Pour rappel, les systèmes de vote américains ont fait l'objet d'attaque informatique en 2016 lors des élections présidentielles. Et à cause des menaces toujours persistantes de piratage qui pesaient sur les États-Unis, l’an dernier, de nombreux fabricants de machines électorales ont prêté leurs produits aux participants de la DEFCON 2017. Ceux-ci ont donc conduit toutes sortes d’attaques sur les machines afin de tester leur niveau de sécurité. Sur les 30 machines mises à disposition, aucune n’avait pu résister aux assauts de ces testeurs circonstanciels. Ce qui, en soi, est réellement inquiétant. Certains avaient cependant relativisé la gravité des vulnérabilités en avançant que les machines ne sont pas connectées à Internet. Un an plus tard, la même procédure a été reconduite. Un lot de machines électorales a été mis à disposition des hackers de la DEFCON 2018 afin que ceux-ci puissent mener des tests dessus. Rapidement, un hacker s’est montré capable de transformer une des machines électorales en juke-box jouant de la musique. Cependant, bien plus que les menaces de piratage des machines elles-mêmes, c’est le risque de campagnes de désinformation et d’influence qui inquiète les responsables électoraux des USA.
« Évidemment, nous voyons ce qui s'est passé en 2016 et ce à quoi nous devrions nous attendre à l'avenir, c'est une attaque à deux volets », a déclaré Noah Praetz, responsable des élections du comté de Cook en Illinois. Il ajoute que le premier volet d’une attaque de ce genre – le ciblage de l’infrastructure électorale – était relativement gérable par les fonctionnaires électoraux responsables des systèmes, mais que le second – l’utilisation des informations recueillies grâce au piratage – était beaucoup plus compliqué à gérer. Le Centre Belfer pour la science et les affaires internationales à la Harvard Kennedy School enseigne aux fonctionnaires électoraux ce qu’ils doivent faire en cas de piratage classique, d’opération de désinformation ou de combinaison des deux.
Le centre leur suggère d'établir des plans de surveillance et, le cas échéant, de réagir efficacement aux campagnes de désinformations sur les médias sociaux. Les responsables électoraux semblent également de plus en plus préoccupés par le fait que le processus de communication des résultats des élections pourrait également être ciblé. Le secrétaire d’État de Virginie-Occidentale, Mac Warner a déclaré que le processus par lequel les résultats des élections sont communiqués par les responsables au public doit être particulièrement protégé et que les organes de presse doivent être vigilants.
« Il est malheureusement si facile de pirater les sites web qui rapportent les résultats des élections que nous ne pouvions pas le faire dans cette salle parce que les pirates adultes le trouveraient ennuyeux », a déclaré Jake Braun, un des organisateurs de la DEFCON. Ainsi, près de 40 hackers entre 6 et 17 ans ont été lâchés sur des sites fictifs de proclamation de résultats. La plupart de ces mini-pirates ont réussi à prendre le contrôle des résultats et à les manipuler à leur guise.
La National Association of Secretaries of State (NASS) opinera que ces sites mis à la disposition des jeunes pirates étaient en dessous du niveau des vrais sites de proclamation de résultats. « Il serait extrêmement difficile de répliquer ces systèmes, car de nombreux États utilisent des réseaux uniques et des bases de données personnalisées avec des protocoles de sécurité nouveaux et mis à jour », a ajouté la NASS. L’association continuera en critiquant l’approche de la DEFCON. Selon elle, donner aux hackers un accès illimité aux machines est complètement hors du cadre de la réalité. « Notre principal souci avec l'approche adoptée par DEFCON est qu’elle utilise un pseudo-environnement qui ne reproduit aucunement les systèmes électoraux, les réseaux ou la sécurité physique des États », a déclaré l’association.
Des déclarations promptement contestées par Jake Braun qui a dit qu'il serait tout à fait possible pour les pirates d'accéder aux machines physiquement ou virtuellement. « Ce n’est pas comme si ces machines étaient conservées à Fort Knox », a-t-il ajouté, un brin ironique. Il précisera également que le fait que beaucoup de ces machines électorales ne soient jamais connectées à Internet n’implique pas nécessairement qu’elles ne puissent pas être piratées.
Sources : DefCon hacking conference, CNN
Et vous ?
Qu’en pensez-vous ? Quelles solutions proposeriez-vous pour une meilleure sécurisation des machines électorales ?Voir aussi
Defcon 2017 : les hackers parviennent à pirater toutes les machines de vote américaines disponibles, l'attaque gagnante se fait en quelques minutes Fake news : Facebook dit avoir identifié une tentative coordonnée d'influence électorale aux USA, 32 comptes et pages ont été supprimés Le Sénat rejette les propositions de loi contre la manipulation de l'information en période électorale sans même les examiner en séance 
