Machines à voter électronique dépassées, systèmes de vote vulnérables depuis dix ans : des experts en sécurité informatique s’inquiètent du risque de “piratage” des élections de mi-mandat aux États-Unis.

Dans l’État de Georgie, dans le sud-est des États-Unis, la dernière ligne droite pour les élections de mi-mandat du 6 novembre s’est transformée en foire d’empoigne autour de la cybersécurité. Le candidat républicain Brian Kemp a lancé une enquête, dimanche 4 novembre, contre le camp démocrate qu’il soupçonne d’avoir cherché à “pirater” l’élection.

Son adversaire Stacey Abrams a répliqué qu’il s’agissait d’une manœuvre d’un candidat à bout d’arguments. Surtout, les démocrates affirment que le maillon faible en la matière est en réalité républicain.

Une élection à la merci de la technologie

Des experts en cybersécurité ont démontré que le site pour s’enregistrer comme électeur dans l’État avait une faille de sécurité tellement grossière que n’importe quel apprenti “hacker” pouvait altérer la base de données des votants, y compris effacer des noms. La personne en charge des listes électorales n’est autre que Brian Kemp. Ce dernier a affirmé que le fait de chercher une faille dans son dispositif démontrait la volonté de “hacker” l’élection.

Mais pour les démocrates de Géorgie, cette découverte a ravivé les craintes que le candidat républicain, ou des pirates informatiques qui lui seraient favorables, en profite pour faire disparaître des électeurs afro-américains. Stacey Abrams, qui pourrait devenir la première femme noire à gouverner un État, avait déjà dénoncé par le passé des manœuvres de son adversaire pour rendre la vie des électeurs de couleur plus dure.

Au-delà de l’enjeu local, cette affaire vient rappeler à quel point l’élection de mi-mandat est à la merci de la technologie. Pirates informatiques russes, iraniens, chinois ou encore logiciels défectueux sont autant de scénario pouvant expliquer des résultats électoraux faussés. Le 19 octobre, la direction du renseignement national, le FBI, le département de la Justice et le département de la Sécurité intérieure ont même publié un communiqué conjoint pour assurer “n’avoir aucune preuve que l’infrastructure électorale a pu être compromise, permettant à un adversaire des États-Unis d’influencer le vote”. Mais ces organismes reconnaissent que les failles existent.

Elles existent sur une part importante des quelques 350 000 machines à voter utilisées aux États-Unis. Les principaux modèles en service ont facilement succombé aux assauts d’experts qui ont voulu tester le système électoral américain lors de la Defcon, en août, la plus grande conférence mondiale en cybersécurité. Les résultats enregistrés par un des appareils, utilisé dans 23 États, ont pu être modifiés en moins de deux minutes. Ces spécialistes ont aussi réussi, à l’aide d’un simple smartphone, à tromper la sécurité d’un autre terminal, utilisé dans 18 États, afin de pouvoir voter un nombre infini de fois.

Certaines des vulnérabilités identifiées existent depuis plus de dix ans, et des vieilles machines à voter à la sécurité plus que discutable sont toujours utilisées, ont constaté les auteurs du rapport sur cette simulation d’attaque contre les élections de mi-mandat.

Le "mystère" du comté de Volusia

Un constat d’autant plus inquiétant pour l’intégrité du scrutin du 6 novembre que l’histoire électorale américaine du XXIe siècle regorge d’exemples, d’erreurs ou de fraudes informatiques. Le premier d’entre eux remonte, paradoxalement, à l’année où les États-Unis ont décidé de mettre l’accent sur le vote électronique. Après l’élection présidentielle de 2000, le législateur - influencé par le scandale des bulletins perforés en Floride - a décidé que les États devaient investir dans des systèmes de vote plus sophistiqués. Mais une autre bizarrerie, liée à une machine à voter électronique, avait entaché le scrutin en Floride, cette même année. Dans l’un des comtés de cet État charnière, le candidat démocrate Al Gore avait perdu en quelques minutes plus de 16 000 voix. Cet épisode, passé inaperçu à l’époque, est entré dans l’histoire comme “le mystère” ou “l’erreur du comté de Volusia”, rappelle le New York Times.

En 2004, c’est un autre candidat démocrate, John Kerry, qui a fait les frais de machines au comportement pro-Bush dans l’Ohio. Des terminaux, dont l’écran tactile était mal calibré, comptabilisaient des votes en faveur du candidat démocrate comme autant de voix pour le président sortant républicain. Une enquête du Congrès, après l’élection, n’avait pas réussi à établir s’il s’était agi d’une simple erreur technique ou d’un piratage informatique.

Pas d’hésitation en 2016. Les autorités avaient alors rapidement désigné les pirates informatiques russes comme les responsables de tentatives d’intrusion dans le système électoral de 39 États. Dans l’un des cas, les enquêteurs ont constaté que les cybercriminels avaient tenté d’effacer des noms des listes d’électeurs, dans des circonscriptions majoritairement démocrates.

À chaque élection, les experts en sécurité mettent sans succès en garde contre ce risque cyber. Pour le New York Times, la faute incombe en grande partie au lobby des fabricants de machines, réfractaire à toute réforme. “C’est un marché qui pèse plusieurs centaines de millions de dollars par an que se partagent quatre acteurs majeurs”, souligne le quotidien. Ils ont tué dans l’œuf plusieurs projets de loi visant à instaurer un système qui obligerait les autorités à réaliser des audits des résultats de vote électronique. De telles vérifications ne sont que facultatives et ne sont effectuées que sur des échantillons très limités des bulletins de vote. “Ces entreprises jouent un rôle central dans notre démocratie et refusent d’accepter qu’il y a un risque cyber”, s’est plaint le sénateur démocrate Ron Wyden, dans une contribution au New York Times en septembre.

Avec un tel système sans audit à grande échelle, “même si les autorités affirment après l’élection qu’il n’y a eu aucune interférence étrangère ou fraude électorale, il sera en fait impossible de savoir si c’est vrai ou pas”, résume le quotidien britannique Guardian. Ce qui représente un vrai problème démocratique pour un scrutin comme celui du 6 novembre, où les candidats sont au coude à coude dans une trentaine de circonscriptions cruciales.

Première publication : 05/11/2018