Tamir Pardo met en garde contre le « coronavirus de la sécurité d’Israël »
Pour l'ex-chef du Mossad, les problèmes du logiciel de campagne de Netanyahu constituent une "menace pour la sécurité" et pour les membres de Tsahal, du Shin Bet et du Mossad
Un ancien chef de l’agence d’espionnage du Mossad a tiré la sonnette d’alarme mercredi au sujet d’une application exploitée par le Likud, le parti du Premier ministre Benjamin Netanyahu, à l’approche des élections de la semaine prochaine, avertissant que son utilisation constituait « une réelle menace pour la sécurité » et comparant le niveau de danger qu’elle représente à celui du coronavirus mortel.
Par deux fois en deux semaines, le suivi des électeurs en ligne par le Likud a entraîné des fuites de toute la base de données des électeurs israéliens, y compris les noms, les adresses et d’autres détails, vers l’Internet.
La première fuite au début de ce mois a été l’une des fuites les plus importantes et les plus compromettantes de l’histoire d’Israël en matière d’informations personnelles, ce qui a conduit les autorités à enquêter sur le parti pour de possibles violations des lois sur la confidentialité des élections.
La deuxième fuite, signalée dimanche, a été causée par un défaut de protection des données sur un site web et une application, appelés Elector, appartenant au Likud que le parti a utilisé pour enregistrer et affecter ses observateurs le jour des élections dans les bureaux de vote du pays.
« Cette application est dangereuse pour la sécurité de l’État d’Israël, pour la sécurité des soldats et des commandants de l’armée israélienne et des membres du Shin Bet et du Mossad », a déclaré l’ancien chef du Mossad Tamir Pardo dans un entretien avec la spécialiste de l’Internet, le Dr Anat Ben-David, publié sur les réseaux sociaux.
Ben-David a fait des recherches sur Elector et a averti la commission centrale électorale des problèmes de sécurité et de confidentialité qu’il posait.
Pardo a poursuivi : « Nos amis du Hezbollah à Beyrouth peuvent [télécharger l’application]. Tout comme les responsables du Corps des Gardiens de la révolution islamique à Téhéran, et les membres du Hamas à Gaza et à Naplouse. Ils peuvent rechercher toute personne vivant en Israël, voir qui sont les membres de leur famille et les rechercher dans le registre des électeurs ».
« S’ils connaissent le nom d’un commandant de Tsahal ou d’un membre du Shin Bet ou du Mossad, et que quelqu’un a entré leur numéro de téléphone, ils peuvent le voir. Quiconque utilise l’application met en danger la sécurité des responsables de la sécurité d’Israël », a-t-il averti.
C’est le « coronavirus de la sécurité d’Israël », a déclaré M. Pardo, qui a exhorté les Israéliens à « supprimer l’application et à ne rien y ajouter ».
Le porte-parole d’Elector, Yaron David, a répondu en qualifiant les remarques de Pardo de « propos insultants et irresponsables contre l’application électorale la plus sûre et la plus surveillée actuellement, et tout cela basé sur de fausses informations qu’il n’a sans doute pas vérifiées ».
Qualifiant la remarque de « campagne orchestrée motivée par un programme politique », M. David a déclaré que toutes les plaintes contre Elector avaient été rejetées et que le site n’est accessible que depuis Israël, qu’il limite les recherches et prend d’autres précautions.
Il a ajouté que ce sont les commentaires de Pardo qui étaient le « coronavirus de notre système de résilience interne ».
Rien ne prouve pour l’instant que les informations rendues publiques ont été téléchargées par des acteurs étrangers avant la découverte de la vulnérabilité.
Dimanche, le Likud a qualifié la deuxième fuite comme faisant partie d’une série de « tentatives d’attaques criminelles contre les sites web du Likud » qui sont menées par « des criminels agissant systématiquement pour nuire au Likud et au processus électoral ». Le Likud a déposé une nouvelle plainte auprès de la police et nous attendons une action rapide pour appréhender les criminels ».
L’Autorité chargée de la protection des données personnelles du ministère de la Justice a confirmé qu’elle enquêtait sur cette dernière infraction. Le National Cyber Directorate [l’entité de sécurité israélienne chargée de protéger le cyberespace civil israélien] participe également à l’enquête.
Une plainte déposée au début du mois auprès de la commission centrale électorale accuse le Likud d’avoir utilisé son accès au registre officiel des électeurs de la CCE pour créer une base de données de tous les Israéliens en âge de voter, qu’il a ensuite mise à la disposition de ses militants de base via l’application Elector, téléchargeable par tous.
L’application est destinée à permettre aux partis politiques d’effectuer des recherches de données en temps réel le jour du scrutin, en affichant des données sur les électeurs individuels, les bureaux de vote (y compris les taux de soutien à un parti par bureau) et les régions, des informations essentielles aux efforts déployés par le parti pour faire voter les partisans.
Mais une faille dans l’interface de l’application a donné un « accès administrateur » à la base de données toute entière, ce qui a permis d’accéder et de pouvoir copier l’intégralité du registre des électeurs israéliens – ainsi que d’obtenir des informations supplémentaires sur des centaines de milliers de votants recueillies par le Likud sur des centaines de milliers d’électeurs, notamment des informations fournies par des amis et des membres de la famille sur les préférences politiques des individus. Cette base de données comprend les noms, le sexe, l’adresse du domicile – ainsi que le numéro de téléphone mobile dans un grand nombre cas – de 6,5 millions d’adultes israéliens, ainsi que les réponses qu’ils ont pu être amenés à apporter dans le cadre de sondages.
De hauts-magistrats et autres éminents responsables ont figuré parmi les individus dont les préférences politiques ont fuité via la base de données, ont révélé des chercheurs en sécurité informatique.
Les officiels cherchent dorénavant de possibles violations de la loi sur la confidentialité – notamment la mise à la disposition des programmateurs d’Elector du registre des électeurs. La loi électorale israélienne donne aux partis politiques l’accès à ce registre mais interdit strictement la révélation de son contenu à des tiers.
L’application Elector a également été utilisée par d’autres partis, notamment par Yisrael Beytenu et, de manière limitée, par certains candidats aux primaires du Parti travailliste, l’année dernière. Mais le Likud était le seul connu à avoir externalisé les données de ses électeurs en bloc vers l’application, et Netanyahu a à de nombreuses occasions exhorté les militants du parti à l’utiliser, et disant que son usage « nous amènera la victoire » au jour du scrutin.
Le laxisme du Likud en matière de sécurité des données, conjugué à sa ferveur à adopter des méthodes de traitement des bases de données pour sa campagne, a suscité un torrent de critiques, d’autant plus que les erreurs passées ne semblent pas avoir amélioré la gestion des informations sur les électeurs par le parti.
Ces dernières bévues suivent une autre débâcle en termes de confidentialité des électeurs, qui était survenue à l’approche des élections du 17 septembre.
Le journal économique The Marker avait fait savoir, le 9 septembre, qu’il avait réussi à accéder à la base de données des électeurs du Likud (lien en hébreu) via le site d’un parti, avec notamment les informations concernant les relations entretenues par chaque citoyen israélien avec la formation au pouvoir. Par exemple, plus de 600 000 personnes avaient été listées comme étant des « non-partisans ».