Piratage : les élections américaines sont toujours vulnérables
Piratage : les élections américaines sont toujours vulnérables
Par Martin Untersinger (envoyé spécial à Leipzig)
Selon un des meilleurs experts mondiaux du sujet, les Etats-Unis ne sont toujours pas en mesure d’organiser, en 2020, une élection présidentielle sécurisée.
Deux ans après les soupçons de manipulations électroniques autour de l’élection présidentielle américaine de 2016, les Etats-Unis ne sont toujours pas en mesure d’organiser, en 2020, une élection sécurisée.
C’est la conclusion à laquelle est parvenu le chercheur américain Alex Halderman, professeur à l’université du Michigan et spécialiste mondial du vote électronique, lors d’une conférence donnée, jeudi 27 décembre, au Chaos Communication Congress, la grand-messe annuelle des hackers qui a ouvert ses portes à Leipzig (Allemagne).
Les progrès dans ce domaine sont rares : le chercheur avait formulé, il y a deux ans sur la même scène, un constat très similaire.
Plusieurs facteurs font des élections américaines des scrutins « bien plus faciles à pirater que ce que l’on pourrait penser », a expliqué celui qui a été auditionné à ce sujet en 2017 par la commission du renseignement du Sénat américain.
Des machines à voter faciles à pirater
D’abord, l’utilisation – quasi-systématique aux Etats-Unis – de machines à voter bourrées de vulnérabilités informatiques, et ce malgré les alertes à répétition des experts en sécurité.
« A chaque fois qu’une machine à voter a été testée par des experts, des vulnérabilités ont été trouvées. Il n’y a aucune chance que ces machines soient sécurisées », a expliqué M. Halderman.
Armé de ces failles informatiques, il est extrêmement facile à un pirate d’altérer le fonctionnement de ces machines et de changer le résultat de l’élection. Certains Etats n’ont pas mis à jour depuis plus de dix ans les logiciels faisant fonctionner leurs machines à voter, ce qui signifie que certaines d’entre elles comportent des défauts de conception connus de tous.
On est loin d’un scénario de science-fiction : même si la plupart de ces machines ne sont pas connectées directement à Internet, il suffit de pénétrer les réseaux des entreprises qui paramètrent lesdites machines à voter en amont du vote. Une fois infectées, ces entreprises, dont le chercheur explique qu’elles utilisent souvent « de vieilles versions de Windows » et ne disposent pas de défenses informatiques robustes, pourraient très facilement transmettre le virus ainsi inséré directement dans les machines.
Des Etats qui renâclent
Des mécanismes éprouvés existent cependant et peuvent permettre de détecter une altération d’une élection. Il s’agit, notamment, de l’impression d’une trace de chaque vote sur un support papier, ou de la vérification d’un échantillon statistiquement signifiant des votes. Mais de trop nombreux Etats, qui ont toute latitude pour définir les modalités des élections aux Etats-Unis, renâclent encore à mettre en place ces mécanismes qui permettraient pourtant de détecter les manipulations ou d’en limiter l’impact.
Depuis deux ans, de maigres progrès ont cependant été faits. Certains Etats, comme la Pennsylvanie par exemple, ont commencé à remplacer les machines à voter peu fiables – ou prévoient de le faire. Ce n’est pas le cas de tous les Etats, dont certains continuent à utiliser des machines dont les défauts sont de notoriété publique, comme la Géorgie. Et la quasi-totalité des Etats ne vont pas jusqu’au bout du processus, estime le chercheur, et ne vérifient pas encore correctement les registres en papier pour détecter d’éventuelles manipulations.
Au-delà des vulnérabilités informatiques ou des modalités du vote, le point faible du système électoral américain réside dans son caractère indirect. Aux Etats-Unis, le président est élu s’il parvient à s’attirer les voix d’une majorité de grands électeurs, désignés au niveau de chaque Etat : il est ainsi possible de récolter moins de voix que son adversaire et parvenir à la Maison Blanche. C’est ce qu’est parvenu à faire Donald Trump, comme déjà quatre présidents avant lui.
Cela veut aussi dire qu’il « suffit de modifier un petit nombre de voix pour avoir un impact réel sur l’élection », explique Alex Halderman. Ce dernier a déterminé qu’il aurait par exemple suffi de changer 27 500 voix en Floride et en Pennsylvanie pour faire gagner Hillary Clinton plutôt que Donald Trump lors de l’élection de 2016.
De nombreuses alertes
Une broutille, quand on sait la facilité avec laquelle il est possible de pirater une machine à voter et lorsqu’on constate le nombre d’alertes émises par les experts et le gouvernement américain ces dernières années autour de ses élections.
Alex Halderman le reconnaît bien volontiers : aucune irrégularité majeure n’a été découverte lors de l’élection de 2016, y compris dans les Etats où un recomptage a eu lieu. « Mais il y a de nombreuses preuves que des attaques informatiques, sous d’autres formes, ont influencé le résultat », note-t-il cependant, preuve de l’existence de pirates déterminés à s’en prendre au système électoral américain.
Ce dernier a ainsi rappelé l’accusation formulée par les services de renseignement américains, selon laquelle la Russie a mené plusieurs piratages informatiques visant le parti démocrate et la campagne de Hillary Clinton lors de la campagne présidentielle de 2016. Des piratages qui ont débouché sur la publication de documents et d’informations compromettantes. Il a également rappelé que les autorités américaines avaient détecté de nombreuses tentatives de piratage, parfois couronnées de succès, visant les registres des électeurs dans plusieurs Etats américains. Plusieurs officiers de renseignement russe ont d’ailleurs été inculpés pour ces faits en juillet par le procureur spécial Robert Mueller.
D’autres pays ont été confrontés à des opérations de déstabilisation lors d’élections. C’est le cas de l’Ukraine en 2014 : des pirates liés à la Russie s’en sont pris au site de la commission électorale, avec pour but de poster le mauvais vainqueur et fausser la confiance dans les résultats finaux. Ces hackers ont également, comme ils l’ont fait plus tard aux Etats-Unis, procédé à des piratages débouchant sur des fuites d’informations compromettantes pour certains candidats.
Les pirates « se réservent pour 2020 »
Malgré l’état déplorable de la sécurité des élections américaines, « les élections de mi-mandat de 2018 ont été bizarrement calmes ». Pas de quoi pavaner, explique le chercheur, qui reprend à son compte les conclusions d’une commission du parlement américain au sujet de l’élection de 2016, selon laquelle « dans un certain nombre d’Etats, des pirates russes étaient en position d’altérer ou de supprimer des données des registres électoraux ». Cela aurait « causé un chaos massif », explique Alex Halderman. Selon lui, « ces attaquants ont choisi de ne pas presser sur la détente et c’est exactement ce qu’il s’est passé, à nouveau, en 2018. S’ils ne sont pas passés à l’action, c’est qu’ils se réservent pour 2020 », a ainsi averti le chercheur.
Ce dernier nourrit cependant quelques espoirs. « Depuis 2016, il y a eu un changement d’état d’esprit et les responsables des élections ont commencé à écouter les experts en sécurité et les scientifiques », a-t-il expliqué. Une loi mettant en place des garde-fous solides et des exigences en matière de sécurité pour les élections a manqué de peu d’être examinée au Congrès, et pourrait faire son retour à la faveur de l’arrivée, à Washington, des nouveaux élus désignés en novembre.