Alors que Ron Wyden sénateur de l'Oregon au congrès fédéral était en visite au village de vote ce vendredi à Defcon, la conférence mondiale des hackers, une salle remplie de hackers a appliqué ces compétences au matériel de vote dans un effort enthousiaste pour se conformer aux instructions qui avaient été données.Armés de kits pour pénétrer dans du matériel verrouillé, des câbles Ethernet et des esprits curieux, ils ont eu une occasion en or d'interroger les machines qui mènent la démocratie américaine. En assiégeant des cahiers électroniques et des imprimantes de bulletins de vote, les cousins des pirates informatiques ont voulu exposer les faiblesses qui pourraient être exploitées par des mains moins amicales cherchant à se mêler des élections. (Ce qui pourrait s’apparenter à des tests de pénétrations).
Wyden acquiesça de la tête alors qu'Harri Hursti, fondateur de Nordic Innovation Labs et l'un des organisateurs de l'événement, expliquait que la quasi-totalité des machines de la salle étaient toujours utilisées lors des élections aux États-Unis, malgré les vulnérabilités bien connues plus ou moins ignoré par les entreprises qui les vendent. Hursti a déclaré qu'un grand nombre d'entre eux avaient une connexion Internet, une attaque que les assaillants avertis pourraient exploiter de plusieurs manières.
« Nous avons besoin de bulletins de vote en papier, les gars », a déclaré Wyden. Après que Wyden soit parti, quelques pirates ont échangé des expressions confuses avant de déterminer qui il était. « Je ne m'attendais pas à voir des sénateurs ici », a déclaré l'un d'eux en riant.
En trois ans d'existence, le Village de vote Defcon et la conférence en général sont devenus des destinations non seulement pour les pirates, mais également pour les législateurs et les membres du monde du renseignement qui tentent de comprendre les failles du système électoral qui ont permis aux pirates russes d'intervenir dans l'élection de 2016 et qui pourrait être exploitées à nouveau en 2020.
Le programme de cette année impliquait le piratage du matériel de vote ainsi que des séances avec des responsables des élections et des experts en sécurité, une démonstration d'un système de vote ayant un coût d’environ 10 millions de dollars. Les responsables des élections aux niveaux local et régional se sont réunis avec des pirates informatiques pour résoudre le problème de la sécurisation des élections.
Les sceptiques ont souvent parlé de la nécessité d'un audit approfondi des résultats des élections, d'un financement accru et d'une transparence accrue de la part des fournisseurs. L'appel aux bulletins de vote papier était un refrain commun. Au moment des élections de mi-mandat de 2018, le Delaware, la Géorgie, la Louisiane, le New Jersey et la Caroline du Sud ne disposaient d'aucune piste vérifiable.
« Au moment où nous parlons, les responsables des élections achètent des systèmes électoraux qui ne seront plus à jour dès qu’ils ouvriront la boîte », a déclaré Wyden dans le discours liminaire du Voting Village. « C'est l'équivalent de la sécurité électorale de mettre nos forces armées là-bas pour affronter les superpuissances avec un tireur d'élite ».
Les Démocrates ont présenté deux projets de loi qui exigeraient des mesures de sécurité sous papier pour sauvegarder les machines à voter, imposer des vérifications après les élections et établir des normes de sécurité pour les fournisseurs de technologies électorales. Mais le chef de la majorité au Sénat, Mitch McConnell (R-Ky.) a plusieurs fois bloqué le vote sur les projets de loi, affirmant que la sécurité des élections incombait aux États.
« En 2016, la sécurité des infrastructures électorales au niveau local et régional faisait cruellement défaut », indique le rapport de la commission du renseignement du Sénat publié le mois dernier. « Les bases de données d'inscription des électeurs n'étaient pas aussi sécurisées qu'elles auraient pu l'être. Les équipements de vote vieillissants, en particulier les machines à voter dépourvues de support papier des votes, étaient exposés à l’exploitation par un adversaire inconnu. Malgré l'accent mis sur cette question depuis 2016, certaines de ces vulnérabilités demeurent ».
