Les machines à voter sont-elles fiables?
Nous envoyons des courriels au lieu de lettres manuscrites, nous achetons des Kindle au lieu de livres, nous utilisons des iPads au lieu de stylos et de feuilles et pourtant, le vote est généralement laissé au papier. Ce dernier, malgré quelques failles, est un système dans lequel il est plus facile d’avoir confiance. Chaque citoyen peut surveiller le processus du début à la fin, recompter les bulletins, et aucune étape du vote ne se fait sans témoins. Cependant, aux États-Unis, les nécessités parfois contradictoires de compter les votes avec précision, d’empêcher la fraude électorale (achat de voix…) et de vérifier l’exactitude du dépouillement total les a mené très tôt à l’utilisation de machines à voter, mécaniques puis informatiques. Mais, aux yeux du public, cet outil apparaît comme une “boîte noire” dont le résultat serait assez facile à manipuler.
Propriétés attendues d’un vote
Afin qu’un vote se déroule correctement, certaines règles doivent être respectées: un seul vote par personne autorisée, l’anonymat, le comptage doit être exact, chaque option du vote doit être présentée de la même manière (il ne faut pas faciliter une option plutôt qu’une autre) et on doit pouvoir vérifier que l’on a voté pour l’option souhaitée.
Sur les machines à voter plusieurs mécanismes sont mis en place afin de garantir ces propriétés. Par exemple, on peut vérifier que la personne est autorisée à voter en lui demandant d’introduire sa carte de vote dans la machine. Afin de garantir que le comptage est exact et qu’il n’a pas été altéré, le système de vote est équipé de protocoles de sécurité empêchant toutes interventions externes. Pour vérifier que le vote a été bien pris en compte de la manière désirée, la machine peut imprimer un bulletin papier avec le choix sélectionné par l’utilisateur.
Malgré toutes ces précautions, les machines à voter sont vulnérables aux attaques. En effet, lors de la Defcon 2017, des machines à voter ont été mises à disposition afin de tester leurs résistances aux attaques. A la fin de l’événement, toutes les machines ont été compromises.
Des risques dès la fabrication
Les machines à voter sont vulnérables dès la phase de fabrication. En effet, elles ne sont pas forcément fabriquées dans le pays où elles sont utilisées. Ainsi, on peut penser qu’un état voulant interférer dans le processus de vote d’un pays pourrait, dès la phase de fabrication, compromettre la machine.
Si la partie logicielle n’est pas fabriquée à l’étranger, il est tout à fait possible qu’un développeur insère volontairement (ou pas) une backdoor lors de la conception du logiciel. Dans les deux cas, celle-ci peut être utilisée pour agir sur les résultats des votes. On l’a vu dans le cas “Juniper”, où les constructeurs utilisaient un outil dont les failles étaient connues. La NSA est soupçonnée de l’avoir placée volontairement afin d’avoir un point d’entrée sur ces routeurs. Cette faille a ensuite été exploitée par des hackers.
Des machines pas si isolées
Afin de diminuer le risque d’attaques, il est nécessaire que les machines ne soient pas connectées à Internet ni à aucun système connecté à Internet, et qu’elles ne puissent en aucun cas être contrôlées à distance.
Malgré cela, en 2018, ES&S, l’un des plus gros fabricant de machines à voter, a admis avoir installé pcAnywhere, un logiciel d’administration à distance, sur son système de gestion de votes (Election Management System) entre 2000 et 2006. Ce système permet de récupérer les résultats de toutes les machines à voter et, dans certains pays, de programmer leurs logiciels. Ainsi, les techniciens de ES&S avaient la possibilité d’accéder au système à distance, ce qui est déjà une vulnérabilité importante en soi. De plus, si pcAnywhere présente des failles, un hacker pourrait s’introduire dans le système de vote par son intermédiaire. Ce scénario est d’autant plus envisageable qu’en 2006, le code source de pcAnywhere a été récupéré par des hackers et en 2011, une faille de sécurité leur a été rapportée. Cette faille permet de prendre le contrôle de n’importe quel système où le logiciel est installé car il ne filtre pas correctement les données d’authentification, ce qui laisse à l’attaquant la possibilité d’exécuter son code.
Albert, une solution efficace?
Suite aux tentatives d’interférences de l’état Russe pendant les élections américaines de 2016, le gouvernement américain a décidé d’agir de manière préventive en installant Albert, un capteur logiciel, dans l’infrastructure du système de votes. Albert est une solution de surveillance réseau développée par le CIS (Center Of Internet Security), un organisme à but non lucratif basé à East Greenbush, N.Y., qui aide les gouvernements, les entreprises et les organisations à lutter contre les intrusions informatiques.
Il utilise le moteur IDS (système de détection d’intrusion) de Suricata pour identifier et signaler avec précision les activités malveillantes. Albert surveille donc les paquets réseau bruts et les convertit au format NetFlow pour stockage et analyse. Les données ne résident pas sur le capteur, elles sont compressés, chiffrées et envoyées au SOC (Security Operation Center) du CIS pour analyser les événements liés à la cybersécurité générés par Albert. Le CIS gère tous les capteurs déployés via Albert, y compris les mises à jour du système d’exploitation, du moteur IDS, des outils NetFlow et des jeux de signatures. Ainsi, seul cet organisme détient le contrôle sur ces capteurs.
De plus, l’appareil extrait des «signatures» qui pourraient pointer vers des acteurs malveillants, telles que des adresses de protocole Internet associées à des pirates déjà connues. Cela fonctionne seulement si les signatures sont déjà connues par le CIS, il n’est donc pas capable d’identifier par lui même de nouvelles signatures malveillantes. Enfin, si des attaquants utilisent des mots de passe volés sur les systèmes des responsables des élections, ils peuvent masquer leurs activités qui seront reconnues comme légitimes par Albert.
Les IDS sont utilisés généralement à la suite de la découverte d’une faille logicielle, en attendant le correctif adapté, pour détecter les attaques connues et pas trop ciblées. Cependant, l’infrastructure des systèmes de votes est spécialisée donc une attaque sur ces systèmes est ciblée, ce qui rend la détection difficile.
Au lieu d’améliorer la sécurité des systèmes de votes, les différents états américains s’empressent de se procurer ce capteur, le considérant comme un outil de sécurité précieux. 36 des 50 états l’utilisent aujourd’hui.
Les machines à voter présentent donc de nombreuses failles. Entre celles qui ont été exploitées et les vulnérabilités potentielles, il est donc difficile de faire confiance à un tel système. Le gouvernement Américain, n’arrivant pas à garantir une sécurité maximale sur le vote électronique, a donc fait le choix d’utiliser Albert, qui, comme on l’a vu, n’est pas une solution idéale. C’est donc un outil “marketing” permettant de faire croire à la population que tout est sous contrôle, et qu’il peuvent faire confiance à l’issue du vote. En effet, la confiance dans le résultat est presque aussi importante que le résultat lui-même, car si le doute plane, celui-ci sera considéré comme illégitime pour une partie de la population. En utilisant cette solution, le gouvernement américain cherche à regagner la confiance des électeurs en leur vendant une impression de sécurité.
