Les hackers éthiques recherchent des vulnérabilités dans les systèmes électoraux américains au milieu des efforts politiques et juridiques pour bloquer leur travail.
Après le résultat surprenant de l’élection présidentielle américaine de 2016, beaucoup craignent que le système de vote du pays soit vulnérable aux attaques extérieures. En réaction, des groupes de « pirates éthiques » peu affiliés ont mis en commun leurs ressources pour étudier les problèmes et tirer la sonnette d’alarme.
Ces groupes visent à sensibiliser les entreprises qui fabriquent des systèmes électoraux numériques, notamment des machines à voter électroniques, ainsi que les autorités locales et étatiques qui supervisent le vote. Mais ces efforts se sont heurtés à la résistance des entreprises qui fabriquent des machines de vote et des législateurs qui réclament de nouvelles règles pour limiter ce genre de travail.
Les pirates éthiques affirment qu’ils peuvent jouer un rôle essentiel dans le maintien de la sécurité des élections. Alors que les systèmes électoraux sont de plus en plus numérisés, ces chercheurs en sécurité avertissent que le grand nombre de réseaux, de matériels et de logiciels déployés doit faire l’objet de toutes les attentions possibles.
« Tous les logiciels sont vulnérables », a déclaré Casey Ellis, directeur technique de Bugcrowd. « Cela dépend simplement du temps que vous mettez à chercher pour trouver ces vulnérabilités. Les humains écrivent du code, et les humains font des erreurs. »
Un groupe de sécurité pour les élections
Alors que tous les yeux sont tournés vers la prochaine élection présidentielle et le patchwork de systèmes de vote utilisés aux États-Unis, le concept de piratage éthique va bien au-delà. De nombreuses entreprises et associations concernées aident les entreprises à sonder leurs systèmes informatiques pour en détecter les faiblesses.
Pour nombre de ces groupes, les machines et systèmes de vote sont devenus une sorte de projet passionnel dans un contexte de préoccupations plus larges concernant les vulnérabilités actuelles. L’année dernière, la commission du Sénat américain chargée des renseignements a découvert que la Russie avait ciblé les systèmes électoraux des 50 États lors des élections de 2016. Bien que le comité n’ait pas nécessairement constaté que des votes avaient été modifiés ou que les résultats avaient changé, il a averti que la Russie avait réussi à accéder à certains systèmes et que ces vulnérabilités importantes existaient toujours.
Alors que les craintes du public se concentrent souvent sur les machines de vote électroniques, le Département de la sécurité intérieure a adopté une vision plus large. Son rapport a défini le système de vote comme suit « les installations de stockage, les bureaux de vote et les lieux de tabulation centralisée des votes utilisés pour soutenir le processus électoral, et les technologies de l’information et des communications pour inclure les bases de données d’inscription des électeurs, les machines de vote et d’autres systèmes permettant de gérer le processus électoral et de communiquer et d’afficher les résultats au nom des gouvernements nationaux et locaux ».
Brian DeMuth est le PDG de la société de recherche et de test en cybersécurité Grimm et l’un des pirates éthiques spécialisés dans la sécurité des élections. Il partage la vision globale du gouvernement sur l’étendue des systèmes électoraux et les vulnérabilités possibles. M. DeMuth a cofondé la fondation à but non lucratif Cyber Bytes Foundation pour encourager la recherche et l’éducation sur les questions de cybersécurité. Ces dernières années, le travail de la fondation a inclus la sécurité des élections.
« Nous sommes nombreux à travailler sur la sécurité électorale, que ce soit en tant que hobby, dans le cadre de projets de recherche professionnels ou pour des clients », a déclaré M. DeMuth.
L’un des premiers projets de la fondation, en collaboration avec d’autres, a été d’acheter des machines de vote anciennes et actuelles pour rechercher et révéler les failles de sécurité.
« Certaines des dernières mises à jour que nous avons vues sur certains de ces équipements présentent encore des défauts de plusieurs manières effrayantes », a déclaré M. DeMuth. « Nous avons donc tous poursuivi ces recherches et continué à acheter ces choses pendant notre temps libre – parfois avec notre propre argent – juste pour continuer à examiner le problème ».
M. DeMuth continue d’être choqué par la facilité avec laquelle il est possible d’acquérir des machines de vote électronique. Lui et ses collègues ont acheté ces machines sur eBay, Craigslist, Facebook’s Marketplace et même sur des sites d’enchères gouvernementales. Cette large disponibilité signifie qu’il est facile pour les pirates informatiques mal intentionnés d’acheter et d’étudier des machines, y compris de nombreux modèles encore utilisés, a-t-il dit.
