DataDome

Alerte de sécurité : les sites de dons politiques au Royaume-Uni à risque

Table des matières
Antoine Vastel, VP of Research
21 Aug, 2024
|
min

L’année 2024 est marquée par une série d’élections à travers le monde, avec un nombre record d’électeurs se rendant aux urnes dans pas moins de 64 pays. Cet été, les électeurs du Royaume-Uni ont pris part aux élections générales du 4 juillet, élisant 650 membres du Parlement à la Chambre des Communs. Cette montée en puissance des élections s’accompagne d’une augmentation significative des dons de campagne, générant un volume élevé de transactions traitées par les plateformes de dons politiques, ce qui en fait des cibles de choix pour les cybercriminels.

Les donateurs fournissent souvent des informations personnelles et financières sensibles, telles que leurs noms, adresses et numéros de carte de crédit. La protection de ces données est essentielle pour éviter le vol d’identité et la fraude financière, qui peuvent avoir des conséquences graves pour les individus et entâcher la confiance du public dans ces plateformes.

La confiance dans l’intégrité et la sécurité des plateformes de dons est essentielle pour encourager la participation continue aux élections et les contributions. Une violation de données ou une fuite d’informations pourrait ébranler cette confiance, ce qui entraînerait une baisse de l’engagement des donateurs et des pertes financières potentielles pour les campagnes politiques.

Évaluation de la sécurité des sites de dons

DataDome a testé les plateformes de dons politiques des sept principaux partis politiques du Royaume-Uni (Labour, Conservatives, Liberal Democrats, Reform UK, SNP, Plaid Cymru et Green Party) pour évaluer l’efficacité de leurs mesures de sécurité face aux activités automatisées et frauduleuses.

Principaux constats :

La plupart des sites de dons présentent des lacunes de sécurité importantes

  • Parmi les sept sites évalués, tous présentaient des insuffisances en matière de sécurité. Seuls trois d’entre eux, ceux de Plaid Cymru, SNP et Reform UK, disposaient d’un point de connexion. Cependant, même ces sites manquaient de protections essentielles contre les bots et les attaques de credential stuffing.
  • Seulement deux sites, ceux du Labour et du SNP, utilisent reCAPTCHA, mais uniquement sur les pages de création de compte, et pas sur les pages de connexion. L’utilisation de reCAPTCHA seule ne suffit pas à prévenir la fraude, surtout avec la prolifération des fermes à CAPTCHA, ce qui expose ces sites aux attaques de bots.
  • La majorité des sites de dons politiques ne proposent pas d’option de connexion, ce qui permet de faire des dons sans créer de compte officiel, facilitant ainsi l’accès aux bots et aux fraudeurs.
  • Les autres plateformes reposaient sur des mesures de sécurité rudimentaires, insuffisantes pour contrer les bots sophistiqués et les techniques de fraude modernes.

Absence de connexion et de comptes sécurisés

  • Contrairement à d’autres sites de dons analysés par DataDome, la majorité des sites de dons liés aux élections au Royaume-Uni ne proposent ni connexion, ni création de compte. De nombreux sites permettent de faire des dons sans nécessiter de connexion, réduisant ainsi les obstacles pour les utilisateurs, mais aussi pour les fraudeurs.
  • Plus inquiétant encore, parmi les rares sites qui offraient une option de connexion, les points d’accès n’étaient absolument pas sécurisés, ce qui crée une opportunité majeure pour les account takeovers. À l’aide d’une structure populaire de bot open source, nous avons pu créer un bot capable de se connecter avec succès à notre propre compte sans rencontrer la moindre mesure de sécurité.

Vulnérabilité aux attaques de credential stuffing

  • L’absence de protections robustes sur les points de connexion expose les comptes des utilisateurs aux attaques de credential stuffing. Ces attaques permettent aux cybercriminels d’accéder illégalement à des comptes, leur donnant la possibilité de voler des informations personnelles et des données de cartes de crédit enregistrées.
  • Le risque est d’autant plus élevé que de nombreux utilisateurs enregistrent leurs informations de carte de crédit pour des dons récurrents, ce qui augmente les chances de vol financier et de fuites de données.

