Il est de plus en plus courant de voir l'utilisation de systèmes électroniques dans le vote électoral. Qu'il s'agisse du vote en ligne ou des machines à voter électroniques que vous trouverez dans les bureaux de vote, de nombreuses élections utilisent désormais des systèmes électroniques.
Cependant, le vote électronique n'est pas sans risques. L'un des plus gros problèmes est le potentiel de piratage de ces systèmes. Ici, nous expliquerons les différentes façons dont les gens ont trouvé pour pirater les machines à voter.
Lorsque vous vous rendez dans un bureau de vote, vous pouvez trouver une machine à voter électronique sur laquelle vous inscrivez votre vote. C'est au lieu du format traditionnel stylo et papier. L'avantage d'utiliser des machines à voter électroniques est qu'elles peuvent compter les votes plus rapidement et avec plus de précision que le comptage des papiers.
Compte tenu de l'importance de la sécurité lors des élections, vous pourriez penser que ces machines doivent être très sécurisées. Malheureusement, ce n'est pas le cas. Il existe plusieurs façons de pirater ces machines. Et remplacer les machines obsolètes par des machines plus récentes et plus sécurisées coûte extrêmement cher.
Au cours des dernières années à Def Con, une conférence massive sur la sécurité à laquelle assistent de nombreux hackers éthiques, les organisateurs ont organisé un événement appelé le village de vote. Ici, les pirates sont invités à pirater divers types de machines à voter utilisées aux États-Unis. L'idée est de tester si ces machines sont sécurisées.
Malheureusement, ils ne le sont pas. Les pirates ont réussi à compromettre chaque machine à voter disponible lors de l'événement de 2019. Les machines sont disponibles à l'achat sur eBay, ce qui permet aux pirates de s'entraîner facilement à y accéder et à les détourner.
Une autre préoccupation était que de nombreuses pièces des machines à voter proviennent de l'extérieur des États-Unis, ce qui les rend vulnérables aux ingérences étrangères. Par exemple, une machine testée par les pirates contenait du matériel pointant vers une adresse IP étrangère. La fonction de cette connexion n'était pas claire, mais il est préoccupant de l'avoir trouvée.
Chez Def Con, les pirates ont utilisé des méthodes allant de la devinette correcte des mots de passe par défaut faibles à la rupture du cryptage de faible qualité. Pour certains de ces hacks, les pirates devaient être à proximité de la machine pour l'ouvrir ou ajouter du matériel. Mais dans certains cas, les pirates ont signalé qu'ils pouvaient même pirater les machines sans être à proximité.
L'un des problèmes était une machine qui conservait les données des électeurs sur une carte SD cryptée. Mais les clés pour déchiffrer les données étaient stockées en texte brut dans un fichier XML. Cela "a permis à toutes les données d'être facilement accessibles et modifiées, rendant ainsi le cryptage inutile", comme décrit dans un rapport Def Con.
Une autre méthode utilisée par les pirates consistait à accéder au BIOS des machines à voter, car les responsables n'avaient pas défini de mots de passe BIOS. Cela a permis aux pirates un accès complet à tous les paramètres du système. Même si le matériel prenait en charge Secureboot, ce qui empêcherait la machine d'exécuter du code inconnu, les responsables électoraux ne l'avaient pas activé.
Un autre hack de démarrage consistait à insérer une clé USB avec un système d'exploitation Linux installé dessus. Une fois insérée, la machine à voter pourrait être conçue pour démarrer à partir de l'USB. Cela a permis aux pirates d'accéder à la machine et à ses données.
Une autre préoccupation était que, sur certaines des machines à voter, le bloatware n'a pas été supprimé. Il s'agit de logiciels préinstallés provenant du fabricant et qui peuvent présenter des failles de sécurité. Ces trous peuvent permettre à des pirates d'accéder à la machine. Dans un cas, une machine à voter s'est avérée avoir des applications installées comme Netflix, Hulu et Prime Video !
Un expert en sécurité montre comment les pirates peuvent accéder aux machines à voter dans cette vidéo YouTube. Dans ce document, il achète une machine à voter sur eBay et trouve des moyens de la pirater.
Un problème est que le matériel de carte à puce installé sur la carte mère de l'appareil n'était pas sécurisé. Cela signifie que n'importe qui peut utiliser la connexion pour ajouter son propre matériel. Les pirates pourraient ajouter un dispositif de défaite. Il s'agit d'un élément matériel qui interfère délibérément avec le fonctionnement de la machine. L'appareil pourrait même modifier les données lorsqu'elles entrent dans le système, permettant ainsi aux pirates de modifier les votes.
Un autre problème est l'utilisation des cartes à puce en général. La machine permet l'utilisation de cartes à puce pour que les responsables électoraux configurent la machine et collectent des données une fois le vote terminé. Mais les pirates peuvent insérer leur propre carte à puce. Même lorsque la carte est vierge, les pirates pourraient l'utiliser pour accéder aux journaux de la machine. Et cela permet aux pirates de découvrir des vulnérabilités et de voir le total des votes.
Le chercheur peut également accéder aux journaux d'erreurs sur la machine. Ceux-ci peuvent sembler sans importance, mais en fait, ils peuvent contenir une mine d'informations pour un pirate informatique.
Les pirates peuvent utiliser les journaux d'erreurs à la fois pour établir l'historique de la machine et pour voir dans le système d'exploitation sous-jacent. Dans cet exemple, les erreurs proviennent d'un système Windows et les pirates pourraient utiliser ces informations pour rechercher des exploits.
Cependant, ce ne sont pas seulement les machines à voter qui sont vulnérables au piratage. L'infrastructure de vote électronique peut également être vulnérable. Début 2020, Ars Technica a signalé que des partis malveillants avaient peut-être déjà piraté un serveur électoral en Géorgie, avant les élections américaines de 2016 et 2018.
Les pirates ont pu pirater le serveur grâce à l'utilisation de Shellshock, une vulnérabilité dans Unix révélée en 2014. Cette vulnérabilité était particulièrement préoccupante car elle était relativement facile à exploiter et laissait toute machine basée sur Unix ou Linux vulnérable.
Ce problème sur les serveurs électoraux a été corrigé en décembre 2014, mais à ce moment-là, quelqu'un aurait déjà pu utiliser l'exploit et accéder au serveur.
Un autre problème de sécurité du serveur électoral s'est produit en 2016, lorsque des chercheurs ont découvert que le serveur électoral de la Kennesaw State University était vulnérable à une faille de serveur connue sous le nom de Drupageddon. Cela a profité d'une faille dans le système de gestion de contenu Drupal qui s'exécutait sur le serveur.
Le vote électronique présente de nombreux avantages. Cela peut rendre le vote plus facile et plus rapide, et peut être plus précis dans le décompte des totaux. Cependant, il existe également un certain nombre de façons dont les systèmes sont vulnérables au piratage.
Et ce n'est qu'une des façons dont les élections peuvent être piratées. Il ne tient pas compte de facteurs tels que la manipulation des électeurs ou la manipulation des infrastructures. Pour en savoir plus sur les différents types de menaces contre les élections, consultez notre article sur le fonctionnement du piratage électoral.