Les données personnelles de 70 millions d’électeurs philippins ont été piratées, et en partie mises en ligne. Y compris une base comprenant une copie de leurs empreintes digitales.

Un mois à peine avant les élections présidentielles, les Philippines auraient été victimes de la pire cyber-attaque jamais connue. Cette attaque a été revendiquée par des pirates se réclamant du mouvement des Anonymous. En piratant le site de la Philippine Commission on the Elections (Comelec), les hackers auraient eu accès à des informations personnelles de près de 70 millions d’électeurs.

Ces informations piratées concerneraient des passeports et des empreintes digitales, enregistrées pour vérifier l’identité des votants. Comelec s’est exprimé à plusieurs reprises concernant cette attaque et a pourtant minimisé son impact en estimant « qu’aucune information sensible n’aurait été dérobée » (sic).

Toutes ces données auraient été publiées sur internet quelques jours plus tard, cette fois-ci par un autre groupe de hackers, « Lulzsec Philippines ». Un nom qui fait écho au célèbre groupe Lulzsec démantelé en 2013, qui s’était rendu célèbre par le piratage de Sony.

15,8 millions d’empreintes digitales publiées

C’est la troisième fois que les Philippines organisent des élections par vote électronique, et la (Comelec) a souvent été critiquée pour son faible niveau de sécurité.

En piratant ces données et informations personnelles, les hackers proches du mouvement Anonymous ont donc souhaité mettre en lumière la vulnérabilité du système de Comelec mais aussi la faiblesse des dispositifs de votes électroniques qui seront utilisées le 9 mai prochain, lors du scrutin présidentiel. La base publiée montre notamment qu’un champ de comptabilisation du nombre de votes par candidat est présent, qui pourrait être potentiellement modifié pour altérer le résultat du scrutin.

En France, la CNIL n’a pas été entendue dans sa demande de supprimer une base de données centrale d’empreintes digitales

Dans un rapport publié sur son site, Trend Micro estime donc que cette vulnérabilité pourrait conduire à un sabotage des votes ainsi « chaque votant pourra faire l’objet de fraudes ou sera sujet à d’autres risques ». Le cabinet de sécurité informatique note que le dump publié en ligne contient des données de 1,3 millions d’électeurs expatriés, accessibles en clair. 15,8 millions d’empreintes digitales seraient également publiées.

L’information démontre à nouveau s’il en était besoin l’importance d’éviter toute centralisation des données biométriques. Contrairement aux mots de passe, il est impossible de révoquer ou de changer ses empreintes digitales, et leur confidentialité est donc primordiale lorsque l’on prétend les utiliser à des fins d’identification. Hélas, la France n’est pas en reste. La semaine dernière, nous rapportions ainsi que la CNIL n’avait pas été entendue dans sa demande de supprimer une base de données centrale d’empreintes digitales associées aux passeports biométriques. Sans doute parce que la France pense sa sécurité inviolable.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !