2. Technos & Medias

Elections américaines : les sites officiels du gouvernement peuvent-ils être piratés ?

Par Anaïs Cherif  |   |  1075  mots
Les élections sénatoriales américaines, qui se tiennent le 6 novembre, seront le premier scrutin depuis la présidentielle de 2016 qui a signé la victoire de Donald Trump. (Crédits : Jonathan Bachman)
Deux ans après la victoire de Donald Trump, les Américains sont pour la première fois rappelés aux urnes mardi 6 novembre pour les élections de mi-mandat. Les sites locaux de l'administration, chargé du processus électoral, seraient très vulnérables aux cyberattaques, selon l'éditeur de logiciels McAfee. Un moyen jugé bien plus simple et efficace pour influencer l'issue du scrutin qu'un piratage massif de machines pour le vote électronique.

Campagnes massives de propagande sur les réseaux sociaux, piratage coordonné des machines de vote électronique... Et si le moyen le plus efficace de biaiser un scrutin n'était pas le plus évident ? C'est l'hypothèse affirmée par l'éditeur de logiciels McAfee à l'approche des élections sénatoriales américaines, qui se dérouleront le 6 novembre. Alors que le rôle joué par les réseaux sociaux dans la propagation de fausses nouvelles avait été pointé du doigt en 2016, l'entreprise s'inquiète de la trop faible protection des sites Internet de l'administration américaine dédiés au processus électoral.

"Les gros titres et les conférences sur la cybersécurité mettent l'accent sur des scénarios «hollywoodiens», où les machines de vote peuvent être piratées en 45 secondes, bouleversant le système électoral tout entier à travers une attaque bien orchestrée par un État-nation", note Steve Grobman, directeur des technologies chez McAfee, dans une étude publiée le 24 octobre. "En réalité, influencer l'électorat par de fausses communications [en se faisant passer pour l'administration] est plus pratique, efficace et simple que d'essayer de pirater des centaines de milliers de machines de vote."

"Swing states", ces Etats au vote crucial... et vulnérable

Le système américain étant décentralisé, chaque comté - division territoriale entre la ville et l'état - s'occupe d'organiser le processus électoral, le plus souvent via la création d'un site Internet. "Les sites Web des comtés sont généralement le premier endroit où un citoyen ira chercher des informations sur les prochaines élections locales", expliquait à la mi-octobre Steve Grobman lors d'une conférence de presse donnée à Las Vegas. Des informations précieuses telles que "les conditions d'éligibilité des électeurs, les horaires de vote anticipé, les délais d'inscription, le lieu ou encore les heures de vote".

L'éditeur de logiciels a donc passé en revue l'ensemble des sites administratifs des comtés dans 20 Etats américains, en se concentrant sur les fameux "swing states", ces Etats américains au vote indécis pouvant changer de camp. Des Etats au vote crucial pour l'issue du scrutin et donc, jugés plus vulnérables aux yeux des pirates informatiques. Dans le cadre de ce scrutin, les électeurs devront voter pour le renouvellement des 435 élus de la Chambre des représentants, de 35 des 100 sénateurs et de 36 gouverneurs d'Etats.

"La majorité des sites (des comtés) manque cruellement de mesures de base en matière de cybersécurité permettant de protéger les électeurs de campagnes de désinformation électorale", souligne l'étude.

Aucune cohérence dans les noms de domaine

Premier problème : "les noms de domaine ne sont pas standardisés, il n'y a aucune cohérence", regrettait Steve Grobman en octobre. "On trouve des sites avec des .com, .dot, .org, .net..." au détriment du .gov (dont l'équivalent français est .gouv.fr), qui permet de distinguer les sites gouvernementaux officiels de sites frauduleux. Contrairement aux noms de domaine type ".com", qui peuvent être achetés par n'importe qui sur la Toile, "les noms de domaine utilisant .gov doivent passer par un processus de validation du gouvernement fédéral américain afin de confirmer que le site Web en question appartient réellement à une entité gouvernementale officielle", souligne l'étude. La variété des noms de domaine faciliterait donc l'usurpation d'identité pur un comté, selon McAfee.

"Un acteur malveillant pourrait simplement envoyer des mails à des centaines de milliers d'électeurs dans les zones rurales ou urbaines des municipalités pour les diriger vers des liens de sites Web électoraux frauduleux. Ces derniers pourraient donner aux électeurs de fausses informations sur le moment, le lieu et la manière de voter", détaille l'étude, expliquant que les données des électeurs peuvent être achetées ou obtenus à partir de précédentes fuites de données.

"Un tel acteur perturberait (...) et peut-être même, supprimerait la participation électorale [de certains électeurs] par la désinformation. Aucun système ne serait déconnecté, aucun préjudice physique ne serait causé et personne ne le remarquerait même avant le jour du scrutin, lorsque des électeurs en colère se seront présentés au mauvais endroit."

Parmi les mauvais élèves en la matière, le Minnesota et le Texas affichent le pourcentage le plus élevé de noms de domaine "non-gov" avec respectivement 95,4% et 95%. Ils sont suivis par le Michigan (91,2%), le New Hampshire (90%) et le Mississippi (86,6%).

86% des Américains inquiets d'un processus électoral compromis

Autre préoccupation : les sites font l'impasse sur la certification SSL (Secure Sockets Layer). Ce protocole, qui permet de protéger les sessions des internautes en cours de navigation, est particulièrement répandu. Il est notamment utilisé par les sites des banques pour permettre la consultation de ces comptes. Il apparaît souvent sous la forme "https", assurant la véracité d'un site et chiffrant les éventuelles informations personnelles que les internautes pourraient partager.

"Le SSL est l'une des formes les plus élémentaires de "cyber-hygiène". Nous nous attendons à ce que tous les sites nécessitant une confidentialité ou une intégrité des données le déploie. Le fait que les sites Web (des comtés) manquent des bases primaires de la cyber-hygiène est très troublant", martelait Steve Grobman.

La Virginie occidentale affiche le plus grand nombre de sites Web dépourvus de sécurité SSL avec 92,6% des sites non protégés, suivis par le Texas (91%), le Montana (90%) et le Mississippi (85,1%).

"Cela est très choquant, car ce que nous avons observé relève uniquement de la partie publique et visible de l'iceberg", estimait Steve Grobman. "Pour les dossiers auxquels nous n'avons pas accès, comme par exemple les registres de vote, est-ce que l'administration fait un meilleur job ?"

Selon un sondage réalisé par le cabinet de conseils Unisys, 86% des Américains s'inquiètent de la possibilité que les systèmes de vote soient compromis par des acteurs étrangers - comme cela avait été le cas en 2016, où les campagnes de désinformation publiées sur les plateformes comme Facebook, Twitter et Google, avaient été reliées à la Russie. Toujours selon le sondage, près d'un Américain sur cinq (19%) "ne votera pas" ou "a de fortes chances" de ne pas voter aux élections de mi-mandat, craignant que des acteurs extérieurs ne compromettent les systèmes de vote.