Quarante-quatre tentatives en six minutes. Voilà tout ce qu'il a fallu pour que le budget britannique 2026 s'échappe sur la toile le 26 novembre dernier. L'enquête officielle pointe un coupable aussi banal que gênant : un plugin WordPress mal configuré et un serveur oublieux.
L'Office for Budget Responsibility britannique vit depuis peu un cauchemar administratif. Ce 26 novembre, les détails secrets du budget économique et fiscal du Royaume-Uni ont fuité en ligne 27 minutes avant que la ministre Rachel Reeves n'en parle au Parlement. Deux cents pages d'informations sensibles, téléchargées 43 fois, consultées depuis 32 adresses IP différentes. L'agence Reuters a été la première à briser l'embargo, transformant cet incident technique en tempête politique d'une rare intensité.
Quand WordPress devient une passoire numérique
Les enquêteurs ont dû remonter jusqu'à 5h16 du matin ce fatidique 26 novembre. Six minutes seulement après que le serveur reçoive un email confirmant sa mise à jour, la première tentative d'accès au document apparaît dans les journaux. Entre ce moment et 11h30, quarante-quatre requêtes venues de sept adresses IP distinctes frappent à la porte, en vain.
Tout change à 11h35. Un développeur externe charge enfin le fichier PDF sur le serveur. Instantanément, les accès se multiplient. L'adresse IP qui avait cogné quarante-deux fois à la porte ne rate pas cette fois l'occasion d'entrer. Elle est suivie par trente et une autres. Pendant trente-deux minutes, quiconque possédait l'adresse exacte pouvait consulter les secrets budgétaires du gouvernement britannique. Trente-deux minutes que l'OBR n'avait pas.
Deux erreurs techniques, totalement banales, expliquent ce fiasco. D'abord, le plugin Download Monitor utilisé par l'équipe de publication crée une adresse web en clair, prévisible, contournant tout contrôle d'accès. Les équipes internes ignoraient cette particularité. Cela ressemble à installer une serrure chère tout en laissant la clé sur le palier. Ensuite, le serveur hébergé par WP Engine manquait cruellement de configuration de sécurité basique. Un simple blocage au niveau du serveur aurait renvoyé un message « accès refusé ». Mais cette protection n'existait tout simplement pas (et non, l'hébergeur n'est pas à en faute sur ce coup).
Une histoire qui se répète
La véritable humiliation surgit quand les enquêteurs découvrent qu'un incident identique s'est produit en mars 2025 lors de la publication précédente. Une adresse IP a accédé au document à 12h38, soit bien avant la publication officielle. Peut-être un journaliste, peut-être un représentant gouvernemental. L'incertitude persiste.
Le rapport souligne un détail savoureux : WordPress « peut être difficile à configurer et que des erreurs sont facilement commises ». Une réalité que les développeurs web connaissent depuis des années. Tom Rankin, expert WordPress britannique, qualifie l'incident d'« erreur utilisateur simple ayant eu un impact considérable ». Richard Hughes, président de l'OBR, a démissionné le 1er décembre, portant la responsabilité de ce désastre. L'enquête recommande un audit complet des publications depuis 2024.
Source : OBR
