Alors que l’heure était encore aux primaires, au pays de l’Oncle Sam, un livre sortait de presse, imaginant une campagne électorale américaine faussée par les hackers. Tant au stade des sondages d’intentions de vote, des primaires et de l’élection finale en novembre. Signé Andrew Updegrove (voir sa bio minute en fin d’article), “The Lafayette Campaign” n’est pas une oeuvre de science-fiction. Pour plusieurs raisons. Tout d’abord parce que les risques sécuritaires sur lesquels repose la trame du livre sont parfaitement vraisemblables. Ensuite parce que la réalité allait presque rattraper la fiction voici quelques semaines – ou risque de le faire dans les semaines à venir.

Le piratage dont a été victime le parti démocrate, lors de sa convention nationale, des soupçons d’irrégularités qui ont émergé lors de certaines primaires mais aussi le spectre d’un hacking du vote final (que ce soit ou non de la main de Moscou), sont autant de signaux d’alerte qui, outre-Atlantique, relancent le débat des systèmes de votes électroniques (voire sur Internet et via mobile).

Un livre prémonitoire?

Petit coup d’oeil sur le scénario du livre “The Lafayette Campaign” (sous-titre: “A tale of deception and elections”). L’histoire démarre à quelques encablures des primaires, alors que les candidats sont encore en train d’annoncer leur entrée dans la course à la Maison blanche.

C’est l’heure des premiers sondages sur les intentions de vote. Et, côté républicain, les sondages sont interpellants.

Non seulement, le dernier candidat en date à avoir annoncé sa candidature, obtient des scores largement supérieurs aux autres – ce qu’on peut attribuer à l’effet de nouveauté – mais, plus étonnamment (si la logique devait être respectée), c’est le candidat le plus “improbable”, celui qui accumule les bourdes et les déclarations iconoclastes qui semblent avoir les faveurs des futurs électeurs. Certes moins provocateur qu’un certain Donald Trump, ce candidat fictif – Randall Wellhead – poursuit son ascension. Confirmée par les primaires…

En réalité, lors de la période des sondages pré-primaires, des hackers sont à l’oeuvre pour piper les dés. La mèche est éventée mais, soudain, la crainte d’un piratage des résultats des primaires et des élections finales se fait jour chez certains – dont le héros du livre, Frank Adversego.

Ce qu’il découvrira ? Un scénario que ne renieraient pas les hackers les plus inventifs.

Pour garantir que Randall Wellhead soit le candidat républicain désigné, un système de piratage des résultats a été mis en oeuvre. Sur base d’un savant calcul algorithmique, destiné à éviter que la fraude soit trop visible, un malware “détourne” quelques votes de-ci de-là, les réallouant de tel candidat vers Wellhead.

Et… l’équipe de Wellhead finance en sous-main un organisme qui soutient un indépendant afin que, pour l’élection finale, le président en place (démocrate) perde des plumes…

Mais voilà, les manipulateurs sont eux-mêmes manipulés. Car le piratage des intentions de votes se poursuit. Et cette fois, c’est l’organisme de soutien du candidat indépendant qui truque les chiffres pour gonfler artificiellement la popularité et la “stature” de ce candidat, influençant ainsi les électeurs… qui finissent par tomber dans le panneau.

Le “grand final”? Une joute improbable, en coulisses, entre trois équipes de hackers qui tentent soit de fausser les chiffres (via hacking de l’application de vote mobile), soit d’empêcher que ce scénario ne réussisse.

Présidentielle truquée?

Retour à la réalité. Aux Etats-Unis, aujourd’hui, les partisans des deux camps (Démocrates et Républicains) se renvoient accusations et suspicions de fraudes (passées ou potentielles) à la figure.

Donald Trump s’est mêlé au concert ces derniers jours, évoquant des risques de fraude en novembre, alors que, les jours et semaines précédents, ce sont surtout des soupçons de manipulation et de jeux d’influence menés par son entourage (proche ou non) qui avaient prévalu.

Barack Obama est même monté au créneau déclarant “si M. Trump croit qu’une théorie du complot se propage dans le pays, y compris dans des endroits comme le Texas où ce ne sont pas les démocrates qui s’occupent des bureaux de vote, c’est ridicule.

[…] Si M. Trump finit avec 10 ou 15 points d’avance dans les sondages le jour de l’élection et finit par perdre, il pourra peut-être se poser la question. Cela ne semble pas être le cas actuellement.”

Une déclaration qui peut paraître de pure logique cartésienne.

