Après les élections françaises et américaines, ayant chacune connu leur lot de hacks, de suspicion de piratages et de fuites de données, on est en droit de se demander si le sort des démocraties est désormais entre les mains des hackers plus que des peuples. Comment s'assurer que les élections du futur resteront imperméables aux cyberattaques ? Quelles méthodes sécurisées, quelles protections s'imposent ?
De l'importance de défendre les campagnes
Sur les 37 sites Internet correspondants aux 11 candidats des élections présidentielles en France de 2017, l'expert en délinquance informatique Damien Bancal avait recensé plus de 200 failles de sécurité – tenant parfois, au-delà des injections SQL ou des failles XSS, à des aberrations telles que des mots de passe trop simples (il raconte ainsi que le site des Républicains, sous WordPress, n'était défendu que par un identifiant "admin" et un mot de passe... "admin"). Pourtant des opérations simples de mise à jour et l’application des bonnes pratiques permettraient de colmater, à moindre effort, ces failles critiques. Et ce problème ne concerne pas seulement la France : peu après les élections en France, c'est le compte Twitter de l'agence de presse officielle du Qatar qui se retrouva piraté, diffusant de fausses déclarations de l'émir, très vite reprises par les médias. En début d'année 2018, cette déferlante malsaine s’est abattue sur les élections municipales tunisiennes ainsi que sur la campagne présidentielle mexicaine.
En 2017, nous avons découvert une nouvelle victime de cyberattaques : la démocratie !
Guillaume Poupard, Directeur Général de l’ANSSI
Avant même de sécuriser les stations de vote, il faut donc imaginer des moyens de se prémunir contre les tentatives de déstabilisation et fake news diffusées désormais massivement, voire systématiquement. Afin d'éviter que des informations calomnieuses ne se répandent comme des traînées de poudre à l'approche des élections, il serait possible de mettre en place certains filtres, au niveau des URL comme des contenus, avertissant les utilisateurs de la visite sur des sites de désinformation ou ayant mauvaise réputation.
De tels systèmes ne sont cependant pas parfaits dans la mesure où il n'est possible de ne bloquer efficacement que ce dont le caractère illégitime a déjà été établi : pour laisser les IA filtrer les fake news, il s'agirait donc de mettre en place des systèmes d’analyse syntaxique capables de détecter des variantes de ces news, en les entraînant notamment sur des échantillons tantôt malveillants, tantôt sains. Ainsi, de la même manière qu'il est d'ores et déjà possible de détecter les campagnes de spam, la prolifération de trolls pourrait être automatiquement endiguée.
Le moment le plus litigieux : l'enregistrement des électeurs
La campagne est cependant loin d'être le moment le plus vulnérable des élections : l'enregistrement des votants, le vote en lui-même, et enfin le dépouillement posent, dans le cas d'élections électroniques, des problèmes plus complexes. Les études de la NSA en cours sur la possible ingérence de la Russie dans les élections présidentielles américaines de 2016 insistent sur le fait que ce sont les systèmes d'enregistrement des électeurs, effectués sur Internet et sans réelles protections, qui se sont montrés les plus vulnérables aux assauts.
Plusieurs types de fraudes sont en effet à envisager ici : dans un premier cas de figure, un système mal sécurisé peut permettre à un seul individu d'enregistrer plusieurs votants, et donc de voter plusieurs fois. Un autre cas de figure suppose que les identifiants d'un électeur enregistré soient subtilisés, et que quelqu'un d'autre vote à sa place. Un dernier cas, plus radical encore, suggère que des électeurs enregistrés en bonne et due forme se retrouvent purement et simplement supprimés des listes au moment fatidique. De telles situations obligent à se replier in extremis sur un vote plus classique, dans les urnes – l'objectif étant de décourager les votants, alors confrontés à des files d'attentes démesurées.
Les solutions antivirales classiques, basées sur le pattern matching, sont aujourd’hui dépassées dans la mesure où elles ne se concentrent que sur des signatures, des morceaux de codes qu’elles vont rechercher au sein des fichiers utilisés pour les cyberattaques. D’autres protections existent à ce jour pour assurer l’intégrité du système d’enregistrement, en sécurisant à la fois les serveurs, les stations des opérateurs de ce système et les données qui y sont hébergées. Intégration de la sécurité dans le design des applications de gestion des électeurs, audits réguliers du code et des vulnérabilités, mise en place de firewalls applicatifs pour segmenter les environnements, gestion d’identités à base de certificats et de biométrie sont autant de garde-fous qui doivent impérativement être déployés. En outre, des technologies de nouvelle génération permettant la détection de menaces inconnues, en se basant sur une approche comportementale, complète cet arsenal : le comportement des applications qui tournent sur un système est analysé en temps réel, si le comportement dévie de ce qui est considérée comme une activité normale, une alerte est levée et le comportement suspicieux bloqué.
Les risques du vote informatique
Les stations de vote, connectées ou non, peuvent également être les cibles potentielles d'attaques plus sophistiquées : dès lors, comment s'assurer que le choix des votants ne soit pas manipulable ?
Les systèmes de vote en ligne peuvent en effet se révéler vulnérables à des attaques, telles que le déni de service par exemple. Après de nouveaux déboires lors des élections présidentielles américaines en 2016, les responsables de l’État de New York ont annoncé qu’ils allaient organiser des séries d’exercices pour empêcher le piratage informatique et les autres menaces cyber, dans l’optique des élections pour la Chambre des Représentants et le Sénat américain de la mi-juin 2018. Attention, les systèmes de vote offline n'apportent pas forcément une fiabilité plus grande : utilisées durant les élections présidentielles de 2004 aux États-Unis, les machines Diebold ont vu leur code fuiter sur Internet, si bien qu'il s'avéra possible pour un électeur de voter plusieurs fois.
Les systèmes de vote électroniques doivent avant tout garantir que tous les votes légitimes ont été correctement comptabilisés, qu'aucun n'a été dupliqué, modifié ou supprimé, et qu’aucun faux bulletin n'a pu être inséré par une entité malveillante. De telles preuves peuvent être apportées par le biais de preuves cryptographiques, détenues uniquement par les autorités de confiance. Évidemment, avant de se fier aux systèmes de chiffrement électronique, il s’agit bien sûr de se fier à ceux qui en ont la charge ; ici le problème reste le même qu’avec le vote traditionnel.
En Suisse, les cantons de Fribourg et Neuchâtel proposent d'ores et déjà le système de vote par smartphone, en lien avec La Poste. Chaque électeur reçoit chez lui un bulletin de vote avec des codes correspondant à quatre moments de vérification : le code d'initialisation, les codes de vérification permettant de s'assurer que ses choix ont bien été transmis, un code de confirmation correspondant au moment où le papier est glissé dans l'urne, et enfin un code de finalisation clôturant le processus. D'autres cantons devraient s'y mettre prochainement.
Il reste aujourd’hui difficile de garantir l’ensemble des propriétés de sécurité des systèmes de vote électroniques. Or la démocratie n’est jamais aussi solide que par la confiance accordée par le peuple à ses représentants : faut-il alors tomber dans la fatalité et se résoudre à remettre à plus tard cette version numérique qui se profile, ou bien enfin prendre le taureau par les cornes ? Pour une vraie démocratie numérique, la sécurité doit être intégrée dès la phase de conception de ces systèmes de vote pour être réellement prise en compte dans les processus démocratiques. Et si la blockchain apportait déjà des éléments de réponse ?
Merci à l’équipe Security Intelligence de Stormshield, pour son aide précieuse dans l'écriture de cet article, en collaboration avec Usbek & Rica