Skip to content
Cyber Breaches
Recherche
physical-theftRésolu

Vol d'ordinateurs portables du Bureau d'inscription et électoral de Hong Kong

Deux ordinateurs portables stockés sur le site de repli de l'élection du chef de l'exécutif de Hong Kong en 2017 ont été volés, exposant les données personnelles — dont les numéros de carte d'identité — des 3,7 millions d'électeurs inscrits.

Victime
Registration and Electoral Office (REO)
données
3.7M
utilisateurs
3.7M
SecteurGouvernement
PaysR.A.S. chinoise de Hong Kong

Le 27 mars 2017, un seul jour après l'élection du chef de l'exécutif de Hong Kong, le Bureau d'inscription et électoral (REO) a découvert que deux ordinateurs portables avaient disparu d'une réserve verrouillée — et avec eux, les données personnelles des 3,7 millions d'électeurs inscrits du territoire.

Ce qui s'est passé

Les deux ordinateurs portables avaient été placés le 22 mars dans une salle verrouillée de l'AsiaWorld-Expo, le vaste centre de conférences proche de l'aéroport international de Hong Kong qui servait de site de repli pour l'élection du 26 mars. L'élection elle-même s'est déroulée sur le site principal, où le comité électoral de 1 194 membres a désigné Carrie Lam comme cheffe de l'exécutif.

Lorsque le personnel a vérifié la réserve le 27 mars, les ordinateurs portables avaient disparu. Le REO a signalé un vol présumé à la police et a informé le Bureau du commissaire à la protection des données personnelles.

Ce qui a été exposé

  • Un ordinateur portable contenait les données d'inscription des 3,7 millions d'électeurs des circonscriptions géographiques, dont les noms, numéros de carte d'identité de Hong Kong, adresses physiques et numéros de téléphone portable.
  • L'autre ordinateur portable contenait les noms des 1 194 membres du comité électoral.

Le REO a souligné que les données étaient chiffrées et a déclaré qu'« aucune information ne montre à ce jour de fuite des informations concernées ». Les critiques ont cependant demandé pourquoi une copie complète de l'ensemble de la liste électorale devait être stockée sur des ordinateurs portables, sur un site de secours, et ont réclamé des précisions sur la robustesse du chiffrement et la gestion des clés.

Impact et réponse

Il s'agissait, à l'époque, de la plus grande perte de données personnelles de l'histoire de Hong Kong. Bien qu'aucun usage abusif ultérieur n'ait jamais été confirmé, la violation a gravement entamé la confiance du public dans la gestion des données civiques sensibles par le gouvernement. L'épisode a déclenché une revue de sécurité des pratiques de traitement des données du REO, et le gouvernement a ensuite rendu compte au Conseil législatif de mesures correctives, dont un contrôle plus strict des conditions de copie et de stockage des données électorales en masse.

Pourquoi c'est important

Le vol au REO est un cas emblématique de défaillance en matière de sécurité physique et de minimisation des données. Aucun piratage sophistiqué n'était en cause — les dossiers de l'ensemble de l'électorat sont sortis d'une salle verrouillée sur deux ordinateurs portables. Il a mis en évidence des principes qui ancrent désormais la gouvernance des données publiques : ne pas répliquer des bases de données de population entières sur des appareils portables, imposer un chiffrement robuste et auditable lorsque des données personnelles en masse doivent circuler, et traiter la garde physique des appareils comme un contrôle de sécurité de premier ordre. Pour Hong Kong, c'est devenu l'incident de référence qui a impulsé la réforme du stockage et du transport des données électorales et citoyennes.

Chronologie

  1. Deux ordinateurs portables du REO sont placés dans une réserve verrouillée à l'AsiaWorld-Expo, le site de repli de l'élection du chef de l'exécutif.

  2. L'élection du chef de l'exécutif de 2017 se tient ; Carrie Lam est désignée par le comité électoral de 1 194 membres.

  3. Le personnel du REO constate la disparition des deux ordinateurs portables de la réserve verrouillée et signale un vol présumé à la police.

  4. Le REO informe le Bureau du commissaire à la protection des données personnelles et confirme que les données étaient chiffrées.

  5. Le gouvernement fournit au Conseil législatif une mise à jour sur l'enquête et les mesures correctives prises par le REO.

Sources

  1. info.gov.hkhttps://www.info.gov.hk/gia/general/201703/27/P2017032701112p.htm
  2. scmp.comhttps://www.scmp.com/news/hong-kong/politics/article/2082566/laptops-containing-37-million-hong-kong-voters-data-stolen
  3. bankinfosecurity.comhttps://www.bankinfosecurity.com/hong-kong-loses-37-million-voter-registration-records-a-9802
  4. hongkongfp.comhttps://hongkongfp.com/2017/03/27/just-hong-kong-govt-loses-computers-personal-data-registered-voters/

Incidents liés

Exploitation de vulnérabilitéRésolu

Crise cryptographique ROCA de la carte d'identité estonienne

Une faille dans la bibliothèque de génération de clés RSA d'Infineon (ROCA, CVE-2017-15361) a rendu théoriquement possible la falsification d'identités numériques pour quelque 750 000 cartes d'identité estoniennes, forçant une suspension nationale des certificats et un renouvellement à distance d'urgence.

Victim
Republic of Estonia (national ID-card / e-residency)
Fuite de donnéesRésolu

Fuite de données de l'Agence suédoise des transports

Un contrat d'externalisation informatique bâclé a exposé l'intégralité de la base de données suédoise des véhicules et des permis de conduire — y compris des données sur des identités protégées, des policiers et des militaires — à des informaticiens étrangers non habilités, déclenchant une crise politique nationale.

Victim
Agence suédoise des transports (Transportstyrelsen)
EspionnageRésolu

Piratage de la Qatar News Agency

Des attaquants ont implanté un logiciel malveillant sur l'agence de presse d'État du Qatar en avril 2017 et l'ont exploité le 24 mai pour publier de fausses citations attribuées à l'Émir, fournissant le prétexte utilisé par l'Arabie saoudite, les Émirats arabes unis, Bahreïn et l'Égypte pour lancer un blocus du Qatar.

Victim
Qatar News Agency (QNA)