App de vote du Parti démocratique de l'Iowa pour les présidentielles : pas de contrôle de sécurité, pas de test, pas de formation.

Le PDG de la société qui a gagné le marché s'excuse

Nous sommes en Iowa où le Democratic Party voudrait avoir un caucus. Il s'agit d'une réunion de membres locaux du parti qui expriment leur soutien à un candidat en se réunissant dans différentes parties d'une grande salle. Tout candidat qui n'obtient pas le soutien d'au moins 15% des personnes présentes est éliminé, et ses partisans sont invités à sélectionner un candidat de second choix. Une fois ce processus terminé, les chiffres sont comptabilisés et communiqués aux chefs des partis.

Par le passé, le reporting se faisait généralement par téléphone et seuls les chiffres définitifs étaient communiqués. Cette année, le parti a décidé de passer au reporting via une application et de rapporter non pas un seul résultat, mais trois :

• le vote initial que chaque candidat avait obtenu ;
• le deuxième choix des membres qui avaient besoin de réaffecter leurs votes ;
• les délégués finals qui ont gagné.

Mais le parti s'est retrouvé dans une position embarrassante de ne pas pouvoir communiquer les chiffres en raison de problèmes signalés lors de l'utilisation d'une l'application. Les échecs entourant l'utilisation de la nouvelle application du caucus de l'Iowa ont vu le Parti démocratique de l'Iowa incapable de rendre rapidement compte des résultats du premier vote des membres du parti pour ses candidats à la présidentielle de 2020. Un rapport sur la débâcle la décrit comme une « catastrophe systématique ».

Qu'est-ce qui n'a pas fonctionné avec l'application du caucus de l'Iowa ?

Selon un rapport du New York Times, il y avait trois problèmes. Tout d'abord, un manque de contrôle de sécurité pour s'assurer que l'application n'a pas été programmée pour déformer les résultats.

Les experts en cybersécurité craignaient qu'il n'ait pas été vérifié, testé à grande échelle ou même montré à des experts indépendants avant d'être introduit dans l'Iowa. Christopher C. Krebs, directeur de l'agence de cybersécurité du Département de la sécurité intérieure, a déclaré lundi soir que l'application mobile n'avait pas été approuvée ou évaluée par l'agence.

Ensuite, il n'y avait apparemment aucun test d'utilisateur final par ceux qui seraient tenus d'utiliser l'application la nuit.

« Cette application n'a jamais été utilisée dans aucune élection réelle ni testée à l'échelle de l'État et son utilisation n'est envisagée que depuis deux mois », a déclaré David Jefferson, informaticien au Lawrence Livermore National Laboratory, qui siège également au conseil d'administration de Le vote vérifié, une organisation d'intégrité électorale non partisane.

Le président du comté de Polk, Sean Bagniewski, a déclaré qu'il avait exprimé ses préoccupations à l'avance. « Lorsque vous avez une application que vous envoyez à 1 700 personnes et que beaucoup d’entre elles ne sont pas familières avec les applications et ce genre de choses, cela pourrait valoir la peine de faire quelques mois de tests ».

Enfin, aucun des responsables du parti n'avait été formé à son utilisation.
« L'application n'était pas incluse dans la formation que tout le monde devait suivre », a déclaré Zach Simonson, président du Parti démocrate dans le comté de Wapello.

Certains n'auraient même pas téléchargé l'application à l'avance !


Pour les experts, cela est une illustration qui vient rappeler pourquoi il serait trop dangereux de passer au vote en ligne lors des élections : Matt Blaze, professeur d'informatique et de droit à Georgetown, a déclaré que l'introduction d'applications au milieu d'une élection posait de nombreux problèmes. Tout type d'application ou de programme qui repose sur l'utilisation d'un réseau de téléphonie mobile pour fournir des résultats est vulnérable aux problèmes à la fois sur l'application et sur les téléphones utilisés pour l'exécuter, a-t-il rappelé.

« Le consensus de tous les experts qui y ont réfléchi est sans équivoque », a ajouté Blaze. « Internet et le vote mobile ne devraient pas être utilisés en ce moment lors des élections civiles ». Et de souligner que toute technologie devrait être testée et retestée par la communauté de cybersécurité plus large avant d'être introduite publiquement, afin que la communauté puisse évaluer tout ce qui pourrait occasionner le petit bogue à la vulnérabilité majeure.

« Je pense que la règle d'or la plus importante pour introduire la technologie dans le vote est extrêmement conservatrice », a-t-il déclaré.

J. Alex Halderman, professeur d'informatique à l'Université du Michigan, a déclaré : « Il s'agit d'un rappel urgent de la raison pour laquelle le vote en ligne n'est pas prêt pour les heures de grande écoute ».

La déclaration complète du président du Parti démocrate de l'Iowa, Troy Price

« Hier soir, plus de 1 600 caucus de circonscription se sont réunis dans l'État de l'Iowa et dans les caucus satellites du monde entier pour démontrer nos valeurs communes et notre objectif de reprendre la Maison-Blanche. Les nombreux bénévoles qui dirigent les sites des caucus, les nouveaux électeurs qui s'inscrivent comme démocrates et les voisins qui se parlent de l'avenir de notre pays ont démontré la force de notre parti.

« Nous avons toutes les indications que nos systèmes étaient sécurisés et qu'il n'y a pas eu d'intrusion de cybersécurité. En préparation des caucus, nos systèmes ont été testés par des consultants indépendants en cybersécurité.

« Alors que les résultats du caucus de la circonscription commençaient à arriver, le PDI les a soumis à un contrôle de précision et de qualité. Il est devenu clair qu'il y avait des incohérences avec les rapports. La cause sous-jacente de ces incohérences n'était pas immédiatement claire et nécessitait une enquête, ce qui prenait du temps.

« Alors que cette enquête se déroulait, le personnel de l'IDP a activé des mesures de sauvegarde préplanifiées et saisi les données manuellement. Cela a pris plus de temps que prévu.

« Dans le cadre de notre enquête, nous avons déterminé avec certitude que les données sous-jacentes collectées via l'application étaient solides. Alors que l'application enregistrait des données avec précision, elle ne rapportait que des données partielles. Nous avons déterminé que cela était dû à un problème de codage dans le système de déclaration. Ce problème a été identifié et résolu. Le problème de rapport de l'application n'a pas eu d'incidence sur la capacité des présidents de circonscription à communiquer...