Pour ses élections municipales organisées dimanche, la ville de Buenos Aires a décidé de recourir à des machines de vote électronique, dont la fiabilité est très régulièrement critiquée — au delà-même de l’abandon de la symbolique démocratique (la transparence du scrutin matérialisée par une urne transparente que chacun peut contrôler étant remplacée par la confiance qu’il faut accorder à une urne opaque que personne ne peut vérifier). Mais le manque de sécurité du scrutin a pu être démontré pendant l’organisation du vote, grâce à une fuite il y a une semaine du code source qui aurait dû rester confidentiel, comme l’est en France le code utilisé pour certaines élections.
Le chercheur en sécurité informatique Joaquín Sorianello (@_joac) a ainsi découvert plusieurs failles avec le système installé, documentées sur Github. La machine à voter imprime le bulletin sur une feuille équipée d’une puce RFID, et un serveur est chargé de collecter les voix dans chaque bureau de vote et d’envoyer les résultats vers un serveur central, qui les agrège pour calculer le résultat final. Or selon les découvertes du chercheur les certificats SSL utilisés pour certifier les résultats envoyés vers le serveur central était accessibles en clair, ce qui permettait à n’importe quel assaillant d’envoyer sa propre comptabilité en se faisant passer pour une machine de vote autorisée. Une simple commande wget sur un serveur HTTP a suffi à les télécharger :
Para obtener los certificados no hubo hackeo, MSA expuso los certificados por HTTP, sin usuario ni contraseña. Yo los bajé con wget.
— Prometheus (@prometheus_ar) 4 Juillet 2015
Lorsqu’il a découvert ces failles, Joaquín Sorianello a contacté la société MSA (Magic Software Argentina), qui avait été mandatée sans marché public pour organiser le scrutin.
Samedi, à la veille du scrutin, d’autres chercheurs ont découvert une faille baptisée MultiVoto. Comme son nom l’indique, elle permet de voter plusieurs fois avec un seul bulletin, et donc de bourrer l’urne, a priori sans détection. Par exemple en utilisant un téléphone NFC à la place du bulletin avec la puce RFID :
Mais plutôt que d’annuler ou reporter l’élection, la réaction des autorités fut toute autre. Joaquín Sorianello a vu la police débarquer chez lui avec mandat de perquisition, et fouiller toute sa maison avant d’embarquer tout son matériel électronique. Il ne serait pas accusé d’avoir piraté la moindre machine, mais simplement d’avoir rapporté publiquement l’existence de ces failles.
Después de encontrar una vulnerabilidad grave en el sistema de voto electrónico a #MSA estan allanando mi casa, los de delitos informaticos.
— joac (@_joac) 4 Juillet 2015
Un audit conduit par l’Université n’avait découvert aucune de ces failles, ce qui faire réfléchir lorsqu’en France, l’Etat confie le contrôle du vote électronique à un seul expert.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.