Les élus locaux de Defcon ont fait écho de ces craintes. Joel Miller, un auditeur électoral du comté de Linn, dans l'Iowa, et un participant récurrent de Defcon, a déclaré qu'il avait été obligé de déposer une requête en vertu de la loi sur la liberté de l'information et une plainte relative à la loi Help America Vote Act pour tenter d'obtenir des réponses aux problèmes de sécurité liés à l'inscription des électeurs. Les pirates russes ont tenté de s'infiltrer dans le système en 2016 et, bien qu'une réforme du système, vieux de 14 ans, soit imminente, les autorités ont déclaré que celui-ci ne serait pas remplacé avant 2020.
« Nous ne savons pas ce qui se passe avec le système », a déclaré Miller. « Je suis un ancien directeur informatique et j'en sais plus sur ce que je ne sais pas, mais c'est presque pire que si je n'avais pas de formation en technologie. Je suis conscient qu'il y a plus de menaces que nous ne pouvons en gérer ».
Un porte-parole du secrétaire d'État de l'Iowa a défendu la sécurité des systèmes de l'État et a indiqué que le chef de cabinet du secrétaire d'État Paul D. Pate était également présent à Def Con cette année. « Le système de l'Iowa est sécurisé et nous travaillons chaque jour pour qu'il reste sécurisé », a déclaré le porte-parole, Kevin Hall, dans un communiqué envoyé par courrier électronique. « Les menaces à la cybersécurité évoluent constamment et nous évaluons en permanence ce qui est en place et ce que nous pouvons faire. C'est une course sans ligne d'arrivée ».
Avant les élections de 2016, les pirates informatiques russes ont installé des logiciels malveillants sur le réseau de l'entreprise de VR Systems, a rapporté le Washington Post. Le village électoral a déjà fait face à des pressions extrêmes de la part d’entreprises d’équipements de vote et de représentants gouvernementaux. Ils ont fait valoir que l'environnement gratuit de Defcon ne reproduisait pas les réalités de la sécurité le jour du scrutin. L’Association nationale des secrétaires d’État a condamné cet exercice comme « irréaliste » l’année dernière, et Election Systems & Software, l’un des principaux fournisseurs de machines à voter, a envoyé une lettre à ses clients pour faire valoir le même argument.
« Les mesures de sécurité matérielles rendent extrêmement improbable qu'une personne non autorisée ou mal intentionnée puisse accéder à une machine à voter », a écrit ES & S l'année dernière. ES & S et VR Systems n'ont pas répondu aux demandes de commentaires sur le village de cette année. Hursti a déclaré que les vendeurs avaient utilisé des menaces juridiques pour « créer un effet dissuasif » sur la recherche de leurs équipements, et qu'ils « essayaient activement de tirer sur les messagers » plutôt que de prendre en compte les faiblesses de leurs produits.
Ce manque de coopération a incité les organisateurs à rechercher des machines à utiliser dans le village du vote : certains équipements ont été récupérés d'un entrepôt où le toit s'est effondré, tandis que d'autres ont été pris dans des enchères excédentaires du gouvernement ou sur eBay, a déclaré Hursti. « Une réfutation consiste à dire que nous donnons beaucoup d'accès aux machines, mais en réalité, c'est comme ça que la recherche fonctionne. Que vous puissiez ou non me montrer comment attaquer cette machine en configuration x ou y est hors de propos », a déclaré Hursti. « Il s’agit de découvrir la vulnérabilité et de l’arrêter avant tout risque ».
Source : The Washington Post
Et vous ?
Le destin des Etats-Unis repose sur ces machines ? Peut-on faire confiance aux machines de vote électronique ? La société américaine, est-elle si capitaliste à ce point ? Voir aussi :
DEFCON 2018 : la vulnérabilité des machines à voter est de nouveau démontrée, quelques minutes ont suffi aux pirates pour en prendre le contrôle DEFCON 2018 : une machine à voter actuellement utilisée dans 23 États est susceptible d'être piratée à distance, via une attaque réseau Voter via son smartphone : le pari audacieux d'une société américaine qui a lancé une phase pilote, avec des troupes déployées à l'étranger 
