Quand une faille de sécurité expose les données personnelles de 6,5 millions d’électeurs israéliens

Les partisans du Premier ministre israélien Benjamin Netanyahu applaudissent au début de son discours de campagne électorale à Lod, en Israël, le mardi 11 février. (AP Photo/Oded Balilty)

Les données personnelles de tous les électeurs éligibles en Israël se sont retrouvées exposées à la suite d’une faille dans une application mobile, utilisée principalement par le Likoud, le parti du Premier ministre Benyamin Netanyahu.

C’est un couac énorme qui a secoué les électeurs israéliens, à trois semaines seulement d’une élection nationale. Selon CNN, la faille dans l’application Elector a révélé les noms, adresses et numéros de carte d’identité de chacun des 6.453.255 électeurs israéliens d’une manière presque enfantine.

‘Ce n’était pas très technique’, a déclaré le développeur du logiciel Ran Bar-Zik, qui a révélé la faille dans le journal Haaretz dimanche. ‘C’est incroyable. C’est un piratage très simple, très stupide. Appeler ça un hack est une insulte pour les hackers professionnels’, déclare-t-il.

Bar-Zik a indiqué que les utilisateurs pouvaient se rendre sur le site web de l’application et consulter le code source, qui révélait les identifiants des administrateurs système. N’importe qui pouvait ainsi accéder et télécharger le registre des électeurs. Le problème a depuis été résolu.

Prévenu par une source anonyme

Plus surprenante encore est la façon dont Bar-Zik a découvert cette faille. ‘La source anonyme m’a envoyé les coordonnées de mon fils, qui est soldat dans l’armée. Et j’ai été stupéfait. Et quand j’ai vu l’ampleur des détails – plus de six millions de personnes – j’ai été choqué que ce soit si facile’, a-t-il déclaré à CNN.

On ignore encore combien de personnes ont pu télécharger ces informations personnelles, mais elles ont été exposées pendant au moins 24 heures. Repérée par Bar-Zik le vendredi soir et corrigée le lendemain, elle a pu être disponible bien avant sa découverte. ‘Cela pourrait être des jours, voire des mois’, annonce-t-il.

Une application promue par Netanyahu

Disponible depuis au moins neuf mois, l’application Elector a également été téléchargée en Chine, en Russie, aux États-Unis et en Moldavie. Si les données sont téléchargées ne serait-ce qu’une fois, elles peuvent être facilement partagées, exposant potentiellement les données privées de millions de citoyens israéliens. Elles pouvaient d’ailleurs toujours être partagées après que la faille de sécurité ait été résolue, à condition de les avoir téléchargées à temps.

Cette faille s’avère particulièrement embarrassante pour ce pays fier de sa réputation de ‘start-up nation’ et de sa puissance en matière de cybersécurité. D’autant plus que Netanyahu lui-même a incité les partisans de son parti à télécharger l’application, pas plus tard que la semaine dernière.

Aujourd’hui, le parti Likoud rejette la responsabilité sur les développeurs d’Elector. En attendant, l’autorité de protection de la vie privée a ouvert une ‘procédure de surveillance’… bien qu’elle n’aurait pas les moyens d’infliger des amendes pour cette faille.

Lire aussi: