USA : un fournisseur installe une application d’accès à distance sur des systèmes de vote
Et ravive les doutes sur la crédibilité des élections
Il s’agit d’un aveu relayé par des médias américains. Election Systems and Software (ES&S) admet avoir installé l’application pcAnywhere de Symantec sur des systèmes de vote. L’information est tirée d’une lettre envoyée au mois d’avril par ce fournisseur à un sénateur de l’Oregon.
Aux USA, ces systèmes sont regroupés dans le lot des infrastructures critiques depuis le mois de janvier. La correspondance d’ES&S intervient donc très probablement dans le cadre d’enquêtes.
Entre 2000 et 2006 où l’entreprise procède à l’installation de l’application d’accès à distance, aucune disposition dans la loi fédérale n’interdit la pratique. pcAnywhere se retrouve donc sur une partie des systèmes de vote du pays ; probablement le résultat de l’objection de certains États ou de lois locales empêchant la manœuvre. Avec l’introduction d’une loi fédérale en matière de test et de certification des systèmes de vote en 2007, l’entreprise arrête (selon sa déclaration) d’insérer le tandem modems et application d’accès à distance aux (nouveaux) systèmes de votes.
Il y a seulement que l’allusion aux systèmes de votes renvoie aux ordinateurs. Dès qu’on l’a intégré, la notion de vulnérabilité ne court pas bien loin. Le problème avec la déclaration de l’entreprise est que dans la période mentionnée, deux rapports accablent le soft de connexion à distance. En 2006, Anonymous est entré en possession de son code source. La nouvelle n’a fait surface qu’en 2012 lorsque Symantec s’est vu forcé d’admettre le casse après publication du contenu par les pirates. À la même période (janvier 2012), une note faisant état de ce que pcAnywhere est affecté par une vulnérabilité d’accès à distance sans authentification a jailli.
Possibilités de tripatouillages, crédibilité des élections mises à mal …
Les logiciels comme pcAnywhere sont utilisés par les administrateurs système pour effectuer des tâches de maintenance et de mise à jour à distance. D’après ES&S, seul le bureau de vote pouvait initier une communication avec ses techniciens. Autrement dit, le modem était configuré de sorte que le système de gestion des votes ne puisse recevoir d’appel entrant. Mais, comment apporter du crédit au propos d’une entreprise dont l’un des porte-parole a déclaré en février qu’ « aucun de nos employés n’est au courant de ce que nos systèmes de vote ont été vendus avec des applications d’accès à distance » ? L’hypothèse d’une interférence d’un employé d’ES&S (ou d’un tiers exploitant le même canal) avec les processus électoraux fait donc sens.
Elle prend encore plus de force si l’on prend en compte des développements liés à l’élection présidentielle américaine de novembre 2016. Référence faite à une publication de NBCNews, les électeurs de 15 États (dont la très controversée Pennsylvanie) ont voté sur des machines sans piste papier, ce qui suggère qu’il s’agissait de matériel obsolète, truffé de failles.
« Installer une application d’accès à distance et un modem sur un système de vote est la pire des décisions qui équivaut à abandonner des urnes dans un coin de rue de Moscou », a déclaré le sénateur de l’Oregon.
ES&S continue à maintenir beaucoup de flou autour de cette enquête. L’entreprise s’est refusée à apporter réponse à bon nombre de questions et de requêtes (dont celle de dresser la liste complète de tous les clients concernés).
« ES&S doit cesser de faire obstruction et fournir une comptabilité complète et honnête de l'équipement qui pourrait être vulnérable aux attaques à distance. Quand une entreprise qui fabrique la moitié des machines à voter aux USA refuse de répondre aux questions les plus élémentaires en matière de cybersécurité, vous êtes en droit de vous demander ce qu'elle cache », a ajouté Ron Wyden.
Source : VICE
Et vous ?
Que pensez-vous de l'incessant regard porté sur la Russie dans le cadre des interférences sur les élections US ?
Voir aussi :
Des systèmes de vote américains ont été compromis par des hackers afin de voler les données personnelles des électeurs
Un représentant au Congrès américain propose des mesures afin de protéger le système de vote contre les cyberattaques de plus en plus sophistiquées
Le gouvernement américain classe les systèmes de vote en tant qu'infrastructure critique pour renforcer leur sécurité face aux menaces de piratage
Partager