La brèche dans le système, qui contient non seulement les données des partisans et militants du Shas mais plutôt les informations de tous les citoyens israéliens éligibles au vote, a été révélée dimanche suite à une fuite anonyme reçue sur le podcast CyberCyber hébergé par Ido Kinan et Noam Rotem. Les résultats ont ensuite été vérifiés par l’architecte logiciel Ran Bar-Zik.
La vulnérabilité a été découverte par le bailleur anonyme à l’aide d’un outil d’analyse automatisé en ligne qui détecte de telles faiblesses, selon un rapport de Calcalist.
La brèche est basée sur une faiblesse connue depuis quatre ans dans un outil de débogage de système en ligne basé sur PHP, et il n’est pas nécessaire d’utiliser des outils sophistiqués pour exploiter cette faiblesse, car tout ce qui est nécessaire est un navigateur Internet.
Le débogueur ne doit être activé que pendant la phase de test du système et désactivé dès qu’il est ouvert à une large utilisation. Si le débogueur est toujours actif après la mise en service du système, il est possible de le pénétrer simplement en ajoutant quelques caractères à l’adresse du site Web du système et en effectuant quelques autres actions qui ne nécessitent pas de connaissances informatiques sophistiquées.
Bien que la brèche en question ait été bloquée, il n’y a aucun moyen de savoir si les informations du système ont été divulguées avant d’être corrigées. La facilité avec laquelle la faille peut être exploitée et le fait qu’elle ait été localisée sans trop d’efforts soulève la question de savoir qui pourrait détenir toutes les données personnelles stockées dans le système.
Shas répond à cette fuite de données
Le parti Shas, comme les autres partis, reçoit le registre des électeurs du ministère de l’Intérieur avant chaque tour des élections. Cependant, il est tenu de détruire les informations transmises, y compris toutes les précisions qui y sont ajoutées, à la fin de chaque élection. Malgré cela, le parti Shas semble avoir conservé les données personnelles des électeurs des précédents scrutins.
« Nous avons été informés des préoccupations concernant l’accès illégal à la base de données. Immédiatement après avoir reçu ces informations, nous avons effectué une inspection complète de la base de données à l’aide d’experts en sécurité et mis en œuvre un certain nombre de changements immédiats, afin que toutes les informations soient conservées en toute sécurité. Shas poursuit une inspection complète des systèmes de base de données, et agira si nécessaire contre toute partie qui aurait agi en violation de la loi », a déclaré le parti.
La plateforme électorale du Likud divulgue des données personnelles
Lors d’un événement similaire, une liste de 5 000 noms et numéros de téléphone de militants du Likud a été divulguée sur Internet à partir de la plateforme « Elector » l’année dernière, apparaissant sur le site de fuite Ghostbin, selon Ynet.
La liste a été téléchargée par une source anonyme avec un e-mail qui a circulé dans de nombreux groupes, qui disait que « le système électoral utilisé par le Likud et la droite a été piraté. Les données seront lentement divulguées jusqu’à ce que le système soit mis hors ligne. Voici le premier groupe de « militants ». »
L’Autorité pour la protection de la vie privée du ministère de la Justice a déterminé que la société Elector ainsi que les partis du Likud et du Foyer juif qui recevaient des services technologiques de la société Elector, avaient violé les dispositions de la loi sur la protection de la vie privée et les règlements qui en découlent.
« Les conclusions de la procédure d’exécution menée par l’Autorité ont révélé des violations de la loi, y compris de nombreuses lacunes graves dans la sécurité des informations dans les systèmes d’information de l’électeur, ainsi que dans sa conduite en tant que détenteur d’informations personnelles sensibles », a déclaré l’Autorité pour la protection de la vie privée.
