Discussion :

[Olivier Famien]

Defcon 2017 : les hackers parviennent à pirater toutes les machines de vote américaines disponibles,
l’attaque gagnante se fait en quelques minutes

En 2016, les élections américaines ont eu de nombreux rebondissements liés à des piratages de données. D’abord, le parti des démocrates le DNC conduit par Hillary Clinton a été victime d’un piratage de ses emails dont les auteurs seraient des personnes travaillant avec le gouvernement russe, a soutenu la Maison-Blanche. Alors que cette affaire n’avait pas encore fini de livrer ses secrets, le FBI a rapporté des soupçons d’infiltration dans les bases de données des élections de plusieurs États américains. Encore cette fois, les regards des enquêteurs se sont tournés vers des hackers affiliés au gouvernement russe.

Après ce forfait, ce fut en août 2016 au tour de Colin Powell, le général quatre étoiles et ancien secrétaire d’État américain sous trois présidents de faire l’objet d’attaques informatiques. La messagerie de l’ancien secrétaire général d’État américain a été piratée et plusieurs commentaires personnels traitant durement les deux candidats pour la maison blanche (Hillary et Trump) sont parvenus à la presse. Jusqu’à la fin des élections américaines, plusieurs cas de piratages ont été rapportés par les autorités de ce pays.

Face à cette menace persistante, des solutions avaient été proposées afin de protéger les élections américaines de toute influence ou ingérence extérieure. En janvier dernier, le gouvernement américain a décidé de classer les systèmes de vote en tant qu’infrastructure critique, ce qui a pour effet de le mettre dans la même catégorie que le réseau électrique du pays et le secteur bancaire. Toutefois, le système de vote demeure toujours sous l’autorité de chaque État.

Dans un souci de renforcer la sécurité de ces systèmes de vote, certains fabricants américains de machines de vote ont exposé leurs machines à des tests de piratage à la conférence Defcon qui a lieu ce week-end à Las Vegas aux États-Unis. Pour la première fois, cette conférence a vu la participation de plusieurs entreprises dont Sequoia AVC Edge, ES&S iVotronic, Diebold TSX, Winvote, et Diebold Expresspoll 4000 qui ont prêté leurs équipements à des fins de tests de sécurité. D’autres machines ont été acquises sur des sites de revente comme Ebay.

Sur les 30 machines de vote disponibles à la conférence, aucune d’entre elles n’a pu résister aux assauts des hackers. « Je ne savais pas ce à quoi m’attendre, mais j’ai été surpris par ce que j’ai trouvé », a déclaré Thomas Richards, consultant en sécurité. Et d’ajouter qu’il « m’a fallu seulement quelques minutes pour voir comment le pirater. » La machine testée par Richards avait un firmware développé en 2007, mais comporte des vulnérabilités rapportées depuis plusieurs années.

Sur la machine conçue par AVS WinVote, Windows XP était installé. Un pirate en a profité pour installer Windows Media Player et a rickrollé l’écran de la machine pour jouer la chanson Never Gonna Give You Up de Rick Astley. Sur toutes les machines de Sequoia AVC Edge, les participants sont parvenus à détecter qu’elles sont toutes protégées par un même mot de passe codé en dur.

Schurman, un professeur d’informatique à l’Université de Copenhague au Danemark, qui participait également à la conférence a utilisé une connexion Wi-Fi d’un ordinateur portable pour avoir accès à la machine de vote de Fairfax County utilisée jusqu’en 2015. À partir de là, le professeur disposait de privilèges administratifs suffisants pour voir tous les votes exprimés sur l’appareil, les modifier ou les supprimer complètement. Le professeur explique qu’en situation réelle, il lui aurait fallu environ une minute pour accéder au système.

Sur une autre machine, une autre équipe est parvenue à restaurer les résultats de vote de 2002 alors que les données sur la machine sont censées avoir été nettoyées avant d’avoir été vendues aux enchères par les autorités étatiques qui les ont utilisées auparavant.

Anne-Marie Hwang, une stagiaire de l’entreprise de sécurité numérique Synac, a démontré qu’en utilisant une clé générique en plastique pour imiter celles données aux employés de vote et en connectant un clavier à la machine, elle pourrait avoir accès à la machine avec des privilèges administratifs en appuyant sur Ctrl + Alt + Del et en entrant le mot de passe générique de la machine de vote. En outre, l’équipe de Synac a également démontré qu’il est possible d’accéder à la machine de vote à partir d’une application mobile en installant un programme de bureau distant.

Voici autant de failles que la 25^e session de Defcon a révélées à travers son Voting Machine Hacking Village. L’équipe gagnante a piraté une machine de vote en quelques minutes.

Au vu des vulnérabilités révélées, plusieurs personnes trouvent préoccupantes les machines de vote utilisées dans les élections aux États-Unis. Mais certains relativisent en expliquant que les machines de vote ne sont pas connectées à internet ce qui limite la portée des failles. De même, elles font l’objet d’une surveillance physique accrue. Du côté des experts, plusieurs espèrent que ces failles inciteront les autorités américaines à accroître les opportunités de tests de sécurité de ces machines par des acteurs extérieurs.

Source : Defcon, The Hill, Politico, USA Today, Twitter

Et vous ?

Quel est votre sentiment au vu des failles révélées par cette conférence ?

Voir aussi

Pwn2Own fête son 10^e anniversaire avec des exploits inédits, des participants ont réussi un hack d'une VM et d'Ubuntu 16.10
Pwn2Own 2015 : les hackers en action. Comment Firefox, Chrome, IE, Safari, Windows, Adobe Flash et Reader ont été piratés

[Hizin]

Il faudrait voir avec les nôtres, mais bon... Ce sont les cris d'alarmes que le secteur hurle depuis que l'idée a été énoncé.
Seule la confirmation de leur extrême vulnérabilité est nouvelle.

[BufferBob]

Quel est votre sentiment au vu des failles révélées par cette conférence ?

que le vote en ligne c'est pas pour tout de suite

[Dhafer1]

Si il est aussi simple de les pirater, Serait-il fou de penser que la CIA, NSA puissent choisir leur candidats et dicter la politique américaine ?

Des antécédents ont déjà eu lieu avec les Kennedy qui ont tout simplement été assassiné par la CIA.

[ParseCoder]

Selon un rapport des vétérans des services de renseignements américains, les "preuves" de l'ingérence russe dans les élections US sont un montage: Intel Vets Challenge ‘Russia Hack’ Evidence

Je vous fait la version courte: le prétendu piratage du DNC par Guccifer 2.0 n’était pas un hacking venant de Russie ou d’ailleurs, mais bien une copie de données du DNC sur un système de stockage externe par une personne ayant un accès physique au serveur. L’analyse technique réalisée sur les métadonnées révèle qu’il y eut ensuite une insertion artificielle – un copier-coller utilisant un modèle russe – avec l’objectif clair d’attribuer les données à un piratage russe. Toute l’opération a eu lieu dans la zone horaire de la côte Est.

Il apparaît donc que le "piratage" par Guccifer 2.0 était une diversion pour discréditer les révélations à venir d'un premier piratage du DNC (par une autre persone ayant également un accès physique au serveur) un mois avant celui de Guccifer 2.0 en les faisant passer pour un hacking russe. Pour rappel ce piratage a permit de révéler que le DNC avait organisé le trucage des primaires démocrates en faveur de Hillary Clinton. Suite à ces révélations des responsables du DNC avaient dû donner leur démission.

Interview de Ray McGovern, membre de Veteran Intelligence Professionals for Sanity (VIPS):

C'est énorme!