Violation de données de la Commission électorale britannique

Le 8 août 2023, la Commission électorale britannique a révélé que des acteurs hostiles se trouvaient dans ses systèmes depuis août 2021, dans l'une des plus importantes violations connues touchant des citoyens britanniques — concernant les données personnelles d'environ 40 millions d'électeurs.

Ce qui s'est passé

Les intrus ont pénétré en exploitant la chaîne de vulnérabilités ProxyShell du serveur Microsoft Exchange sur site de la Commission — trois failles (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) pour lesquelles Microsoft avait publié des correctifs au printemps 2021. La Commission ne les a pas appliqués. À l'aide de ces failles, les attaquants ont usurpé un compte utilisateur et installé des web shells, leur conférant un contrôle persistant.

Surtout, les attaquants sont ensuite restés indétectés pendant plus d'un an. Une activité suspecte n'a été repérée qu'en octobre 2022, et la violation n'a été rendue publique qu'en août 2023 — un calendrier que la Commission a attribué à la nécessité de chasser d'abord les acteurs et d'évaluer les dégâts.

Ce qui a été consulté

Les copies de référence des registres électoraux détenues par la Commission, contenant les noms et adresses de toute personne inscrite pour voter au Royaume-Uni entre 2014 et 2022 — soit environ 40 millions de personnes, à l'exclusion des personnes inscrites anonymement (conservées séparément).
Le système de messagerie de la Commission et ses systèmes de contrôle internes étaient également accessibles aux intrus.

La Commission a estimé que ces données, en grande partie partiellement publiques, présentaient un risque direct limité et que les processus électoraux n'avaient pas été affectés, les registres étant des copies statiques que les attaquants pouvaient lire mais non altérer.

Conclusions réglementaires et de sécurité

En décembre 2023, l'ICO a émis un blâme formel, constatant que la Commission n'avait pas corrigé des vulnérabilités connues et opérait avec une mauvaise hygiène de mots de passe — de nombreux comptes utilisaient encore des mots de passe identiques ou similaires à ceux délivrés à l'origine par le support, les exposant au devinement.

Attribution

Le 25 mars 2024, le gouvernement britannique a attribué l'intrusion à des acteurs affiliés à l'État chinois, nommant APT31 et la société-écran du ministère de la Sécurité de l'État Wuhan Xiaoruizhi Science and Technology, et imposant des sanctions aux côtés des États-Unis.

Pourquoi c'est important

La violation a combiné un échec de correctif élémentaire avec une présence indétectée d'un an au sein d'un organisme central de la démocratie britannique. Elle a cristallisé les inquiétudes sur le ciblage par des États de l'infrastructure électorale et poussé les organismes publics britanniques vers des exigences plus strictes de gestion des vulnérabilités et de divulgation.

Chronologie

1 août 2021

Des acteurs hostiles accèdent au réseau de la Commission électorale en exploitant la chaîne de vulnérabilités ProxyShell non corrigée de Microsoft Exchange.

2021-08 / 2022-10

Les attaquants restent indétectés plus d'un an, avec accès aux copies de référence des registres électoraux et aux systèmes de messagerie et de contrôle de la Commission.

1 octobre 2022

La Commission détecte une activité suspecte sur son réseau et entreprend de chasser les intrus et de durcir ses systèmes.

8 août 2023

La Commission électorale révèle publiquement la violation, près de deux ans après l'accès initial et dix mois après la détection.

1 décembre 2023

L'ICO émet un blâme formel, constatant que la Commission n'avait pas corrigé des vulnérabilités connues et présentait de mauvaises pratiques de mots de passe.

25 mars 2024

Le gouvernement britannique attribue l'attaque à des acteurs affiliés à l'État chinois et sanctionne une société-écran et des individus.

Sources

electoralcommission.org.ukhttps://www.electoralcommission.org.uk/media-centre/electoral-commission-subject-cyber-attack

ico.org.ukhttps://ico.org.uk/media2/migrated/4030454/the-electoral-commission-reprimand.pdf

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/uk-govt-links-2021-electoral-commission-breach-to-exchange-server/

techcrunch.comhttps://techcrunch.com/2023/08/09/parsing-uk-electoral-commission-cyberattack/

electoralcommission.org.ukhttps://www.electoralcommission.org.uk/media-centre/electoral-commission-response-cyber-attack-attribution-0

Incidents liés

Exploitation de vulnérabilitéContenu9 mai 2026

765 utilisateurs concernés par une fuite revendiquée chez Média31

Le 9 mai 2026, l'acteur AplaGroup a revendiqué une intrusion dans Média31, la plateforme de médiathèque en ligne du réseau des médiathèques de Haute-Garonne, exposant les données d'environ 765 utilisateurs ; l'intrusion a été confirmée le 21 mai 2026.

Victim: Média31
Records: 765

RançongicielContenu28 octobre 2023

Rançongiciel Rhysida contre la British Library (2023)

Les opérateurs du rançongiciel Rhysida ont détruit des serveurs, exigé environ 600 000 £ et divulgué 600 Go de données internes lorsque la British Library a refusé de payer. Le catalogue principal n'est revenu en ligne — en lecture seule — qu'en janvier 2024. La reprise absorbe 40 % des réserves financières de la bibliothèque.

Victim: British Library
Loss: $8.5M

Faille zero-dayRésolu31 mai 2023

Exploitation massive de MOVEit Transfer (Cl0p)

Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.

Victim: Progress Software MOVEit Transfer (2 700+ en aval)
Loss: $12.15B
Records: 95.0M

Exploitation de vulnérabilitéRésolu7 septembre 2017

Fuite de données Equifax

Une vulnérabilité Apache Struts non corrigée a permis à des attaquants d'exfiltrer numéros de sécurité sociale, dates de naissance, adresses et numéros de permis de conduire de 147 millions de consommateurs américains, britanniques et canadiens.

Victim: Equifax
Loss: $1.38B
Records: 147.9M