Des #machines_à_voter américaines piratées en moins de deux heures
▻http://www.lemonde.fr/pixels/article/2017/07/31/des-machines-a-voter-americaines-piratees-en-moins-de-deux-heures_5167048_44
« Que l’on puisse pirater des machines à voter signifie qu’elles ont peut-être déjà été piratées par le passé. Cela remet quand même en cause la légitimité des présidents des Etats-Unis », s’inquiète Carsten Schürmann. Professeur en programmation à l’IT-University de Copenhague, il dirige DemTech, une cellule d’étude sur les technologies servant à voter au Danemark. Il est également le premier a avoir piraté l’une des trente machines électorales rassemblée à la Def Con, à Las Vegas (Nevada). La 25e édition de cette convention sur la cybersécurité, l’une des plus grandes au monde, avait lieu du 27 au 30 juillet.
Au cours de cette manifestation, de nombreux ateliers-villages ont permis, par exemple, d’ouvrir des coffres-forts ou de chiffrer (et déchiffrer) des données. Pour la première fois depuis les débuts de la DefCon, un atelier a également réuni des machines électorales de différents modèles (#Sequoia, #Diebolds, etc.), récupérées sur eBay ou lors d’enchères publiques. Cet atelier a fait salle comble.
Jusqu’à présent, « l’accès à ces machines a été plutôt limité pour les amateurs qui cherchent à débusquer les bugs système », explique Brian Knopf, à l’origine du projet de « village électoral » de la DefCon et chercheur en IOT (Internet des objets) pour Neustar, une entreprise américaine d’analyse pour la sécurité. « DefCon est donc une excellente opportunité (…) de jeter un œil à ces systèmes et de répondre à la question : peut-on les hacker ? »
La question est presque rhétorique : de nombreux spécialistes en sécurité informatique s’inquiètent depuis des années des faiblesses des machines utilisées aux Etats-Unis, souvent anciennes. En juin, le département de la sécurité intérieure des Etats-Unis a confirmé que des hackeurs russes avaient conduit des repérages sur vingt et un systèmes électoraux durant l’élection présidentielle de 2016. Il n’y aurait toutefois aucune preuve que les votes aient pu être manipulés.
L’inquiétude est d’autant plus justifiée qu’à la DefCon Carsten Schürmann n’a eu besoin que de une heure quarante pour pirater à distance une #Winvote, une vieille machine électorale décommissionnée en 2007 (mais utilisée en Virginie jusqu’en 2015).
« Il y a plein de manières de pirater une machine : avec une clé USB, on infecte le matériel avec un virus. On peut aussi modifier les composants en démontant la machine. Mais la manière élégante de le faire est à distance, explique M. Schürmann au Monde. Pas besoin de toucher la machine ou d’interagir avec. Vous pouvez être à l’extérieur, dans une voiture, et changer tous les résultats de plusieurs machines par l’intermédiaire de votre ordinateur. »
Pour le prouver, à la fin de la journée, au DefCon, des hackeurs ont transformé la Winvote… en juke-box.