Nous sommes en 2020. Les élections américaines sont toujours des cibles effroyablement faciles.

voté autocollants isa

voté autocollants isa Element5 Digital sur Unsplash





Pour la toute première fois, des dirigeants des plus grandes entreprises américaines de technologie de vote ont témoigné devant le Congrès sur les problèmes de sécurité électorale. Et le verdict des dirigeants, des politiciens et des experts indépendants ? De réels progrès ont été réalisés depuis les élections difficiles de 2016, mais il reste encore beaucoup à faire.

Les PDG d'Election Systems & Software, Hart InterCivic et Dominion Voting Systems - qui, à eux deux, fournissent plus de 80% de toutes les technologies de vote aux États-Unis - se sont entretenus avec les législateurs lors d'une audience en commission jeudi. Tous trois ont convenu qu'ils soutiendraient de nouvelles exigences de transparence qui les obligeraient à en dire plus sur les problèmes de sécurité cruciaux, notamment les chaînes d'approvisionnement de fabrication, les menaces internes, la structure de propriété, les investissements étrangers, les politiques du personnel et les pratiques de cybersécurité.

C'est un gros problème de faire prêter serment aux PDG et d'appuyer officiellement les nouvelles exigences de déclaration fédérales obligatoires. Actuellement, les entreprises de technologie électorale doivent rapporter des informations sur leurs produits mais exposer beaucoup moins sur leurs entreprises et leurs opérations, a déclaré Eddie Perez, ancien cadre de l'industrie électorale chez Hart InterCivic.

Toutefois, modifier les exigences en matière de déclaration n'est pas si simple.



Si vous allez exiger que les gens divulguent des informations à ce niveau, vous devez avoir des conséquences si quelqu'un ne le fait pas, a déclaré Perez, ajoutant que la Commission d'assistance électorale - l'agence fédérale indépendante censée être le lien entre les États individuels et le national gouvernement sur les élections — n'a aucun pouvoir d'exécution.

Les normes fédérales sont volontaires. Les vendeurs peuvent les utiliser ou les ignorer ; les États peuvent décider de la conformité, a-t-il dit.

Même avec le soutien d'entreprises de premier plan, cependant, de nouvelles exigences nécessiteraient de nouvelles lois, ce qui s'est avéré atroce pour le Congrès depuis 2016.

La transparence, peut-être

Liz Howard, qui travaille maintenant pour le Brennan Center for Justice à Washington, DC, était auparavant sous-commissaire aux élections en Virginie. Elle a témoigné du besoin urgent d'une surveillance fédérale complète avant les élections de 2020.



L'absence de surveillance fédérale a un impact négatif sur la capacité des responsables électoraux à renforcer davantage notre infrastructure électorale et se fait sentir le plus durement en temps de crise, comme je le sais de ma propre expérience, a déclaré Howard jeudi.

En 2017, trois mois avant une élection, les machines à voter sans papier utilisées dans toute la Virginie ont été rapidement et facilement piraté à la conférence sur la cybersécurité DEFCON. Le mot de passe de l'une de ces machines a été rendu public. Bien qu'il soit un haut fonctionnaire électoral, Howard ne savait pas quelles mesures avaient été prises.

Je ne savais pas si les fournisseurs étaient au courant des vulnérabilités exploitées par les pirates, si les fournisseurs avaient pris des mesures pour remédier aux vulnérabilités, qui possédaient ou contrôlaient les fournisseurs, ou s'ils répondraient rapidement et pleinement à mes questions, car ils n'étaient pas alors et ne sont pas encore soumis à une surveillance fédérale complète, a déclaré Howard. Dans aucun autre sous-secteur désigné comme infrastructure essentielle, les fournisseurs privés ne sont autorisés à remplir des fonctions essentielles sans surveillance de bon sens.



Audits ou buste

Pratiquement tout le monde à l'audience a convenu à l'unanimité que des audits vérifiables sont nécessaires pour prouver l'intégrité et l'exactitude des élections américaines. Les audits ne sont ni simples ni faciles, comme le démontrent les recherches publiées hier, mais les experts affirment qu'ils sont le seul moyen de vérifier les résultats des élections à une époque où les pirates informatiques parrainés par le gouvernement pourraient en théorie faire des ravages.

C'est un fait largement reconnu et vraiment indiscutable que chaque pièce d'équipement informatique utilisée dans les bureaux de vote aujourd'hui peut être facilement compromise d'une manière susceptible de perturber les opérations électorales, de compromettre les micrologiciels et les logiciels et de modifier potentiellement le décompte des votes, a déclaré Matt Blaze, un expert en technologie électorale et professeur au Georgetown University Law Center.

La tenue d'élections fiables nécessite de tenir un registre papier des votes, a expliqué Blaze, ainsi que d'effectuer des audits réguliers après chaque élection.



La technologie pour cela existe déjà - l'exemple le plus simple serait la numérisation et l'audit des bulletins de vote papier - et il s'agit maintenant d'imposer ces normes au-delà d'une poignée d'États et de passer à l'adoption nationale.

Il n'y a aucune exigence fédérale pour les audits, a déclaré Perez, qui est maintenant le directeur mondial du développement technologique à l'Open Source Election Technology Institute.

Au niveau de l'État, c'est de loin un groupe relativement restreint d'États qui exigent par la loi des audits post-électoraux. Pour la grande majorité des États, ils ne sont pas tenus de procéder à des audits post-électoraux. De nombreux administrateurs électoraux ont entendu le terme mais n'ont pas appris à faire des audits post-électoraux. C'est un sujet vraiment important qui est un moyen significatif et réalisable d'accroître l'intégrité des élections, mais il est également juste de dire que le mouvement visant à éduquer les responsables électoraux sur les audits et à travailler au niveau législatif pour les rendre obligatoires n'en est qu'à ses débuts.

Au-delà de l'isoloir

Bien que les machines à voter obtiennent la part du lion de l'attention, il existe d'autres menaces à prendre en compte.

Les principaux risques dont le comité a entendu parler comprennent les bases de données d'inscription des électeurs et la technologie de communication des résultats. Tous ces éléments sont généralement contrôlés et protégés par les responsables électoraux locaux, qui sont soumis à très peu de normes et font face à une cacophonie de cybermenaces. Le résultat est un ensemble d'objectifs qui donneraient à des adversaires étrangers déterminés une tâche effroyablement facile, a déclaré Blaze. Il pense que c'est fou.

Tout comme nous ne nous attendons pas à ce que le shérif local se défende à lui seul contre les invasions terrestres militaires, nous ne devrions pas nous attendre à ce que le responsable informatique du comté se défende contre les cyberattaques des services de renseignement étrangers, a déclaré Blaze. Mais c'est précisément ce que nous leur avons demandé de faire.

L'article a été mis à jour pour refléter avec précision les commentaires d'Eddie Perez sur les exigences de transparence des fournisseurs de machines à voter concernant les produits, les entreprises et les opérations.

cacher