Un rapport sur la sécurité des élections retient l'attention et une forte réprimande – ProPublica – Bien choisir son serveur d impression
ProPublica est une salle de presse à but non lucratif qui enquête sur les abus de pouvoir. Inscrivez-vous à la newsletter Big Story de ProPublica pour recevoir des histoires comme celle-ci dans votre boîte de réception dès leur publication.
En juillet, les responsables des élections à travers le pays ont reçu un courrier électronique massif de NormShield, une entreprise de cybersécurité basée en Virginie dont peu de gens avaient entendu parler.
La société a informé les responsables qu'elle était sur le point de publier les résultats d'une «fiche de score de risque» qu'elle avait générée pour évaluer les vulnérabilités de leurs systèmes électoraux connectés à Internet. Les États pourraient demander leurs cartes de pointage à l'avance, a déclaré la société, et se joindre à ce qu'elle a appelé «un projet commun de marketing et de service public».
«NormShield est le seul fournisseur qui évalue et hiérarchise les risques de toutes les organisations en moins de 60 secondes», a déclaré le responsable de la sécurité, Bob Maley. Ses travaux fourniraient à chaque État une vue d'ensemble de ses défaillances dans 10 catégories, le tout dans une lettre facilement compréhensible "pouvant être utilisée instantanément pour évaluer les cyberdéfenses".
Initialement, la plupart des États ont ignoré le courrier électronique. Certains ont dit à ProPublica qu'ils pensaient que c'était du spam. D'autres ont qualifié ce stratagème de stratagème marketing – l'une des dizaines d'approches de ce type que les États reçoivent mensuellement de la part de sociétés de cybersécurité espérant remporter des contrats avec le gouvernement.
Mais certains États ont demandé des rapports sur leurs systèmes. Une contrariété considérable a suivi.
Les États qui ont reçu les rapports ont constaté qu'ils étaient entachés d'erreurs et peu utiles pour évaluer la sécurité réelle des élections. Le travail effectué par NormShield – appelé «cartes de pointage rapides du cyber-risque» – avait testé du matériel gouvernemental en ligne non associé aux élections. En Idaho, par exemple, la société a examiné la sécurité du département de la qualité de l’environnement, mais pas le système d’inscription en ligne des électeurs de l’État. En Oklahoma, sur 200 adresses IP numérisées, aucune n’était liée à des élections. Dans le Vermont, l’analyse avait été effectuée sur un ancien domaine.
"On pourrait penser qu'une entreprise qui revendique une expertise en cybersécurité pourrait effectuer une simple recherche sur Google pour trouver l'adresse correcte d'un site Web d'Etat", a déclaré le secrétaire d'État de l'Iowa, Paul Pate, dans un communiqué.
Plusieurs états ont confronté NormShield à propos des rapports. Des agences du gouvernement fédéral l’ont qualifié en privé d’irresponsable et des groupes à but non lucratif ont empêché NormShield d’avoir notifié de manière appropriée les états de vulnérabilité avant de menacer de les signaler publiquement.
Tout cela aurait peut-être disparu comme un épisode anodin si l'ennui n'avait pas été que NormShield ait publié mardi ses travaux. Bien que le rapport publié ne mentionne pas d’États spécifiques, il indique que plus de la moitié des 50 États dont les systèmes ont été examinés ont reçu «un degré C ou inférieur».
Le rapport a suscité une attention considérable, rédigé par le Washington Post, Politico et Axios.
Lors d'entretiens avec ProPublica, des responsables électoraux et des experts en sécurité électorale ont déclaré que le comportement de NormShield constituait un autre type de menace pour la sécurité électorale: les entreprises cherchant à tirer profit des avantages d'un pays sur l'intégrité de ses élections nationales et locales.
«Il y a beaucoup de travail à faire pour mieux sécuriser la technologie électorale, et les États cherchent de l'aide», a déclaré David Becker, directeur exécutif du Center for Election Innovation & Research. «Mais les profits ne servent qu’à diminuer la confiance des électeurs, c’est exactement ce que veulent nos adversaires.»