Implications et risques

  • Vol d’identifiants et account takeover : les cybercriminels qui parviennent à accéder aux comptes utilisateurs peuvent en extraire des informations sensibles, y compris les données de cartes de crédit. Cela représente un risque élevé de fraude financière et de vol d’identité.
  • Atteinte à la réputation et perte de confiance des donateurs : une faille de sécurité peut causer des dommages considérables à la réputation d’une organisation, ce qui risque de saper la confiance des donateurs et de compromettre les futures campagnes de collecte de fonds.
  • Conséquences financières : les pertes financières dues aux activités frauduleuses, aux rétrofacturations, et aux potentielles sanctions légales pourraient être considérables pour ces plateformes.

Recommandations

Bien que les élections générales de 2024 au Royaume-Uni soient passées, les prochaines élections locales se tiendront dans moins d’un an, en mai 2025. C’est donc le moment idéal pour les sites de dons politiques et les donateurs de se préparer aux risques futurs. Pour atténuer ces menaces, il est crucial que les plateformes de dons et les donateurs prennent des mesures proactives pour renforcer leur sécurité.

Sites de dons :

  • Authentification renforcée : déployez l’authentification à deux facteurs pour toutes les interactions critiques, telles que les connexions et les transactions, afin de renforcer la protection contre les accès non autorisés.
  • Protection avancée contre les bots : évoluez vers des solutions de gestion des bots plus sophistiquées, au-delà des systèmes CAPTCHA basiques, pour assurer une détection et une atténuation en temps réel des menaces automatisées. Ces solutions doivent être capables de résister aux attaquants avancés qui contournent les CAPTCHA via des fermes à CAPTCHA, de détecter les attaques provenant de milliers d’adresses IP utilisant des proxys, et d’identifier les bots qui imitent le comportement humain.

Donateurs :

  • Renforcement de la sécurité des comptes : les donateurs peuvent améliorer la sécurité de leurs comptes en utilisant des mots de passe uniques et robustes, générés par un gestionnaire de mots de passe, qu’il soit dédié (comme Bitwarden ou Dashlane) ou intégré à leur navigateur. Les attaques de credential stuffing exploitent la réutilisation des mêmes identifiants (e-mail/mot de passe) sur plusieurs sites ou applications. Si l’un de ces services est compromis, les attaquants peuvent tenter d’utiliser ces identifiants pour accéder à d’autres comptes.

 

Conclusion

L’afflux récent de dons de campagne souligne l’urgence de renforcer les mesures de cybersécurité sur les plateformes de dons. La protection des informations des donateurs est cruciale non seulement pour préserver la sécurité des individus, mais aussi pour maintenir l’intégrité et la confiance indispensables à une participation démocratique saine. En accordant leur priorité à la sécurité, les campagnes peuvent renforcer la confiance de leurs partisans, garantissant ainsi leur engagement continu et leur appui financier tout au long du processus électoral.

Téléchargez l'alerte de sécurité des sites de dons politiques au Royaume-Uni

Téléchargez votre exemplaire de cette alerte de sécurité ci-dessous.

DataDome
Antoine Vastel
VP of Research
Antoine Vastel est vice-président de la recherche chez DataDome, où il supervise le SOC et l'équipe de recherche sur les menaces. À ce titre, il se concentre sur l'amélioration du moteur de détection des bots en temps réel de DataDome à travers différentes approches, notamment la détection comportementale, l'empreinte digitale HTTP/navigateur, la détection des proxys/IP infectés et la détection des fermes à CAPTCHA. Antoine est titulaire d'un doctorat en informatique avec une spécialisation dans l'empreinte digitale des navigateurs.

Articles liés