Pirater le vote électronique ? Une hacker de 11 ans en est capable en 10 minutes

Lors du DefCon, rendez-vous de hackers à Las Vegas, plusieurs ont réussi à pirater des machines à voter. Peu rassurant à quelques mois des élections de mi-mandat.
Les informaticiens (notamment les spécialistes du chiffrement, comme Bruce Schneier), sont nombreux à critiquer le vote électronique et ses vulnérabilités. Le DefCon, rendez-vous annuel à Las Vegas de hackers et de pros de la sécurité informatique, leur donne à nouveau de bonnes raisons de s’inquiéter : pour la seconde année consécutive, le DefCon intégrait cette année un Village de piratage de machine à voter (le Voting Machine Hacking Village), avec comme joujoux de nouveaux ordinateurs de vote, dont beaucoup de modèles qui seront utilisés en novembre aux élections de mi-mandat.

Les machines ont donc été analysées et attaquées par les participants, qui n’ont pas manqué d’y débusquer des bugs. Avec un cri d’alarme, rapporte « Wired » : c’est utile de trouver des bugs, mais encore faut-il des fonds pour les réparer…

Manque de moyens pour assurer la cybersécurité

Or, des intervenants ont souligné ce 10 août que les organisateurs des élections ne peuvent tirer profit de ces découvertes s’ils n’ont pas de financement pour remplacer des équipements obsolètes, investir dans l’amélioration des réseaux, lancer des audits après les élections et recruter des professionnels de la cybersécurité.

Généraliser le vote électronique, la mauvaise idée d’Emmanuel Macron
Alex Padilla, responsable en chef de la Californie pour les élections, a ainsi indiqué que son Etat a besoin de plus de ressources pour pouvoir agir.
Longtemps silencieuse sur la question, l’administration Trump a annoncé le 27 juillet qu’elle « continuerait à apporter le soutien nécessaire aux propriétaires de systèmes électoraux – les Etats et les gouvernements locaux – pour sécuriser leurs élections ».

Jeanette Manfra, responsable en chef de la cybersécurité au Département de la sécurité intérieure (DHS), a quant à elle souligné vendredi au DefCon que les organisateurs des élections « font beaucoup avec peu de ressource, et sont à présent en première ligne face à ces problèmes. Ils ne peuvent pas le faire seuls », rapporte Wired.

« Nous aimerions que vous travailliez avec nous »

Jeanette Manfra a rappelé à cette occasion que le DHS était partenaire du DefCon sur plusieurs sujets depuis des années. « Faire ce genre de choses a beaucoup de valeur à nos yeux. » Lors d’un discours, elle a lancé ce message aux hackers :

« Nous aimerions que vous travailliez pour nous, nous aimerions que vous travailliez avec nous. »
L’enjeu n’est pas mince : alors que les piratages attribués à des Russes en 2016 (piratage de mails, comme au Parti démocrate, mais aussi attaques ou tentatives d’attaques de fichiers électoraux, etc.) nourrissent les polémiques depuis, les élections de mi-mandat ont lieu dans seulement trois mois…

Piratage russe de l’élection américaine ? « L’arme parfaite »
Au sommet sur la cybersécurité organisé par le DHS en juillet, indique le site d’actus tech CNet, le vice-président Mike Pence avait d’ailleurs déjà demandé que les Etats améliorent la sécurité de leurs élections :

« Cela nous inquiète que beaucoup d’Etats n’aient toujours pas de plans concrets de mise à niveau de leurs systèmes de vote, et 14 Etats se débattent pour remplacer des machines de vote obsolètes ne laissant pas de trace papier, avant la prochaine élection présidentielle. »
L’an dernier, les hackers du DefCon étaient parvenus à pirater des ordinateurs de vote (ceux sur lesquels les électeurs votent dans les bureaux de vote) ; cette année, ils étaient invités à pirater le processus de vote tout entier… et ils y sont parvenus.

Une machine de vote piratée en 15 minutes

CNet cite l’exemple d’un appareil Diebold TSX, amené de l’Ohio (Etat au vote incertain et donc très disputé), altéré pour afficher un GIF au lieu de l’écran de vote normal. Le hacker qui a réalisé cela a ouvert et refermé la machine sans laisser de traces extérieures. « Vous pouvez triturer le matériel et personne ne le remarquer », a-t-il assuré. « Pourriez-vous vous fier à votre vote avec ces machines ? Je ne crois pas. »

Un groupe de hackers a quant à lui expliqué comment il a pu compromettre un appareil de vote en 15 minutes, en précisant de quel modèle et quel logiciel il s’agissait. Au moins 70% des machines utilisées cette année au Village sont des modèles utilisés dans les élections américaines, souligne CNet.

Des enfants et des ados ont aussi été invités par le DefCon à hacker des sites de compte-rendu d’élections – ce qu’une jeune fille de 11 ans est parvenue à faire en 10 minutes, signale BuzzFeed. Elle a modifié l’affichage du site du secrétaire d’Etat de Floride [les secrétaires d’Etat sont les responsables des élections dans les Etats fédéraux, NDLR].

Dans ce dessin humoristique sur les logiciels de vote électronique, une comparaison est faite avec la sécurité dans d’autres domaines : « Des concepteurs d’avion sur la sécurité aérienne :

‘Rien n’est infaillible, mais les avions de ligne modernes sont incroyablement résistants. L’avion est le plus sûr des moyens de transport.’

Des ingénieurs du BTP sur la sécurité des ascenseurs :

‘Les ascenseurs sont protégés par de multiples mécanismes testés et éprouvés. Ils sont presque incapables de tomber.’

Des ingénieurs logiciels sur le vote électronique :

‘- C’est terrifiant.
– Vraiment ?
– Ne vous fiez pas aux logiciels de vote et n’écoutez personne qui vous dit que c’est sûr.
– Pourquoi ?
– Je ne sais pas comment résumer ça, mais tout notre secteur est mauvais dans ce que nous faisons, et si vous nous faites confiance, tout le monde va mourir.
– Ils disent qu’ils ont corrigé ça avec quelque chose appelé ‘blockchain’.
– Aaaah !!!
– Quoi qu’ils vous aient vendu, n’y touchez pas.
– Enterrez-le dans le désert.
– En portant des gants.' »
Irréaliste, selon l’association des organisateurs d’élections

L’Association des secrétaires d’Etat a protesté par communiqué contre la présentation à ses yeux alarmiste du DefCon. Selon l’association, si ces exercices sont utiles, le Village du piratage donne une vision irréaliste des systèmes électoraux, notamment parce qu’il donne un accès physique illimité aux machines.

De même, les sites de compte-rendu n’ont qu’une utilité d’information préliminaire lors des élections, et leur piratage ne peut altérer les résultats réels, rassure l’association.

Un rapport sera publié en septembre sur les failles trouvées lors de ce DefCon, ne laissant que 60 jours aux responsables d’élections pour d’éventuelles corrections…

( T. N. du Nouvel’Obs )