Une fois qu’ils ont les machines, les chercheurs mènent ce que DeMuth décrit comme un « projet typique de recherche sur la vulnérabilité ou d’évaluation de la sécurité ». Ils suivent une méthodologie qui comprend l’étude des systèmes embarqués, l’examen de tous les ports d’entrée-sortie et des chipsets de la carte mère.
Dans certains cas, les machines à voter permettent à quelqu’un d’insérer une carte mémoire flash qui pourrait contenir un logiciel malveillant modifiant les votes enregistrés. Heureusement, M. DeMuth a déclaré que les machines avec un accès externe aussi facile ne sont plus très répandues. Et même lorsqu’elles existent, se faufiler et insérer des cartes flash dans les machines est un processus assez laborieux.
La connectivité sans fil est une préoccupation plus importante. Dans de nombreux cas, le problème réside dans le fait que les responsables des élections locales ont une compréhension limitée des problèmes de sécurité que cela peut engendrer.
Lorsqu’on leur pose la question, de nombreux responsables électoraux répondent qu’il n’y a pas lieu de s’inquiéter car leurs machines de vote ne sont pas connectées à l’internet. Mais selon M. DeMuth, cela n’est souvent pas vrai, car il peut y avoir une voie indirecte vers l’internet. Il a ajouté que de nombreuses machines de vote sont connectées à un ordinateur portable local qui sert de serveur central pour le stockage et le comptage des votes. Souvent, ces ordinateurs portables sont connectés à Internet pour transmettre les résultats, soit via une ligne fixe, soit via un réseau Wi-Fi local.
M. DeMuth se rappelle avoir visité une école locale pour une réunion l’année dernière et avoir regardé sans rien faire son téléphone pour voir quels étaient les réseaux Wi-Fi disponibles. Parmi les choix proposés, il y en avait un appelé « réseau de machines à voter ». Il s’est avéré que ce réseau était connecté aux autres réseaux de l’école qui avaient accès à Internet.
« Si votre réseau local est compromis depuis Internet, alors ces machines de vote sont sur Internet », a déclaré M. DeMuth. « Et il y a d’innombrables exemples de cela. »
En septembre, un groupe de chercheurs en sécurité a écrit une lettre avertissant que les modems sans fil de nombreuses machines de vote utilisées en Floride avaient laissé les machines vulnérables aux attaques. Alors que de nombreux États ont remplacé les machines de vote sans fil depuis 2016, la Floride ne l’avait pas fait. L’État continue à utiliser des machines produites par Election Systems & Software, basé au Nebraska.
Dans la lettre, les chercheurs ont averti que les machines mettaient en danger l’intégrité des élections en Floride : « Nos élections restent attaquées par les opposants à une démocratie libre et équitable, qui souhaitent compromettre notre infrastructure électorale pour semer le chaos, la méfiance, voire manipuler les résultats des élections ».
DeMuth a reconnu qu’il y a beaucoup de « si » entourant les attaques potentielles. Quelqu’un devrait accéder aux réseaux de nombreuses municipalités et attaquer les machines ou le nœud de collecte des résultats. Mais c’est effectivement ce que la commission sénatoriale a constaté que la Russie essayait de faire en 2016. Cette semaine encore, le directeur américain du renseignement national a révélé que la Russie et l’Iran avaient utilisé des « trous » dans les sites web des élections d’État et locales pour obtenir des données d’inscription des électeurs et envoyer des courriels de désinformation aux électeurs.
« Selon le pays étranger malfaisant qui vous inquiète, il y en a qui ont les ressources nécessaires », a-t-il déclaré. « C’est donc concevable. Je pense que le but de toute cette sensibilisation est d’amener plus de gens à se pencher sur le problème et à le résoudre pour qu’il ne persiste pas ».
La sécurité des foules
Depuis 2016, le gouvernement fédéral américain tente de renforcer la sécurité des élections. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a élargi ses programmes autour du vote. Elle soutient notamment VotingWorks, une organisation à but non lucratif qui a créé un outil d’audit open source appelé Arlo. Disponible sur GitHub, Arlo permet aux responsables des élections locales de vérifier leurs résultats en choisissant au hasard les bulletins de vote qui ont été déposés et en les comparant automatiquement aux votes comptabilisés.
En outre, la Fondation pour l’intégrité électorale a mis en place le projet de village de vote, un forum permettant à des tiers d’examiner les machines de vote électronique et d’autres équipements électoraux afin de sensibiliser aux questions de sécurité du vote.
