Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Fuite de la base de données électorale de la COMELEC (« Comeleak »)

Des pirates ont défiguré le site web de la Commission électorale des Philippines et divulgué l'intégralité de sa base de données d'inscription des électeurs — des dossiers sur environ 55 millions d'électeurs, dont 15,8 millions d'empreintes digitales et 1,3 million de numéros de passeport d'expatriés — dans l'une des plus grandes fuites gouvernementales jamais survenues.

Victime
Commission électorale (COMELEC)
données
55.0M
utilisateurs
55.0M
SecteurGouvernement
PaysPhilippines
GroupeAnonymous PhilippinesLulzSec Pilipinas
Attaquants nommésPaul BitengJoenel de Asis

Le 27 mars 2016, des pirates ont défiguré le site web de la Commission électorale des Philippines (COMELEC) et, en quelques heures, ont publié en ligne l'intégralité de sa base de données d'inscription des électeurs. L'exposition des données personnelles d'environ 55 millions d'électeurs inscrits — six semaines avant une élection nationale — est devenue connue sous le nom de « Comeleak » et figure parmi les plus grandes fuites de données gouvernementales de l'histoire.

Ce qui s'est passé

Deux groupes étaient impliqués. Anonymous Philippines a défiguré la page d'accueil de la COMELEC, y laissant un message exigeant une sécurité renforcée pour les machines de comptage des votes destinées à l'élection générale du 9 mai 2016. Quelques heures plus tard, un second groupe, LulzSec Pilipinas, a publié l'intégralité de la base de données — environ 340 gigaoctets — sur un miroir public.

Les enquêteurs ont établi par la suite que le membre de LulzSec Joenel de Asis avait téléchargé la base de données le 22 mars, cinq jours avant la défiguration, en exploitant la faible sécurité de l'infrastructure web de la COMELEC.

Données exposées

Les dossiers divulgués contenaient :

  • Noms complets, dates de naissance, adresses postales et électroniques
  • Noms complets des parents
  • 15,8 millions d'empreintes digitales
  • Numéros de passeport et dates d'expiration de 1,3 million d'électeurs expatriés (OFW)

Les données biométriques et de passeport ont rendu la fuite bien plus dommageable qu'une exposition classique de listes électorales, créant un risque durable de vol d'identité et de fraude pour des dizaines de millions de Philippins.

Arrestations et poursuites

Le Bureau national d'investigation a agi rapidement. Paul Biteng, un diplômé en informatique de 20 ans lié à Anonymous Philippines, a été arrêté le 20 avril 2016 et a admis la défiguration tout en niant son implication dans la fuite. Joenel de Asis, un dirigeant de 23 ans de LulzSec Pilipinas, a été arrêté le 28 avril et a admis avoir téléchargé et divulgué la base de données.

Conséquences réglementaires

Dans une décision marquante du 28 décembre 2016, la Commission nationale de la protection des données (NPC) a conclu que la COMELEC avait enfreint la loi sur la protection des données de 2012 par des garanties inadéquates, et a recommandé des poursuites pénales contre le président de la COMELEC, Andres Bautista, pour négligence. Il s'agissait de la première action coercitive majeure de la NPC, établissant un précédent selon lequel les dirigeants d'agences pouvaient être tenus personnellement responsables des manquements à la protection des données.

Pourquoi c'est important

Comeleak est la fuite gouvernementale emblématique des Philippines : une exposition quasi totale des données personnelles et biométriques de l'électorat national à la veille d'une élection présidentielle. Elle a catalysé l'application de la loi sur la protection des données, établi la responsabilité personnelle des agents publics et demeure un avertissement mondial sur la concentration de données d'identité et biométriques sensibles dans les systèmes électoraux.

Chronologie

  1. Joenel de Asis (LulzSec Pilipinas) télécharge la base de données électorale de la COMELEC, cinq jours avant la défiguration publique.

  2. Anonymous Philippines défigure le site web de la COMELEC ; quelques heures plus tard, LulzSec Pilipinas publie l'intégralité de la base de données en ligne.

  3. La COMELEC rétablit son site web et minimise la gravité, affirmant qu'aucune donnée sensible n'a été compromise.

  4. Paul Biteng est arrêté par le NBI pour avoir défiguré le site web.

  5. Joenel de Asis est arrêté ; il admet avoir téléchargé et divulgué la base de données.

  6. La Commission nationale de la protection des données conclut que la COMELEC a enfreint la loi sur la protection des données et recommande des poursuites pénales contre le président Andres Bautista.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Commission_on_Elections_data_breach
  2. theregister.comhttps://www.theregister.com/2016/04/07/philippine_voter_data_breach/
  3. voanews.comhttps://www.voanews.com/a/hackers-expose-information-millions-philippine-voters/3280046.html
  4. newsinfo.inquirer.nethttps://newsinfo.inquirer.net/1539249/in-the-know-the-2016-comeleak
  5. fma.phhttps://fma.ph/national-privacy-commission-to-issue-findings-on-comelec-breach/

Incidents liés

Fuite de donnéesRésolu

Fuite de données AKP Emails (2016)

En juillet 2016, un pirate connu sous le nom de Phineas Fisher a piraté le parti au pouvoir en Turquie (le Parti de la justice et du développement, ou « AKP ») et a obtenu l'accès à 300 000 e-mails. L'intégralité du contenu de ces e-mails a ensuite été publiée par WikiLeaks et rendue consultable.

Victim
AKP Emails
Records
917.5K
Fuite de donnéesRésolu

Exposition du fichier électoral mexicain (Mexique, 2016)

Une base de données MongoDB mal configurée a laissé l'intégralité du fichier électoral national mexicain — 93,4 millions d'enregistrements comprenant noms, adresses, dates de naissance et numéros d'identité nationale — accessible publiquement sur le cloud d'Amazon, sans mot de passe, pendant des mois.

Victim
Instituto Nacional Electoral (INE) — registre électoral mexicain
Records
93.4M