumettre plusieurs demandes de vote par correspondance ou pour mener d’autres activités suspectes qui pourraient remettre en question le vote légitime d’un électeur et nécessiter du temps pour être réconciliées. Cependant, il ajoute que les certificats de décès et d’autres documents contenus dans cette fuite reflètent le travail des responsables électoraux à travers le pays pour gérer les inscriptions des électeurs et garantir que chaque vote soit compté avec précision.
« Il y a certainement des progrès en matière de sécurité des données de base, et je ne vois plus souvent ce genre de choses », déclare Fowler. « Mais j’ai utilisé Internet ouvert et public sans outils spécialisés pour trouver cela. Et au final, c’est une infrastructure critique qui a été exposée. »