Avec l’impact continu de la pandémie et l’augmentation massive des bulletins de vote par correspondance, les efforts pour apporter plus de transparence aux systèmes de vote vont être encore plus critiques, selon Bugcrowd’s Ellis.
« Ce genre de choses va jouer un rôle plus important cette année, car nous allons avoir ce temps d’attente avec tout le monde qui va changer sa façon de faire presque tout à cause de COVID-19 », a-t-il dit. « Et je pense qu’il est raisonnable de s’attendre à ce que les comptages prennent plus de temps que la normale cette année. Il y a donc plus de chances qu’il y ait des incertitudes ou des inquiétudes quant à l’intégrité du résultat ».
Bugcrowd a créé une plateforme de crowdsourcing pour aider les entreprises à trouver les failles de sécurité en utilisant des « hackers » extérieurs et fait partie d’un effort d’open source appelé Disclose.io. Le projet développe un langage contractuel et des conditions de service que toute entreprise peut utiliser pour établir des directives claires pour les programmes de primes de bugs et permettre aux pirates éthiques de sonder leurs services et de signaler les problèmes.
Cet effort pour établir des règles de base s’étend aux systèmes de vote.
« Il y a cette foule de pirates éthiques qui veulent essayer d’aider et de s’assurer que l’ensemble du processus de vote est sécurisé », a déclaré M. Ellis. « Mais jusqu’à présent, ils n’ont pas vraiment été invités à le faire. Alors comment rendre cela possible ? »
Bien qu’il ne puisse pas divulguer les noms, M. Ellis a indiqué que des progrès ont été réalisés en collaboration avec les fabricants de machines à voter et les services électoraux. Les chercheurs impliqués veulent faire comprendre qu’ils essaient d’aider et espèrent être invités à poursuivre leur travail.
« Pendant la majeure partie de 30 ans, les politiques relatives à l’utilisation des technologies de l’information ont été conçues pour tenir les pirates informatiques à l’écart des choses, en supposant que si vous essayez de faire quelque chose d’inhabituel, vous êtes probablement une mauvaise personne », a déclaré M. Ellis. « Nous sommes maintenant dans une position où il y a des chercheurs et des personnes dans la communauté en tant que pirates informatiques qui agissent de bonne foi. Et la raison pour laquelle ils font cela est de trouver comment les rendre plus sûrs et d’identifier les points faibles pour transmettre ces informations aux personnes qui peuvent résoudre ces problèmes afin de rendre l’utilisateur plus sûr ».
Mais Ellis et DeMuth ont déclaré que des obstacles subsistent. Une partie du problème est l’organisation fondamentale des élections américaines. Avec 50 États créant 50 systèmes différents, il y aura forcément un large éventail d’équipements, de règles et de mesures de sécurité. Il faut du temps pour se sortir de cette approche chaotique.
Selon une évaluation des renseignements du DHS de 2016 : « Les bureaux de vote dans plus de 3 100 comtés des États-Unis utilisent près de 50 types de machines à voter différentes, produites par 14 fabricants différents. En outre, les juridictions d’État et locales peuvent avoir des exigences différentes pour sécuriser leurs systèmes électoraux, telles que les paramètres de configuration, l’enregistrement des audits, la capacité de détection des intrusions et la gestion des correctifs. La diversité des systèmes de vote et des logiciels de vote pose des défis importants à la cybersécurité ».
Il y a aussi la question de savoir comment parler de ce problème au public. Les chercheurs ne veulent pas effrayer les électeurs ou donner l’impression que le vote est une perte de temps parce que le système pourrait être manipulé. Et discuter des détails de l’audit et de la nécessité ou non de bulletins de vote papier peut créer la confusion.
« Nous devrions mieux sécuriser le vote sans effrayer votre grand-père non technicien et une partie de l’Amérique qui ne saisit pas intuitivement ce genre de choses », a déclaré M. Ellis. « Vous voulez que les gens votent. S’il y a une quelconque interférence, s’il y a une quelconque question, étrangère ou nationale, pour manipuler le vote, alors la manière la plus efficace et la plus résistante de combattre cela est d’avoir simplement plus de gens qui se présentent. À ce stade, vous avez dilué le problème ».
Un pas en arrière
Mais alors que les pirates éthiques ont gagné un peu de terrain, de nouveaux obstacles juridiques et politiques leur sont opposés.