Dans une interview, Maley, le responsable de NormShield, a défendu le travail de la société et ses relations avec les États. Il a déclaré que les tests de sécurité effectués par cette société étaient légitimes et que la société s'était montrée à la pointe de la technologie auprès des responsables des élections à propos de ce travail et de ce que NormShield avait l'intention de faire. Les États, a-t-il dit, ont amplement l'occasion de contester ses conclusions ou de corriger les vulnérabilités identifiées.
Les responsables des élections et les experts contactés par ProPublica ont rejeté les affirmations de la société et critiqué pratiquement tous les aspects du travail de NormShield sur les systèmes électoraux. La technologie employée était limitée, ont-ils déclaré, et la société n'avait pas non plus respecté les meilleures pratiques du secteur en ne prévenant pas de manière adéquate les États de ses conclusions avant de les rendre publiques.
Les responsables des élections dans l’Oklahoma, par exemple, ont déclaré que la société avait un «malentendu flagrant» sur les systèmes de l’État et ont rejeté ses conclusions. Des responsables de l’Iowa ont qualifié le rapport de "erreur absolue". Dans une interview, le secrétaire d’État adjoint de l’Idaho, Chad Houck, a déclaré que le tableau de bord était "tellement inutile que je ne l’ai pas imprimé."
Bien que l'analyse ait détecté de véritables problèmes – certains États, par exemple, n'utilisent pas de protections standard pour empêcher l'usurpation de courrier électronique et d'autres utilisent des systèmes d'exploitation obsolètes – aucun de ces problèmes n'est particulièrement révélateur, ont déclaré des experts. Le département de la Sécurité intérieure procède régulièrement à des analyses des systèmes électoraux qui détectent des problèmes identiques, et de nombreux États ont indiqué qu'ils disposaient déjà de solutions à long terme.
Jim Condos, secrétaire d'État du Vermont, a déclaré que le Vermont avait engagé plusieurs consultants en cybersécurité pour effectuer des tests sur ses systèmes. des questions spécifiques sur leur sécurité. Les analyses de la cyberhygiène d’autres organismes d’État ne reflètent pas, selon lui, son bureau.
Maley a ri des inquiétudes lors d'une interview. Il a ajouté que les vulnérabilités dans les sites de l'Etat non liés aux élections présentaient néanmoins des risques. "Tout [election offices use] est lié à l'Etat ", a-t-il déclaré, le qualifiant d '" hypocrite "pour que les représentants de l'Etat suggèrent le contraire. "Leurs serveurs de messagerie, leurs serveurs DNS, leurs batteries de serveurs – ils sont connectés aux mêmes réseaux."
Cependant, J. Alex Halderman, professeur d'informatique à l'Université du Michigan qui étudie les systèmes électoraux, a déclaré qu'une interconnexion potentielle avec d'autres organismes publics ne suffisait pas pour affirmer le niveau de danger signalé par NormShield. Bien que de nombreux États puissent dépendre de l’infrastructure Maley comme référence, tous ne le font pas. Halderman a déclaré que les tests étaient "un moyen grossier" d'évaluer la sécurité électorale.
Dan Wallach, informaticien à la Rice University, a déclaré que, sans poser de questions spécifiques sur les protocoles de sécurité de chaque État, une analyse du type de celles exécutées par NormShield ne ferait qu'indiquer les vulnérabilités mais ne confirmerait pas en soi leur présence. "Je vais les qualifier de sociétés qui essaient désespérément d'attirer l'attention sur elles-mêmes", a-t-il déclaré. "Ce n'est clairement qu'une tentative de marketing."
Au cours d'entretiens qui ont duré plusieurs mois, les responsables des élections à travers le pays ont reconnu l'existence de vulnérabilités et l'inquiétude des Américains. Ces responsables ont été frustrés par l'incapacité des gouvernements des États et fédéral à engager des fonds pour protéger les élections. Le Congrès n'a pas réussi à adopter plusieurs projets de loi liés à la sécurité des élections. Récemment, une injection de fonds de 600 millions de dollars aurait entraîné une multitude d'exigences en matière de cybersécurité. Mitch McConnell, le chef de la majorité du Sénat républicain, a bloqué leur prise en compte. Il a déclaré que le pays avait fait suffisamment pour empêcher l'ingérence de la Russie et que les exigences de sécurité fédérales liées au financement menaceraient la capacité des États à organiser leurs élections comme ils l'entendent.
