211service.com
Voici comment les pirates pourraient semer le chaos lors des élections américaines de mi-mandat de cette année
Simon Landrein
Le 6 novembre, les Américains se rendront aux urnes pour voter aux élections de mi-mandat du Congrès. Dans les mois précédant le concours, des hordes de hackers étrangers se dirigeront vers leurs claviers dans le but d'influencer son résultat. Leurs efforts comprendront la tentative de pénétrer à l'intérieur de l'infrastructure numérique qui soutient le processus électoral.
Il y a un précédent inquiétant ici. L'année dernière, le Department of Homeland Security notifié 21 États que les acteurs russes avaient ciblé leurs systèmes électoraux dans les mois précédant l'élection présidentielle américaine de 2016.
Les responsables du DHS ont déclaré que les Russes analysaient principalement les ordinateurs et les réseaux à la recherche de failles de sécurité plutôt que de profiter des failles découvertes. Pourtant, ce n'est pas un motif de complaisance. Les responsables du renseignement sont déjà avertir que la Russie a également l'intention de s'immiscer dans les élections de cette année, et que des pirates informatiques d'autres pays hostiles aux États-Unis pourraient se joindre à eux. Cette semaine, le DHS et le Federal Bureau of Investigation ont déclaré que la Russie préparait le terrain pour de vastes cyberattaques contre des infrastructures américaines critiques. L'année dernière, le DHS technologie de vote désigné dans le cadre de ce cadre vital.
Le simple fait d'interférer avec des compétitions serrées dans quelques zones de swing pourrait suffire à saper la confiance dans le processus démocratique. Ce que les ordinateurs facilitent… c'est falsifier le système de vote qui peut être fait aux endroits les plus percutants dans le but d'influencer les races marginales, met en garde Alexander Schwarzmann, directeur du Center for Voting Technology Research à l'Université du Connecticut.
Depuis l'élection présidentielle de 2016, beaucoup a été fait pour améliorer la sécurité des élections. La formation à la cybersécurité des agents de l'État et des collectivités locales a été considérablement renforcée et un organisme a été créé pour partager des renseignements sur les menaces . Le Congrès a également récemment alloué 380 millions de dollars aux États, qui peuvent utiliser l'argent pour mettre à niveau les technologies de vote vieillissantes, effectuer davantage d'audits post-électoraux et prendre d'autres mesures pour renforcer leurs défenses.
Mais les pirates auront également amélioré leur jeu, et ils exploiteront sans aucun doute les renseignements qu'ils ont glanés la dernière fois. Voici un bref aperçu des endroits où ils pourraient faire le plus de dégâts :
Systèmes d'inscription des électeurs
La technologie: Ces systèmes conservent un enregistrement numérique des électeurs autorisés dans une juridiction et sont utilisés pour remplir les registres du scrutin que les fonctionnaires électoraux des bureaux de vote de circonscription utilisent pour enregistrer les électeurs. Les systèmes sont souvent exécutés sur des ordinateurs de bureau utilisant des systèmes d'exploitation standard qui pourraient être vulnérables aux logiciels malveillants. code. Beaucoup sont aussi assez vieux. Un rapport publié l'année dernière par le Brennan Center for Justice de la faculté de droit de l'Université de New York a estimé que 41 États utilisaient encore des systèmes d'inscription des électeurs construits il y a au moins dix ans.
Les risques: Les pirates pourraient effacer les entrées des électeurs ou en créer des fictives, puis envoyer des votes par courrier pour les faux personnages. Une falsification à grande échelle serait repérée (tout comme la suppression d'une base de données entière), mais une manipulation moins flagrante pourrait être plus difficile à détecter jusqu'au jour du vote. Après les élections de 2016, l'Illinois a déclaré que les pirates avait accédé son système d'inscription des électeurs. Ils n'ont modifié aucune donnée électorale, mais ils ont téléchargé 76 000 enregistrements. Pour aider les États à tenter de prévenir les violations, le DHS travaille avec nombre d'entre eux pour effectuer des audits de sécurité de leurs systèmes.
Enregistrement des électeurs
La technologie: Dans de nombreux États, les agents électoraux des circonscriptions utilisent des cahiers de scrutin électroniques de type tablette, plutôt que des cahiers papier, pour vérifier les électeurs. Ces machines sont souvent connectées entre elles via des réseaux locaux.
