En 2016, les élections américaines ont eu de nombreux rebondissements liés à des piratages de données. D’abord, le parti des démocrates le DNC conduit par Hillary Clinton a été victime d’un piratage de ses emails dont les auteurs seraient des personnes travaillant avec le gouvernement russe, a soutenu la Maison-Blanche. Alors que cette affaire n’avait pas encore fini de livrer ses secrets, le FBI a rapporté des soupçons d’infiltration dans les bases de données des élections de plusieurs États américains. Encore cette fois, les regards des enquêteurs se sont tournés vers des hackers affiliés au gouvernement russe.Après ce forfait, ce fut en août 2016 au tour de Colin Powell, le général quatre étoiles et ancien secrétaire d’État américain sous trois présidents de faire l’objet d’attaques informatiques. La messagerie de l’ancien secrétaire général d’État américain a été piratée et plusieurs commentaires personnels traitant durement les deux candidats pour la maison blanche (Hillary et Trump) sont parvenus à la presse. Jusqu’à la fin des élections américaines, plusieurs cas de piratages ont été rapportés par les autorités de ce pays.
Face à cette menace persistante, des solutions avaient été proposées afin de protéger les élections américaines de toute influence ou ingérence extérieure. En janvier dernier, le gouvernement américain a décidé de classer les systèmes de vote en tant qu’infrastructure critique, ce qui a pour effet de le mettre dans la même catégorie que le réseau électrique du pays et le secteur bancaire. Toutefois, le système de vote demeure toujours sous l’autorité de chaque État.
Dans un souci de renforcer la sécurité de ces systèmes de vote, certains fabricants américains de machines de vote ont exposé leurs machines à des tests de piratage à la conférence Defcon qui a lieu ce week-end à Las Vegas aux États-Unis. Pour la première fois, cette conférence a vu la participation de plusieurs entreprises dont Sequoia AVC Edge, ES&S iVotronic, Diebold TSX, Winvote, et Diebold Expresspoll 4000 qui ont prêté leurs équipements à des fins de tests de sécurité. D’autres machines ont été acquises sur des sites de revente comme Ebay.
Sur les 30 machines de vote disponibles à la conférence, aucune d’entre elles n’a pu résister aux assauts des hackers. « ;Je ne savais pas ce à quoi m’attendre, mais j’ai été surpris par ce que j’ai trouvé ;», a déclaré Thomas Richards, consultant en sécurité. Et d’ajouter qu’il « ;m’a fallu seulement quelques minutes pour voir comment le pirater. ;» La machine testée par Richards avait un firmware développé en 2007, mais comporte des vulnérabilités rapportées depuis plusieurs années.
Sur la machine conçue par AVS WinVote, Windows XP était installé. Un pirate en a profité pour installer Windows Media Player et a rickrollé l’écran de la machine pour jouer la chanson Never Gonna Give You Up de Rick Astley. Sur toutes les machines de Sequoia AVC Edge, les participants sont parvenus à détecter qu’elles sont toutes protégées par un même mot de passe codé en dur.
Schurman, un professeur d’informatique à l’Université de Copenhague au Danemark, qui participait également à la conférence a utilisé une connexion Wi-Fi d’un ordinateur portable pour avoir accès à la machine de vote de Fairfax County utilisée jusqu’en 2015. À partir de là, le professeur disposait de privilèges administratifs suffisants pour voir tous les votes exprimés sur l’appareil, les modifier ou les supprimer complètement. Le professeur explique qu’en situation réelle, il lui aurait fallu environ une minute pour accéder au système.
Sur une autre machine, une autre équipe est parvenue à restaurer les résultats de vote de 2002 alors que les données sur la machine sont censées avoir été nettoyées avant d’avoir été vendues aux enchères par les autorités étatiques qui les ont utilisées auparavant.
Anne-Marie Hwang, une stagiaire de l’entreprise de sécurité numérique Synac, a démontré qu’en utilisant une clé générique en plastique pour imiter celles données aux employés de vote et en connectant un clavier à la machine, elle pourrait avoir accès à la machine avec des privilèges administratifs en appuyant sur Ctrl + Alt + Del et en entrant le mot de passe générique de la machine de vote. En outre, l’équipe de Synac a également démontré qu’il est possible d’accéder à la machine de vote à partir d’une application mobile en installant un programme de bureau distant.
Voici autant de failles que la 25e session de Defcon a révélées à travers son Voting Machine Hacking Village. L’équipe gagnante a piraté une machine de vote en quelques minutes.
Au vu des vulnérabilités révélées, plusieurs personnes trouvent préoccupantes les machines de vote utilisées dans les élections aux États-Unis. Mais certains relativisent en expliquant que les machines de vote ne sont pas connectées à internet ce qui limite la portée des failles. De même, elles font l’objet d’une surveillance physique accrue. Du côté des experts, plusieurs espèrent que ces failles inciteront les autorités américaines à accroître les opportunités de tests de sécurité de ces machines par des acteurs extérieurs.
Source : Defcon, The Hill, Politico, USA Today, Twitter
Et vous ?
Quel est votre sentiment au vu des failles révélées par cette conférence ?Voir aussi
Pwn2Own fête son 10e anniversaire avec des exploits inédits, des participants ont réussi un hack d'une VM et d'Ubuntu 16.10 Pwn2Own 2015 : les hackers en action. Comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés 
Envoyé par Olivier Famien
