Une faille permettait d'accéder aux données personnelles de tous les électeurs israéliens. À l'origine du problème : l'erreur grossière d'un développeur d'application, et le manque de protection des données du Likoud, le parti du premier ministre Benjamin Netanyahu.

Vous pensiez que l’application utilisée pour la primaire démocrate dans l’Iowa était catastrophique ? Celle du parti du premier ministre israélien Benjamin Netanyahu, le Likoud, a fait bien pire, d’après le développeur Ran Bar-Zik, qui a publié un billet de blog sur le site Haaretz le 9 février 2020. En quelques clics et sans compétences techniques, n’importe qui doté d’une connexion Internet pouvait accéder aux données personnelles de l’ensemble des électeurs israéliens. Soit très précisément 6 453 254 personnes, plus des deux tiers des citoyens du pays. 

Le registre contient les noms, prénoms, adresses, numéros de carte d’identité, et le genre des électeurs. C’est déjà beaucoup, mais sur sa copie de la base de données, l’application utilisée par le Likoud aurait ajouté dans certain cas des numéros de téléphone et le nom des proches susceptible de voter pour le parti.

Ces données pourraient alimenter toutes sortes de cyberattaques : elles seraient par exemple précieuses pour monter un hameçonnage sur-mesure. À trois semaines des élections qui auront lieu le 2 mars, cette fuite inquiète les autorités, car elle fait aussi planer la menace de vols d’identité et de manipulations électorales.

Les responsables n’ont pas identifié combien de personnes ont repéré cette fuite, et potentiellement téléchargé la base de données. D’après le New York Times, l’application incriminée a des utilisateurs dans d’autres pays, dont les États-Unis, la Chine et la Russie.

Les données confiées au parti, qui les a confiées à l’application

Si le Likoud avait l’intégralité des données des électeurs, c’est parce que le gouvernement donne l’accès aux registres de vote à tous les partis politiques qui se présentent aux élections. Charge aux partis ensuite de protéger ce contenu. De son côté, le parti du Premier ministre a décidé de verser la précieuse base de données dans l’application d’Elector Software. Cette startup israélienne créée en 2018 est spécialisée dans le développement d’applications de vote. L’app permet d’envoyer automatiquement des SMS aux électeurs, et de leur donner des informations comme… appeler à voter pour le parti. Le Likoud avait ainsi appelé ses soutiens à télécharger en masse l’application.

L’éditeur de l’application ne concède pas la gravité de l’erreur

Comme le pointe Hareetz, les partis politiques ne doivent normalement pas communiquer ces informations à des partis tiers, et doivent supprimer toutes ces données une fois le processus électoral abouti. À la suite de la révélation, l’éditeur de l’application a minoré la gravité de la fuite dans un communiqué : « C’est un incident isolé, qui a immédiatement été géré. » Il a simplement indiqué qu’il a renforcé la sécurité du site. À l’heure où nous écrivons ces lignes, le site de la startup est tombé.

Interrogée, l’autorité de protection de la vie privée israélienne a, de son côté, réitéré dans un communiqué que les partis étaient responsables de la protection des données issus des registres. De quoi écarter la responsabilité de Elector Software ?

Les identifiants étaient visibles dans le code de la page web

Pour accéder aux informations, Ran Bar-Zik explique qu’il suffisait de faire un clic droit sur le site de l’application, elector.co.il, et sélectionner « Inspecter ». Cette fonctionnalité, disponible sur tous les navigateurs (Firefox, Chrome, Safari, Edge…) permet d’accéder au code informatique de la page web. Dans ce code, les développeurs de Elector Software avaient laissé en commentaire (HTML) les identifiants et mots de passe pour accéder au registre de vote. N’importe qui d’un peu curieux pouvait donc se connecter à la base de données en tant qu’administrateur du réseau. Le site web de l’application électorale a depuis été retiré du cache des moteurs de recherches (Google, Bing…), pour que personne ne puisse retrouver le chemin vers les identifiants.

Les données personnelles des dirigeants du pays étaient accessibles

Un lanceur d’alerte a repéré la faille dès le vendredi 7 février, et contacté Cybercyber, un podcast spécialisé dont Ran Bar-Zik fait parti. Pour prouver sa découverte, le lanceur d’alerte à envoyé les informations personnelles de Ran Bar-Zik, de sa femme et de son fils. D’autres sites israéliens ont ensuite affirmé qu’ils avaient accédé aux informations de Netanyahu, à celles du chef de l’état-major de l’armée Aviv Kokhavi, et même à celles de Nadav Argaman, chef de l’agence de contre-espionnage Shin Bet.

Avec ces scandales à répétition, de nombreux experts appellent à réduire drastiquement l’usage de la technologie dans le processus électoral. Elle expose à de nombreux risques, d’autant plus que la longue phase de test de sécurité n’est souvent pas respectée. La France, avec ses bulletins papiers dépouillés à la main, n’a pas (encore) ce genre de problèmes de cybersécurité.

Partager sur les réseaux sociaux