Il est toutefois possible de contredire et d’invalider le raisonnement sur le volet écart entre sondages et vote final. Du moins si l’on suit le fil fictif déroulé par Andrew Updegrove dans son livre “The Lafayette Campaign”.

Outre-Atlantique, la presse se fait régulièrement l’écho des risques de compromission que court éventuellement l’élection (voir encadré ci-contre pour une petite sélection d’articles).

Suite au piratage des systèmes du parti démocrate et à la publication de documents par Wikileaks lors de la Convention démocrate (un “fait d’armes” attribué par certains à la Russie), certains experts en sécurité disent craindre que Moscou ne remette ça et ne déclenche une opération de piratage sur les systèmes de vote électroniques afin de faire gagner Donald Trump.

L’un de ces experts – Bruce Schneier (1) – recommandait par exemple, dans un article paru dans le Washington Post, que des “tiger teams” [autrement dit, des équipes spéciales] soient mises sur pied “afin de tester les systèmes de vote électroniques et leur résistance à des attaques, d’améliorer sensiblement les cyber-protections et de les désactiver si l’on ne peut pas garantir leur sécurité en mode connecté. A plus long terme, nous devons en revenir à des systèmes électoraux qui soient à l’abri de toute manipulation. Cela signifie des systèmes de vote avec preuve papier du vote émis et pas de vote via Internet. Je sais que c’est plus lent et moins pratique de s’en tenir à ces anciennes méthodes mais les risques de sécurité sont tout simplement trop élevés.”

______

(1) Bruce Schneier, spécialiste en sécurité et chargé de cours à la Kennedy School of Government de l’université de Harvard University, est notamment l’auteur du livre “Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World.”

Les soupçons jusqu’ici…

En dehors des piratages (passés ou éventuels) qui jettent l’émoi aux Etats-Unis, le processus électoral américain a déjà connu quelques couacs électroniques, ces derniers mois.

L’un des systèmes de vote électronique, à écran tactile (l’AVS WinVote), pointé comme trop peu fiable et sécurisé par des experts… (ici lors des précédentes élections présidentielles américaines)

Parmi les “bonnes vieilles lacunes”, citons celle des identités non vérifiées lors des primaires républicaines au Nevada, permettant (potentiellement) à une même personne de voter plusieurs fois.

Concernant les systèmes de vote électroniques eux-mêmes, des lacunes fondamentales ont par exemple été relevées au niveau de certains systèmes à écran tactile utilisés dans plusieurs états (New Jersey, Virginie, Mississippi, Pennsylvanie…). Le problème? Des mots de passe non sécurisés (“abcde”, “admin” sont assez fréquents) ou encore d’anciens systèmes d’exploitation qui ne sont pas mis à jour (notamment Windows XP que ne supporte plus Microsoft…).

Pour un aperçu édifiant sur les lacunes de divers systèmes utilisés aux Etats-Unis, lisez cet article paru récemment sur le site Politico… A vous donner froid dans le dos.

Jeremy Epstein (SRI International, un institut de recherche qui effectue des missions R&D pour des opérateurs tant privés que publics), au sujet de ces systèmes à écran tactile non sécurisés: “Anyone within a half mile could have modified every vote. […] Bottom line is that if no Virginia elections were ever hacked (and we have no way of knowing if it happened), it’s because no one with even a modicum of skill tried.”

Le vote électronique est très répandu aux Etats-Unis. Mais la grande diversité de systèmes, des logiciels et des modalités de vote (plus de 8.000 juridictions qui ont leurs propres procédures de collecte et transfert des votes) pourrait être un avantage (les hackers, pour avoir un impact massif, devraient multiplier les efforts…).

Pour contourner la difficulté que présente cette diversité, l’une des méthodes que les hackers pourraient utiliser est la bonne vieille méthode du cheval de Troie ou, pour le formuler autrement, de l’auto-goal. A savoir: s’insinuer dans les systèmes en piégeant les administrateurs et responsables de gestion par le biais de phishing.

La démonstration en a été récemment faite au sein-même des équipes de l’Administration fédérale. Le ministère américain de la Sécurité intérieure (Department of Homeland Security) a effectué quelques tests, envoyant des mails à des employés. Ces mails leur proposaient de décrocher des billets gratuits pour un match des Washington Redskins (équipe de football américain) s’ils activaient un lien contenu dans le mail. Beaucoup ont mordu à l’hameçon. Pour recevoir leur billet, ils devaient se rendre à un endroit précis à une heure précise. A l’heure arrivée… ils se sont aperçu qu’on leur avait en fait réservé une petite conférence sur la cybersécurité !