Lors de la Def Con, la convention annuelle des hackers, qui vient juste de s’achever à Las Vegas, plusieurs participants ont montré combien il était simple de prendre le contrôle de machines à voter utilisées lors des élections aux États-Unis.
Aux États-Unis, les élections de mi-mandat approchent et, avec elles, les derniers ajustements pour assurer l’intégrité et la fiabilité du système électoral. Lors de la Def Con, la grand-messe annuelle des hackers qui vient de s’achever à Las Vegas, plusieurs participants se sont penchés sur la sécurité de modèles de machines à voter.
Les participants du “Voting village“, un atelier spécifiquement consacré à la sécurité informatique des élections, sont parvenus à trouver des façons de manipuler le vote et le comportement des machines, parfois de façon étonnamment simple. Lors de l’édition précédente, des vulnérabilités avaient été identifiées dans vingt-cinq d’entre elles, issues de cinq modèles différents, dont quatre toujours en usage aux États-Unis.
La mise à l’épreuve a été initiée vendredi 10 août, indique Matt Blaze, professeur d’informatique à l’Université de Pennsylvanie et l’un des animateurs du “village”, en montrant quelques-unes des machines testées.
A pallet of supposedly unhackable DRE voting machines awaiting its fate at the @VotingVillageDC. Doors open Friday at 10am. pic.twitter.com/DNQbqKEOIr
— matt blaze (@mattblaze) August 10, 2018
Moins de deux minutes
Parmi les piratages les plus remarqués, celui d’une machine utilisée dans dix-huit Etats américains. En quelques manipulations simples, une participante indique avoir appris à obtenir l’accès administrateur de l’appareil, et donc, à en prendre le contrôle. “Cela ne requiert aucun outil et prend moins de deux minutes”, avertit-elle, en se disant inquiète pour les prochaines élections.
https://twitter.com/RachelTobac/status/1028437783050776576
Dans une salle dédiée aux hackers en herbe, une jeune fille de 11 ans a piraté une réplique du site du secrétariat d’Etat de Floride en moins de 10 minutes, et modifié les résultats d’un vote de 2016, rapporte BuzzFeed. Changer l’affichage du vote ne revient pas à en changer le résultat effectif, s’est défendu le Secrétariat d’Etat de Floride.
Enfin, un participant est parvenu à transformer l’une des machines testées – une Diebold TSX – en véritable jukebox, capable de diffuser de la musique et d’afficher des Gifs Illuminati.
— DEF CON VotingVillage (@VotingVillageDC) August 10, 2018
La procédure lui aura néanmoins pris quelques heures, reconnaît-il auprès de BuzzFeed, admettant également qu’il serait très difficile de parvenir à un tel résultat dans des conditions réelles.
Des constructeurs prévenus
Ces tests, qui avaient pour objectif de permettre aux constructeurs de sécuriser davantage leurs machines, ont suscité des réactions courroucées de la part des principaux intéressés. Ces derniers estiment qu’ils ne sont pas représentatifs des risques que pourraient comporter des élections en bonne et due forme.
Quelques heures en amont de l’expérimentation, ZS&S, l’un des plus importants fournisseurs d’équipements de vote aux Etats-Unis, a tenu à rassurer ses clients. Les tests effectués dans le cadre du “voting village” seraient impossibles à réaliser en salle de vote, les mesures de sécurité empêchant notamment de rester plus de quelques minutes à proximité d’une machine, rappelle l’entreprise par mail.
In advance of the @VotingVillageDC tomorrow, ES&S sent a message to customers today with their comments about the hacking village and the security of their machines. I've pasted their memo below, with some annotation from me. pic.twitter.com/6eQUYuuGJA
— Kim Zetter (@KimZetter) August 10, 2018
L’Association nationale des Secrétariats d’Etat, qui rassemble certains hauts fonctionnaires chargés de veiller au bon déroulement des élections, déplore auprès de CNN le fait que ce “pseudo exercice”, ne réplique en aucune manière “les systèmes d’élection, les réseaux ou la sécurité physique” déployés en conditions réelles.
“L’attitude des vendeurs de systèmes électoraux et d’une partie -qui diminue rapidement- de leurs clients à l’égard de la détection de failles de sécurité en 2018 est globalement similaire à celle des vendeurs de logiciels dans les années 90: nier le problème et attaquer celui qui en fait part”, tempère néanmoins Matt Blaze sur Twitter. La vigilance reste en effet de mise à l’égard des machines à voter, alors que l’enquête sur l’ingérence russe lors de l’élection présidentielle de 2016 n’en finit pas de prendre de l’ampleur.
Avec bfm
