Plus de 25 terabytes de données sensibles (adresse, orientation politique...) concernant 198 millions de citoyens américains étaient accessibles sur un serveur en ligne non sécurisé. En cause : une société d'analyse de données recrutée par le Parti républicain pendant la campagne présidentielle pour mieux cibler les électeurs potentiels de Donald Trump.

Âge, sexe, adresse, numéro de téléphone, couleur de peau, affiliation politique et position personnelle sur des sujets sensibles comme l’avortement ou les armes… Toutes ces informations concernant 198 millions d’électeurs américains potentiels étaient stockées sur un cloud Amazon, sans aucune protection, libres d’être téléchargées par les internautes qui en connaissaient — ou en découvraient — l’adresse. Soit plus d’un terabyte de données accessible sans mot de passe.

Celles-ci ont été mises en ligne par l’entreprise d’analyse de données Deep Root Analytics, recrutée pour 983 000 dollars par le Parti républicain pendant la campagne présidentielle de 2016 pour identifier des citoyens potentiellement enclins à voter pour leur candidat, afin de mieux les cibler à l’aide de publicités ciblées. Après que le chercheur en sécurité Chris Vickery a révélé l’existence de ces gigantesques bases de données en accès libre, le 12 juin dernier, Deep Root a reconnu son erreur et sécurisé les fichiers : « Nous assumons pleinement la responsabilité de cette situation. »

Une situation inédite par son ampleur puisqu’il s’agit de la plus grande fuite de données d’électeurs potentiels de l’histoire des États-Unis — et du monde –, comme le confirme Chris Vickery : « En termes d’espace disque utilisé, c’est la plus grande exposition à laquelle j’ai eu affaire. Il en va de même pour sa portée. » Celle-ci concerne en effet plus de la moitié de la population américaine.

Des données actualisées jusqu’en janvier 2017

Les données sont d’autant plus sensibles qu’il ne s’agit pas des seules informations récoltées par Deep Root pour proposer des publicités télévisées ciblées mais aussi d’éléments tirés d’autres groupes ayant participé à la campagne de Donald Trump, comme The Data Trust, un service habitué à travailler avec le Parti républicain.

Si cette base d’informations constitue l’essentiel des données stockées sur le cloud, on y trouvait aussi 24 autres tB de fichiers divers (non téléchargeables) dont un qui s’intitule « Post Élec[tions] 2016 », dernièrement mis à jour à la mi-janvier 2017. On y trouve des informations sur les positions probables de chaque électeur : la probabilité qu’ils aient voté pour Obama à l’élection de 2012, leur avis sur la politique de « l’Amérique d’abord » de Trump, etc.

Selon Dan O’Sullivan, de la société en sécurité informatique UpGuard, ces prédictions s’avèrent particulièrement justes : « L’exactitude des résultats témoigne de leur talent comme du danger que représente une telle exposition ». Surtout, les fichiers contenaient aussi le numéro personnel RNC ID qui permet d’identifier les données d’une personne anonymisée en les liant à ses nom, prénom et adresse, comme de rechercher plus rapidement d’autres informations parmi celles stockées.

Si ce genre de fuite ne représente pas une première dans le monde, les cas précédemment survenus autour du globe paraissent aujourd’hui dérisoires en comparaison : 93,4 millions de Mexicains avaient ainsi vu leurs données faire l’objet d’une fuite en 2015, quand 55 millions d’électeurs philippins s’étaient fait dérober de telles informations en 2016.