USA : des chercheurs affirment que l'outil de vote en ligne OmniBallot utilisé dans cinq États présente des risques de sécurité,
les fraudeurs peuvent falsifier les bulletins de vote sans être détectés

OmniBallot, un système de vote par correspondance électronique conçu par Democracy Live, est utilisé par des dizaines de juridictions aux États-Unis. En plus de livrer les bulletins de vote et d'aider les électeurs à les marquer, il comprend une option de vote en ligne. Au moins trois États, la Virginie-Occidentale, le Delaware et le New Jersey ont utilisé cette technologie ou prévoient de le faire lors d'une prochaine élection. Quatre juridictions locales de l'Oregon et de l'État de Washington utilisent également la fonction de vote en ligne. Mais de nouvelles recherches menées par deux informaticiens, Michael Specter du MIT et Alex Halderman de l'université du Michigan, ont montré que le logiciel ne disposait pas de protections de sécurité suffisantes, ce qui crée un risque sérieux pour l'intégrité des élections.

La question est particulièrement urgente en ce moment, car la pandémie du COVID-19 en cours oblige les responsables électoraux à apporter des modifications importantes aux procédures électorales. À l'heure actuelle, la plupart des juridictions qui utilisent le logiciel OmniBallot n'utilisent pas sa fonction de livraison de bulletins électroniques. Mais l'activation de cette fonction ne nécessiterait guère plus qu'un changement de configuration. Il y a un risque que les responsables électoraux, sous la pression de faciliter le vote à distance, décident d'activer la fonction de vote en ligne du logiciel pour les élections générales de novembre prochain.


Comment fonctionne OmniBallot ?

Specter et Halderman ont obtenu une copie du logiciel OmniBallot, en ont fait une ingénierie inverse, puis ont créé un nouveau logiciel de serveur qui imitait le comportement du vrai serveur. Cela leur a permis d'expérimenter le logiciel sans risquer d'interférer avec une véritable élection.

OmniBallot offre un certain nombre de fonctionnalités différentes que les responsables des élections nationales ont la possibilité d'offrir aux électeurs. La plus basique est une fonction de livraison de bulletins de vote vierges qui fournit à l'électeur un bulletin de vote PDF qui peut être imprimé et renvoyé par la poste au bureau de vote.

Les administrations peuvent également proposer une fonction de marquage des bulletins de vote, qui permet de marquer un bulletin au nom de l'électeur avant qu'il ne soit imprimé. Cela peut permettre aux électeurs aveugles de remplir un bulletin de vote de manière indépendante. Il peut également empêcher les survotes et avertir les électeurs des sous-votes.

Mais Specter et Halderman affirment que cette capacité comporte des risques supplémentaires. Un logiciel malveillant pourrait être programmé pour changer de vote en une fraction du temps. Théoriquement, les électeurs sont censés vérifier que les votes sont corrects avant de poster leur bulletin de vote, mais les recherches suggèrent que les électeurs sont laxistes à cet égard. Une étude réalisée par Halderman et d'autres chercheurs a révélé que seulement 6,6 % des électeurs lors d'une simulation réaliste d'élection ont signalé un changement de vote aux superviseurs électoraux.

Par défaut, le logiciel génère le PDF du bulletin de vote marqué sur un serveur OmniBallot, et non sur le propre appareil de l'utilisateur. Cela crée un risque inutile pour la confidentialité du vote de l'électeur, affirment Specter et Halderman, puisque cela signifie que Democracy Live obtient une copie non nécessaire des votes de l'électeur.

Democracy Live offre également une option de marquage des bulletins de vote côté client. Lorsque cette option est choisie par les administrateurs électoraux, le bulletin de vote est marqué sur le propre appareil de l'utilisateur, sans partage des données avec les serveurs de Democracy Live. Les informaticiens recommandent que toutes les juridictions qui utilisent la fonction de marquage des bulletins de vote d'OmniBallot doivent passer à la version côté client du logiciel.

Les problèmes liés au vote en ligne

Bien que les logiciels de marquage des bulletins de vote posent certains problèmes de sécurité, les chercheurs affirment que ces problèmes sont minimes par rapport aux vulnérabilités de sécurité du système de distribution électronique des bulletins de vote de OmniBallot.

Le problème fondamental est que la complexité et l'opacité des systèmes de vote en ligne créent de nombreuses possibilités pour un pirate informatique de falsifier un bulletin de vote pendant le processus de transmission. Un logiciel malveillant sur le dispositif client pourrait modifier le bulletin de vote avant qu'il ne soit transmis aux serveurs de Democracy Live. OmniBallot est construit sur Amazon Web Services en utilisant les bibliothèques JavaScript fournies par Google et Cloudflare. Ainsi, des pirates informatiques ou des initiés malveillants de l'une de ces sociétés pourraient potentiellement modifier les bulletins de vote s'ils avaient accès aux systèmes de l'une de ces sociétés.

