L'utilisation de systèmes électroniques dans les élections est en pleine expansion, que ce soit pour le vote en ligne ou les machines à voter dans les bureaux de vote. Cependant, ces technologies présentent des risques majeurs de piratage. Découvrez les vulnérabilités réelles identifiées par des chercheurs en sécurité.
Dans les bureaux de vote, les machines électroniques remplacent souvent le bulletin papier traditionnel. Elles permettent un comptage rapide et précis des suffrages. Pourtant, malgré l'enjeu crucial de la sécurité électorale, ces appareils manquent souvent de protections adéquates. Leur mise à niveau coûte cher, laissant de nombreux modèles obsolètes en service.
À Def Con, grande conférence internationale de cybersécurité, le "Voting Village" réunit des hackers éthiques pour tester des machines à voter américaines. En 2019, tous les modèles testés ont été compromis en quelques heures. Ces machines, disponibles d'occasion sur eBay, facilitent les entraînements.
Des composants provenant de l'étranger posent aussi problème, comme un matériel lié à une IP étrangère sur une machine testée, soulevant des craintes d'ingérences.
Les experts ont exploité des mots de passe par défaut faibles, un chiffrement défaillant, ou des accès physiques pour insérer du matériel. Certains hacks étaient même réalisables à distance.
Exemple : une carte SD stockait les données chiffrées des électeurs, mais les clés de déchiffrement figuraient en clair dans un fichier XML, rendant le chiffrement inopérant (rapport Def Con).
Accès au BIOS sans mot de passe, Secure Boot désactivé malgré le support matériel, ou démarrage via une clé USB Linux ont permis un contrôle total.
Du bloatware non supprimé, incluant Netflix ou Hulu sur certaines machines, exposait des failles critiques.
Des vidéos YouTube, comme celle d'un expert achetant une machine sur eBay, démontrent l'accès facile. Les connecteurs de carte mère non sécurisés permettent d'ajouter des dispositifs malveillants modifiant les votes.
Les cartes à puce utilisées pour la configuration sont vulnérables : une carte vierge suffit pour lire les logs et totaux de votes. Les journaux d'erreurs révèlent l'OS sous-jacent (souvent Windows), aidant à cibler des exploits.
Les infrastructures ne sont pas en reste. En 2020, Ars Technica rapportait un serveur géorgien compromis via Shellshock (2014) avant les élections 2016-2018. Une autre faille, Drupageddon (Drupal), touchait un serveur universitaire en 2016.
Si le vote électronique accélère les processus, ses vulnérabilités – physiques, logicielles et réseau – menacent l'intégrité des scrutins. Pour une vue d'ensemble des menaces électorales, consultez notre article sur le piratage électoral.
[]