Pirater des élections : des enfants montrent à quel point c’est facile
Pirater des élections, un jeu d'enfants ? Lors de la DEF CON de Las Vegas, la grand-messe annuelle autour de la sécurité informatique, des enfants pouvaient participer à un atelier consistant à pirater la réplique d'un site électoral américain prétendument sécurisé. Avec quelques conseils, et en une demi-heure, 90% des enfants participants, âgés de 8 à 13 ans, sont parvenus à changer le nom des candidats et le nombre de votes !
Chaque année le DEF CON, série de conférence autour de la sécurité informatique, met le doigt sur les faiblesses des infrastructures stratégiques. Et à une époque où internet est devenu un enjeu géopolitique, où les soupçons de piratage d'élections par des puissances étrangères inquiètent, les organisateurs de l'événement ont décidé de construire un “village de vote” dans lequel étaient organisé des ateliers autour de la sécurité du système électoral, particulièrement américain. L'un des ateliers proposait à des enfants entre 8 et 16 ans de pirater des copies de sites électoraux américains. Avec quelques conseils…
Pirater des élections est un jeu d'enfant, littéralement
Résultat : 35 des 39 enfants ayant participé à l'atelier sont parvenus à leurs fins en moins de 30 minutes – notamment changer le nom des candidats ou le nombre de voix. Matt Blaze, chercheur en sécurité intervenant lors des conférences estime que c'est surtout “la rapidité absurde” avec laquelle ces enfants ont été capable de contourner la sécurité de ces sites “qu'il est intéressante de constater”. Tancée sur les réseaux sociaux, l'Association américaine des Secrétaires d'État a tenté de discréditer l'expérience dans un communiqué : “notre principal soucis avec l'approche adoptée par le DEF CON c'est qu'ils utilisent un pseudo-environnement qui ne réplique en aucun cas les systèmes d'élections, réseaux et systèmes de sécurité physique”.
De son côté Nico Sell, fondateur d'une ONG r00tz Asylum qui apprend aux enfants la rétro-ingénierie, la soudure, cryptographie, et la “divulgation de bugs responsable” estime au contraire : “Ce sont des répliques fidèles de tous ces sites. Ces choses ne devraient pas être faciles à pirater en 30 minutes par un enfant de 8 ans. C'est de la négligence collective”. Et d'ajouter : “les vulnérabilités que ces enfants exploitaient n'étaient pas des répliques. Elles étaient réelles“.
Dans un tweet, Matt Blaze explique qu'il y a un “consensus” parmi les experts pour que les systèmes de votes soient doublés par des systèmes papier : “1. des votes papiers (comptés dans chaque bureau par scan optique) 2. des audits de réduction des risques obligatoires 3. plus de ressources pour protéger les infrastructures”, estime-t-il. Il ajoute qu'une centaines d'officiels américains seraient passé par son stand pour lui dire “à quel point ils ont apprécié d'apprendre de cette opportunité”. Et vous, pensez-vous que nous sommes “prêts” pour le vote électronique ou qu'il vaudrait mieux tout simplement s'en passer ?
Number one question at @VotingVillageDC this week: given how insecure voting systems are, what should we do? Overwhelming consensus among experts:
1 – Paper ballots (precinct-counted optical scan)
2 – Mandatory risk-limiting audits
3 – More resources to protect back-end systems— matt blaze (@mattblaze) August 13, 2018