Et la nature du vote en ligne signifie qu'il n'existe aucun moyen fiable pour un électeur de vérifier qu'un bulletin de vote a été transmis correctement. Les ingénieurs en logiciel ont développé des conceptions théoriques pour les systèmes de vote avec un chiffrement de bout en bout. Ces systèmes utilisent une cryptographie sophistiquée pour permettre aux électeurs de vérifier de manière chiffrée que leur vote a été correctement compté. Mais Democracy Live ne fait rien de tel. Dans leur article, Specter et Halderman décrivent comment un pirate pourrait exploiter l'absence de vérification de bout en bout.

« L'application web afficherait un bulletin de vote contenant les sélections que l'électeur a voulu, mais le bulletin de vote qui a été déposé aurait des sélections choisies par l'attaquant. L'attaque s'exécuterait sur le client, sans interactions inhabituelles avec Democracy Live, donc il n'y aurait aucun moyen pour la société ou les responsables des élections de le découvrir », écrivent-ils.


L'audit ne résout pas le problème

Democracy Live mène des audits postélectoraux en utilisant le logiciel AWS CloudTrail d'Amazon pour vérifier qu'aucun employé de Democracy Live n'a abusé de son accès aux serveurs de l'entreprise. Ces contrôles pourraient détecter certaines formes de falsification des élections, mais Specter et Halderman soulignent qu'ils sont loin d'être infaillibles.

Ces méthodes ne détecteraient aucune attaque exécutée du côté du client. Si un malware sur le PC d'un utilisateur modifiait le bulletin de vote de l'utilisateur avant de l'envoyer aux serveurs de Democracy Live, cela n'apparaîtrait pas dans les journaux de CloudTrail. Si une personne ayant accès aux serveurs de Google ou de Cloudflare fournissait des bibliothèques JavaScript malveillantes aux utilisateurs d'OmniBallot, cela n'apparaîtrait pas dans les journaux de l'AWS. Une personne ayant un accès administratif aux serveurs d'Amazon pourrait être en mesure de modifier le logiciel de Democracy Live d'une manière qui n'apparaîtrait pas dans les journaux.

Bien sûr, la plupart de ces attaques ne seraient pas faciles à réaliser. Google, Amazon et Cloudflare sont trois des sociétés de logiciels les plus sophistiquées au monde et prennent des précautions élaborées pour défendre leurs systèmes. Mais des attaques sophistiquées deviendraient bien plus plausibles si le logiciel était utilisé pour élire les membres du Congrès, et même le président.

Les chercheurs n'ont pas trouvé de bogue majeur dans le code d'OmniBallot. La sécurité du logiciel ne dépend pas seulement du logiciel lui-même, mais aussi de la sécurité de l'environnement sur lequel le système fonctionne. Par exemple, il est impossible de maintenir la sécurité d'un logiciel de vote s'il fonctionne sur un ordinateur infecté par un logiciel malveillant. Et des millions de PC aux États-Unis sont infectés par des logiciels malveillants.

Il existe un consensus écrasant parmi les experts en sécurité informatique sur le fait que le vote par Internet est une mauvaise idée en général. Halderman et Specter citent un rapport de 2018 des Académies nationales des sciences, de l'ingénierie et de la médecine qui a conclu « qu'aucune technologie connue ne garantit le secret, la sécurité et la vérifiabilité d'un bulletin de vote marqué transmis sur Internet ».

Source : Rapport (pdf)

Et vous ?

Quelle est votre opinion sur le sujet ?
Partagez-vous l'avis des experts qui pensent que ces illustrations sont la raison pour laquelle il serait trop dangereux de passer au vote en ligne lors des élections ? Dans quelle mesure ?
Partagez-vous l'avis de ceux qui pensent que les USA devraient abandonner ce système de vote en ligne ?

Voir aussi :

App de vote du Parti démocratique de l'Iowa pour les présidentielles : pas de contrôle de sécurité, pas de test, pas de formation. le PDG de la société qui a gagné le marché s'excuse

Twitter va commencer à étiqueter les deepfakes ainsi que d'autres contenus trompeurs avant l'élection présidentielle de 2020 aux USA, et supprimera ceux susceptibles de causer de graves dommages

DARPA développe une machine à voter open source avec Galois, pour sécuriser les élections sans revenir aux bulletins de vote en papier