Alerte de sécurité : les sites de dons politiques aux États-Unis sont en danger

Avec l’approche de l’élection présidentielle américaine, les dons aux campagnes électorales ont récemment augmenté, ce qui a entraîné le traitement d’un grand nombre de transactions par les plateformes de dons politiques, qui sont devenues des cibles attrayantes pour les cybercriminels.

Les donateurs fournissent souvent des informations personnelles et financières, telles que leurs noms, adresses et coordonnées bancaires. La sécurisation de ces données est cruciale pour prévenir l’usurpation d’identité et la fraude financière, qui peuvent avoir de graves conséquences pour les individus et éroder la confiance du public dans ces plateformes.

La confiance dans l’intégrité et la sécurité des plateformes de dons politiques est essentielle pour encourager la participation continue aux élections et les contributions. Une violation de données ou une fuite pourrait ébranler cette confiance, ce qui entraînerait une baisse de l’engagement des donateurs et des pertes financières potentielles pour les campagnes politiques.

Évaluation de la sécurité des sites de dons politiques

DataDome a testé trois grandes plateformes de dons politiques américaines afin d’évaluer leurs mesures de sécurité contre les activités automatisées et frauduleuses.

Principaux résultats

2/3 des sites de dons manquent de mesures de sécurité essentielles

• Lors de l’évaluation des trois sites de dons politiques, DataDome a constaté qu’aucun ne disposait de mesures de sécurité essentielles pour se protéger contre le trafic des bots et les attaques de credential stuffing.
• Une seule plateforme a mis en place l’authentification à deux facteurs (2FA), offrant ainsi une couche de sécurité supplémentaire pour les comptes utilisateurs.
• Les deux autres plateformes n’avaient aucune mesure de sécurité efficace, se contentant de défenses de base qui ne sont pas à la hauteur des bots sophistiqués et des fraudeurs d’aujourd’hui.

Utilisation inefficace de reCAPTCHA v2

• Les trois plateformes utilisaient reCAPTCHA v2 sur leurs pages d’inscription. Cependant, cette version gratuite est largement reconnue comme peu sécurisée et facilement contournée par des bots sophistiqués​​.
• De plus, les points de connexion de ces plateformes n’étaient pas du tout protégés, ce qui offrait une opportunité significative pour les attaques d’account takeover. À l’aide d’une structure populaire de bot open source, nous avons pu créer un bot capable de se connecter avec succès à notre propre compte sans être confronté à aucune contre-mesure de sécurité.

Risque potentiel d’attaques de credential stuffing

• L’absence de protection robuste sur les points de connexion expose les comptes utilisateurs aux attaques de credential stuffing. Ces attaques peuvent entraîner un accès non autorisé, qui permettrait aux attaquants de récolter des informations personnelles et des données de carte de crédit stockées.
• De nombreux utilisateurs enregistrent leurs informations de carte de crédit pour des dons récurrents, ce qui augmente encore le risque de vol financier et de violations de données.

Implications et risques

• Vol de données d’identification et account takeover : les attaquants qui accèdent aux comptes utilisateurs peuvent extraire des informations sensibles, y compris les détails des cartes de crédit. Cela pose un risque élevé de fraude financière et d’usurpation d’identité.
• Atteinte à la réputation et perte de confiance des donateurs : les failles de sécurité peuvent nuire considérablement à la réputation, ce qui risque d’éroder la confiance des donateurs et d’avoir un impact sur les futures collectes de fonds.
• Implications financières : les pertes financières dues aux activités frauduleuses, aux rétrofacturations et aux éventuelles sanctions légales pourraient être considérables pour ces plateformes.

Recommandations

Pour atténuer ces risques, les sites de dons politiques et les donateurs peuvent prendre des mesures pour renforcer leur posture de sécurité.

Sites de dons :

• Authentification renforcée : déployer l’authentification à deux facteurs pour toutes les interactions critiques des utilisateurs, y compris les connexions et les transactions, afin d’ajouter une couche de protection contre l’accès non autorisé.
• Protection avancée contre les bots : passer des systèmes CAPTCHA basiques à des solutions de gestion des bots plus sophistiquées qui offrent une détection et une atténuation des menaces automatisées en temps réel. En particulier, la protection contre les bots doit pouvoir résister aux attaquants sophistiqués capables de contourner les CAPTCHA en utilisant des fermes à CAPTCHA, elle doit aussi détecter les attaques provenant de milliers d’adresses IP utilisant des proxys, et reconnaître les bots qui imitent un comportement humain.

Donateurs :

• Les donateurs peuvent renforcer la protection de leurs comptes en utilisant un mot de passe unique et fort, généré par un gestionnaire de mots de passe, tel que Bitwarden ou Dashlane, ou celui intégré à leur navigateur. Les attaques de credential stuffing fonctionnent parce que les utilisateurs réutilisent le même email/mot de passe sur différents sites/applications. Ainsi, si l’un de ces services est compromis, les attaquants peuvent essayer de réutiliser les mots de passe issus de cette fuite sur d’autres sites.

Conclusion

La récente augmentation des dons de campagne souligne la nécessité urgente de mettre en place des mesures de cybersécurité robustes sur les plateformes de dons politiques. La protection des informations relatives aux donateurs permet non seulement de protéger les individus, mais aussi de préserver l’intégrité et la confiance indispensables à la participation démocratique. En accordant la priorité à la sécurité, les campagnes peuvent renforcer la confiance de leurs partisans, garantissant ainsi leur engagement continu et leur soutien financier dans le processus électoral.