Particulièrement répandu aux États-Unis, beaucoup moins en France, le vote électronique est encore sujet à débats et à méfiance. Pour Wired, un consultant en cybersécurité a inspecté sous la carrosserie pour déceler des failles.
En 2016, Brian Varner s'est procuré deux machines de vote pour seulement 100 dollars pièce sur eBay, livrées à domicile. Le premier problème se pose ici: aucun système de contrôle n'est appliqué à ces machines en liberté, alors qu'elles peuvent potentiellement contenir des informations sensibles. Découvrir l'intimité de leurs systèmes et circuits imprimés s'est révélé encore plus simple: les vis censées être inviolables n'ont pas résisté, et tout l'équipement électronique était encore intact.
Les disques durs n'avaient pas été nettoyés et renfermaient encore des données non chiffrées des noms des candidats, des circonscriptions et du nombres de votes à l'élection présidentielle de 2012. Une étiquette «propriété du gouvernement» était même toujours visible. En l'espace de quelques heures, Varner est parvenu à modifier les données et à changer le nom des candidats.
Nouvelle génération trompeuse
En 2018, il a de nouveau acheté deux nouvelles machines pour comparer leur niveau de sécurité. À son grand désarroi, ces machines, utilisées pour l'élection présidentielle de 2016, étaient encore plus faciles à exploiter. Elles tournaient sous Windows CE et comportaient des ports USB. En clair, ces machines de votes vendues comme «nouvelle génération» sont moins sécurisées que les anciennes.
Une étude récente a conclu qu'un pirate doit obligatoirement avoir un accès physique à la machine pour la manipuler. Notamment grâce à l'utilisation d'une carte à puce, requise pour authentifier la personne votante –il a donc suffi à Varner et son équipe d'utiliser une carte confectionnée par leurs soins.
Pour le consultant, l'idée derrière cette expérience n'est pas de satisfaire sa curiosité mais d'inciter l'écriture de lois et de protocoles de sécurité qui régiraient la sécurité des machines de vote. Dans un contexte de défiance grandissante face aux systèmes démocratiques ou d'ingérences de puissances étrangères dans les processus électoraux de nations rivales, cela semble être la moindre des choses.
Il préconise d'abord la mise en place d'un suivi tout au long du cycle de vie des machines, pour contrôler les ventes en seconde main. Ensuite, le chiffrement des données serait déjà une logique avancée. Et, enfin, mettre l'accent sur l'éducation, pour apprendre au grand public à repérer des comportements suspects.