Les risques: Les pirates pourraient cibler les réseaux pour accéder aux machines, soit en les arrêtant, soit en modifiant les données qu'ils contiennent. C'est pourquoi les experts en sécurité disent que tous les bureaux de vote devraient avoir mis en place des plans de secours leur permettant d'imprimer des bulletins de vote provisoires en cas de panne des machines. Les appareils présentent également d'autres risques : l'année dernière, un chercheur en sécurité a découvert une mine de données électorales encore dans la mémoire d'un registre électronique du scrutin. être vendu sur eBay .
Machines à voter
La technologie: Il existe deux grands types de machines à voter électroniques en usage aujourd'hui. Les lecteurs de bulletins de vote à balayage optique numérisent et enregistrent les bulletins de vote remplis par les électeurs, tandis que les machines à enregistrement direct électronique, ou DRE, affichent les choix de vote sur un écran et enregistrent les choix des électeurs par voie électronique. (Certaines machines DRE peuvent également générer un enregistrement papier.)
Les risques: De nombreuses machines fonctionnent sur des systèmes d'exploitation obsolètes qui présentent des failles de sécurité connues et dont les créateurs ont cessé de publier des mises à jour. Cela les rend particulièrement vulnérables aux attaques. L'année dernière, des hackers amateurs participant à la conférence Defcon à Las Vegas ont pu compromettre un certain nombre d'appareils différents et ont résumé l'expérience dans un rapport . Plus récemment, Alex Halderman, professeur à l'Université du Michigan, organisé une simulation d'élection avec des électeurs étudiants pour montrer qu'il est facile de pirater les machines.
Il existe également d'autres risques, notamment le danger que des pirates compromettre les modems sans fil dans certaines machines utilisées pour transmettre les données de vote. Les lecteurs de bulletins de vote à balayage optique ont au moins les bulletins de vote originaux sur lesquels se rabattre s'il y a un soupçon qu'ils ont été piratés; dans le cas des DRE, les électeurs ne remplissent jamais un bulletin de vote à la main. Cela a conduit de nombreux experts en sécurité électorale à demander la mise au rebut des machines.
Lawrence Norden, directeur adjoint du Brennan Center de NYU, affirme que 13 États utilisent encore des systèmes sans papier. Je n'espère pas que beaucoup d'entre eux auront apporté des changements avant novembre, car il n'y a tout simplement pas beaucoup de temps maintenant, ajoute-t-il. stipule que s'appuyer fortement sur les machines, comme la Pennsylvanie, le New Jersey et le Delaware, pourraient encore les utiliser pour l'élection présidentielle de 2020.
Comptage des votes et rapports
La technologie: Ces systèmes fonctionnent généralement sur des ordinateurs utilisant un logiciel de système d'exploitation standard, et les appareils peuvent également être utilisés à d'autres fins que le décompte et la communication des résultats des élections.
Les risques: Comme les ordinateurs utilisés pour l'inscription des électeurs, les machines sont vulnérables à de nombreux types d'activités malveillantes, et les pirates pourraient les cibler pour jeter le doute sur le résultat global des élections. Bien que cela puisse sembler peu probable, il y a de fortes suspicions que des acteurs russes aient été derrière une attaque qui a supprimé les fichiers clés du système de la commission électorale centrale ukrainienne en 2014. (Heureusement, les Ukrainiens ont pu restaurer les données à partir de sauvegardes.)
Audits de vote
Cette section ne met pas en évidence une autre manière dont les pirates pourraient causer des ravages en novembre ; au lieu de cela, il est là pour souligner que des audits post-électoraux solides seront plus vitaux que jamais dans un monde où les pirates ont des systèmes de vote en ligne de mire.
De nombreux audits sont déjà menés sur les résultats des sondages aux États-Unis, mais de nombreux experts font pression pour des audits dits limitant les risques, qui sont plus ouverts et plus onéreux que les approches traditionnelles. Ils impliquent de prendre des bulletins de vote papier à partir d'un échantillon aléatoire statistiquement significatif de circonscriptions, de les comptabiliser, puis de comparer le résultat avec le résultat de l'élection calculé à l'aide des enregistrements électroniques. (Cela, bien sûr, suppose que des bulletins de vote papier sont toujours générés, ce qui exclurait l'utilisation de certaines machines DRE.)
L'idée, qui a été adoptée par quelques États, dont le Colorado et le Nouveau-Mexique, exige qu'un audit soit effectué sur chaque concours, pas seulement sur ceux qui sont organisés de près. Si des écarts sont découverts, des comptages manuels supplémentaires sont effectués. Cette approche extensive et coûteuse de la basse technologie peut sembler en contradiction avec les avancées de la haute technologie, mais des contrôles plus robustes sont essentiels pour contrebalancer le pouvoir croissant des pirates qui s'efforcent de saper notre foi en la démocratie.