Des machines à voter américaines piratées en moins de deux heures
Des machines à voter américaines piratées en moins de deux heures
Par Ophélie Surcouf
Au cœur des débats américains concernant l’élection de 2016, la DEF CON a organisé un atelier de piratage autour de machines électorales.
« Que l’on puisse pirater des machines à voter signifie qu’elles ont peut-être déjà été piratées par le passé. Cela remet quand même en cause la légitimité des présidents des Etats-Unis », s’inquiète Carsten Schürmann. Professeur en programmation à l’IT University de Copenhague, il dirige DemTech, une cellule d’étude sur les technologies servant à voter au Danemark. Il est également le premier a avoir piraté l’une des 30 machines électorales rassemblée à la DEF CON à Las Vegas. La 25e édition de cette convention sur la cybersécurité, l’une des plus grandes au monde, avait lieu du 27 au 30 juillet.
Voting Machine Hacking Village DEF CON 25
Au cours de cette manifestation, de nombreux ateliers-villages ont permis, par exemple, d’ouvrir des coffres ou de chiffrer (et déchiffrer) des données. Pour la première fois depuis les débuts de la DEF CON, un atelier a également réuni des machines électorales de différents modèles (Sequoia, Diebolds…), récupérées sur eBay ou lors d’enchères publiques. Cet atelier a fait salle comble.
Un manque de sécurité
« L’exposition à ces machines a été plutôt limitée pour les gens qui cherchent à débusquer les bugs du système », explique Brian Knopf, à l’origine du projet du « village électoral » de la DEF CON et chercheur en IOT (Internet des objets) pour Neustar, une entreprise américaine d’analyse pour la sécurité. « DEF CON est donc une excellente opportunité (…) de jeter un œil à ces systèmes et de répondre à la question : peut-on les hacker ? »
La question est presque rhétorique : de nombreux spécialistes en sécurité informatique s’inquiètent depuis des années des faiblesses des machines utilisées aux Etats-Unis, souvent anciennes.
En juin, le département de la sécurité nationale a confirmé que des hackeurs russes avaient conduit des repérages sur 21 systèmes électoraux durant l’élection présidentielle de 2016. Il n’y aurait toutefois aucune preuve que les votes aient pu être manipulés.
Un hackeur tente d’accéder aux données d’une machine électorale à la DEF CON, afin de les altérer. | STEVE MARCUS / REUTERS
L’inquiétude est d’autant plus justifiée qu’à la DEF CON Carsten Schürmann n’a eu besoin que de 1 h 40 pour pirater à distance une Winvote, une vieille machine électorale décomissionnée en 2007 (mais utilisée en Virginie jusqu’en 2015).
« Il y a plein de manières de pirater une machine : avec une clé USB, on infecte le matériel avec un virus. On peut aussi modifier les composants en démontant la machine. Mais la manière élégante de le faire est à distance, explique Carsten Schürmann au Monde. Pas besoin de toucher la machine ou d’interagir avec. Vous pouvez être à l’extérieur, dans une voiture, et changer tous les résultats de plusieurs machines par l’intermédiaire de votre ordinateur. »
Pour le prouver, à la fin de la journée, au DEF CON, des hackeurs ont transformé la Winvote… en jukebox.
