Un sous-traitant du Comité national républicain (RNC) a exposé en ligne les données personnelles de 198 millions d'Américains, suscitant des inquiétudes quant à la sécurité des systèmes électoraux à travers les États-Unis, selon un rapport publié cette semaine par Gizmodo.

L'enquête rapport par la société de cybersécurité Garde-corps, affirme que Deep Root Analytics, une société de données alignée sur les conservateurs, a stocké les données des électeurs sur un serveur basé sur le cloud accessible à tous, sans protection par mot de passe. Les données stockées sur le serveur comprenaient « plus d’un téraoctet » d’informations, notamment les adresses des domiciles, les dates de naissance, les numéros de téléphone et des données analytiques sur les tendances idéologiques des personnes et leurs convictions politiques. The Hill rapports que la base de données pourrait atteindre 25 téraoctets et être constituée de données sur 611 TP3T d'Américains.

Le rapport souligne les inquiétudes de longue date des défenseurs de la sécurité des électeurs quant à la vulnérabilité des données des électeurs aux cyberattaques.

UpGuard a déclaré qu'il part du principe que les informations contenues dans la base de données Deep Root sont exactes car les deux contributeurs de son rapport, Christopher Vickery, chercheur en cyber-risque, et Dan O'Sullivan, l'auteur, « ont effectué des recherches dans ces feuilles de calcul, confirmant que les fichiers contenaient des informations personnelles exactes et sensibles ».

Des groupes politiques comme le RNC ont fait appel à Deep Root pour des analyses qui les aident à mieux cibler leurs publicités et à prédire l’efficacité de leurs messages. Gizmodo a déclaré que les données détenues par Deep Rot « [mettaient] en lumière l’écosystème de données de plus en plus avancé qui a contribué à propulser les faibles marges du président Donald Trump dans les États clés ».

Gizmodo a confirmé que Deep Root Analytics, une organisation dont les registres de la Commission électorale fédérale indiquent qu'elle a reçu 983 000 dollars du RNC l'année dernière, est responsable de l'agrégation des données et de leur exactitude.

Gizmodo rapporte que ce type de fichiers est généralement recherché par les campagnes électorales, mais le manque de sécurité qui les entoure suggère un problème plus vaste pour le stockage des informations électorales. « Ces [informations divulguées] sont précieuses pour les personnes qui ont des objectifs malveillants », a déclaré à Gizmodo Joseph Lorenzo Hall, responsable de la technologie au Center for Democracy and Technology.

Gizmodo affirme que « les campagnes étant des opérations à court terme, elles ne sont pas vraiment incitées à prendre la sécurité des données au sérieux, et des données précieuses sont souvent laissées à l'abandon après une élection. »

Après les élections, les campagnes électorales n'ont aucune raison de protéger les informations des électeurs. « Les données des électeurs deviennent rapidement obsolètes et les campagnes ferment rapidement, de sorte que les données sont considérées comme jetables et souvent mal protégées », explique Gizmodo.

Cette violation n'est pas un incident isolé. Bloomberg Politics signalé La semaine dernière, des agents russes ont tenté de pénétrer dans les bases de données électorales de 35 États lors de l'élection présidentielle de 2016. témoignage Il y a deux semaines, devant la commission sénatoriale du renseignement, l'ancien directeur du FBI James Comey a déclaré que ce type d'attaques visait à déstabiliser la démocratie et que leurs auteurs russes ne céderaient pas de sitôt.  

Le 1er mars, les médias d'Atlanta signalé une violation des données électorales à l'université d'État de Kennesaw, qui gère les informations électorales pour l'ensemble de l'État. Le bureau du gouverneur a appelé le FBI après avoir découvert l'ampleur du piratage.

La violation de Data Root et le piratage informatique en Russie soulignent la nécessité de renforcer la sécurité en ligne alors que les administrateurs électoraux modernisent les systèmes de vote à travers le pays. Les entreprises victimes de pirates informatiques peuvent déduire leurs pertes de leurs frais d'exploitation. Les votes perdus ou altérés ne peuvent pas être récupérés.

 ###