Mauvais départ pour le parti des Démocrates américains à la course à l’élection présidentielle ? Début février, les caucus (près de 1 700 réunions publiques où les électeurs sont regroupés physiquement pour désigner leur candidat lors de deux tours de scrutin) dans l’Iowa ont tourné au fiasco.
En cause, l’application mobile qui a été utilisée pour gérer le reporting du vote initial obtenu par chaque candidat, le deuxième choix des membres et enfin la liste des délégués finaux ayant gagné. Des responsables de circonscription ont rapporté des bugs, certains n’ont pas pu se connecter voire même télécharger l’application, et les résultats n’ont pas pu être connus le soir même ni plusieurs jours après l’élection.
En théorie, le recours à cette application devait faciliter les décomptes, accélérer la publication des résultats et garantir la transparence. Mais comme d’autres avant eux, le Parti Démocrate et l’éditeur (Shadow, Inc) de cette application ont confondu vitesse et précipitation. À moins qu’ils aient fait preuve d’amateurisme et/ou de naïveté…
Des failles qui existent depuis des années
Manifestement, cette application n’avait pas été assez testée pour vérifier ses performances et son ergonomie, mais surtout renforcer sa sécurité. Elle n’avait d’ailleurs pas été approuvée par le Département de la sécurité intérieure (Homeland Security Department).
Ce couac n’est pas le dernier. Il rappelle que le recours aux nouvelles technologies n’est pas une panacée en soi et qu’elles complexifient un processus électoral.
Or, son intégrité dépend de trois domaines clés : la sécurité des bases de données des électeurs, les urnes électroniques elles-mêmes, ainsi que les ordinateurs qui compilent les votes et diffusent les résultats.
C’est la raison pour laquelle les systèmes de vote américains restent toujours vulnérables aux cyberattaques depuis plusieurs années. Ce n’est pas faute d’avoir mis en garde les responsables politiques et les entreprises intervenant dans les processus électoraux.
Depuis 2017, des hackers se réunissent au DEF CON Voting Village. Ils peuvent tester des équipements de vote, notamment des carnets de vote électronique, des dispositifs de vote sur papier à balayage optique et des machines de vote électronique à enregistrement direct – tous certifiés pour une utilisation dans au moins une juridiction de vote américaine.
À chaque fois, les participants de ce Village ont trouvé de nouvelles façons de compromettre chacun des dispositifs présents de manière à pouvoir modifier les décomptes de vote stockés, changer les bulletins de vote affichés aux électeurs, ou modifier le logiciel interne qui contrôle les machines.
Concours de hackers
Rien de surprenant lorsque l’on découvre que de nombreuses vulnérabilités ont été signalées près d’une décennie plus tôt et qu’elles ne sont toujours pas corrigées…
Au-delà de l’intégration de correctifs de sécurité, quelles sont les solutions envisageables ? La première est de mettre de gros moyens. Un prototype de machine de vote dite sécurisée a été développé avec le soutien de la Darpa (Defense Advanced Research Projects Agency) et… 10 millions de dollars. Reste à savoir si ce prototype résistera aux hackers.
La Chancellerie fédérale suisse et la Poste misent aussi sur l’argent. Un faux scrutin a été organisé en février 2019 avec 130 000 euros de lots promis aux hackers du monde entier. Le gros lot, de 44 000 euros, revenait à celui qui parviendrait à manipuler des suffrages de façon indétectable.
Plus de 3 000 hackers (3 187 précisément), dont 13 % de Français, se sont inscrits et ont découvert près d’une vingtaine de failles. En particulier, une erreur critique dans le code source a été repérée. Dès cette annonce, la Poste avait demandé à Scytl, son partenaire technologique et responsable du code source, qu’il « mette en œuvre immédiatement l’intégralité de la rectification requise ».
La publication de ces vulnérabilités confirme que la sécurité du vote électronique est très compliquée. Finalement, on constate que les bulletins de vote en papier sont fiables à presque 100 % et fournissent une trace écrite vérifiable par l’électeur…
Dans l'actualité
- La carte nationale d’identité électronique, adoptée par l’Assemblée nationale
- L’ombre des pirates sur les élections ?
- Quels problèmes et solutions cryptographiques ?
- La fin de l’hégémonie américaine sur le système des adresses Internet
- La blockchain pour certifier des documents personnels
- Campagnes de désinformation et cyberattaques sont en lice pour les élections présidentielles de 2022
- Le vote en ligne : les experts en sécurité informatique s’abstiennent !