Le premier est la loi sur la défense de l’intégrité des systèmes de vote (Defending the Integrity of Voting Systems Act) que le président américain Trump a promulguée ce mois-ci. Cette loi a reçu un large soutien bipartite à la Chambre et au Sénat et précise que le piratage des systèmes de vote, quelles que soient les circonstances, est illégal. Le ministère américain de la justice peut désormais inculper toute personne qui tente de pirater une partie quelconque du système de vote en vertu de la loi sur la fraude et les abus informatiques (Computer Fraud and Abuse Act).
Ellis a déclaré qu’il y a quelques années, la commission du règlement de la Chambre des représentants avait demandé sa contribution et celle d’autres pirates éthiques. Mais il craint que la législation, dans sa forme finale, ne criminalise le type de piratage éthique que pratiquent de nombreux chercheurs en sécurité.
« Le gouvernement américain pourrait chercher à dissuader les adversaires de s’immiscer dans le processus de vote. Mais au lieu de cela, le plus grand impact qu’ils auront est de refroidir et potentiellement de criminaliser les actions des hackers de bonne foi qui mènent des recherches sur la sécurité pour aider à sécuriser le processus électoral », a déclaré Ellis. « Si les chercheurs en sécurité sont légalement incapables de découvrir des vulnérabilités dans les systèmes de vote, alors les pirates informatiques malveillants – qui ignorent ces lois pour commencer – ont un champ libre pour exploiter les vulnérabilités non découvertes dans les systèmes de vote ».
Les pirates éthiques suivent également de près une affaire qui doit être portée devant la Cour suprême des États-Unis. L’affaire Van Buren contre les États-Unis concerne un policier de Géorgie qui a été condamné pour avoir pris de l’argent afin de consulter un permis de conduire dans une base de données de l’État et qui a été accusé d’avoir violé la loi sur la fraude et les abus informatiques. De nombreux groupes de défense de la vie privée, dont l’EPIC et l’Electronic Frontier Foundation, ont protesté contre cette décision, affirmant qu’elle constitue une dangereuse extension de la CFAA.
De manière inattendue, le vendeur de votes en ligne Voatz a déposé un mémoire d’amicus curiae soutenant l’interprétation plus large de la CFAA, en partie pour dissuader le travail des pirates éthiques.
« Les recherches et les tests nécessaires peuvent être effectués par des parties autorisées », déclare M. Voatz dans le mémoire. « La propre expérience de Voatz en matière de sécurité illustre utilement les avantages des recherches autorisées en matière de sécurité et montre également comment la recherche non autorisée et la diffusion publique de vulnérabilités de sécurité non validées ou théoriques peuvent en fait avoir des effets néfastes ».
En réponse à l’argument de Voatz, les membres de Disclose.io ont écrit une lettre critiquant l’entreprise pour un incident survenu en 2019. Après qu’un étudiant chercheur en sécurité ait répondu à un programme de prime aux bugs de Voatz en signalant une vulnérabilité, la société aurait dénoncé l’étudiant aux autorités de l’État. Disclose.io a critiqué les conditions changeantes du programme de primes sur les insectes de Voatz et sa prompte rétribution.
« L’insinuation de Voatz selon laquelle les chercheurs ont enfreint la loi bien qu’ils aient pris toutes les précautions pour agir de bonne foi et respecter les limites légales montre pourquoi l’autorisation de cette recherche ne devrait pas dépendre de la bonne foi des entreprises elles-mêmes », indique la lettre de Disclose.io. « Pour des entreprises comme Voatz, la divulgation coordonnée des vulnérabilités est un mécanisme qui protège l’entreprise de l’examen public en lui permettant de contrôler le processus de recherche sur la sécurité ».
L’affaire Van Buren contre les États-Unis est prévue pour des plaidoiries le 30 novembre.
Au milieu des querelles sur la meilleure façon de sécuriser les élections, M. DeMuth pense que la réponse à court terme pourrait être de prendre du recul et de revenir aux bulletins de vote en papier. Le problème est que leur comptage prend du temps. Et à une époque où les gens exigent des résultats instantanés, cela ne peut qu’engendrer une certaine frustration.
« Je préférerais qu’on revienne au papier, mais ce n’est pas pour toujours, n’est-ce pas ? » DeMuth a dit. « Je veux voir ces choses progresser. Mais je pense qu’il faut continuellement appeler à l’action pour rechercher ces choses et les améliorer. Ce qui me préoccupe, c’est de m’assurer que vous continuez à avancer dans la direction d’une meilleure sécurité. »