Les mêmes responsables et un certain nombre d'experts indépendants ont également averti qu'un mélange d'inquiétude légitime et de frénésie politique avait créé un environnement que les entreprises pouvaient exploiter. "Cela me semble être une tentative de créer une hystérie dans le public pour vendre leur produit", a déclaré Condos.
Candan Bolukbas, directeur technique de NormShield, a déclaré que la société n’avait «aucune mentalité en matière de marketing», mais que tout travail de sécurité électorale «devenait automatiquement un élément marketing» car c’était un sujet d'actualité. Il a ajouté que la société n’avait pas l’intention de vendre son produit aux États et qu’elle leur offrirait les scans et l’assistance gratuitement. Leur marché cible est plutôt les entreprises privées, qui peuvent voir le rapport et prendre connaissance des offres de NormShield.
"Bien sûr, nous voulons vendre notre produit", a déclaré un porte-parole de la société, Josh Zecher.
NormShield est une nouvelle société qui effectue ce que l’on appelle des tests «non intrusifs» de sites Web utilisés par des entreprises publiques ou privées. Tout le monde peut demander gratuitement une analyse sur le site Web de NormShield. Il peut ensuite payer NormShield pour atténuer les problèmes découverts. La société a récemment reçu 3,5 millions de dollars en capital d’investissement d’investisseurs.
Les sociétés de cybersécurité qui effectuent des tests de vulnérabilité suivent généralement une procédure de notification très spécifique, qui consiste à contacter individuellement les sujets et à les aider de manière constructive à résoudre les problèmes avant de les publier. NormShield ne semble pas avoir suivi ce processus.
«Ce n’est pas une bonne pratique de publier des informations effrayantes basées sur des menaces générées automatiquement et insuffisamment vérifiées. Les responsables électoraux doivent maintenant passer du temps qu’ils n’ont pas à répondre à ces revendications mal vérifiées », a déclaré Ben Adida, PDG de VotingWorks, un centre de vote sécurisé et abordable. "Je suis sûr que NormShield était bien intentionné, mais il me semble qu’ils ont causé des torts considérables."
Les États se sont vu offrir une copie préliminaire de leurs tableaux de bord de juillet, mais ils ne savaient pas que la société avait effectué une deuxième série de tests en août, jusqu'à la publication du rapport public cette semaine. Maley a déclaré que le rapport contenait des informations mises à jour pour les États qui ont demandé à NormShield de rétablir les rapports en utilisant les adresses correctes. Si un État ignorait le rapport et ne signalait pas les défauts à NormShield, la société présumait qu'il n'y avait aucune objection.
Maley a déclaré que si NormShield testait des sites Web incorrects, la faute revenait à l’Association nationale des directeurs d’élection des États, où la société avait trouvé la liste des sites Web. NASED, une organisation à but non lucratif gérée par une seule personne, n'a pas été contactée avant la liste utilisée.
La société ne semble avoir fait aucun effort indépendant pour vérifier si elle a testé les bons sites. Dans une interview, lorsqu'on leur a demandé quels efforts avaient été faits pour vérifier les scores, Maley et Bolukbas ont déclaré que ces efforts étaient inutiles et ne faisaient pas partie de leur offre aux États. «Notre partie proactive est terminée lorsque nous produisons le rapport», a déclaré Bolukbas, qui a déclaré que les erreurs étaient «inévitables» dans tout produit de cybersécurité.
Maley a déclaré que les États avaient «toutes les possibilités» de demander des corrections, et il le regrettait si les États estimaient que la communication de NormShield était inefficace ou un stratagème marketing. Maley et Bolukbas ont mis fin à l'entretien en exerçant des pressions sur les opportunités offertes aux États.
Dans son rapport, NormShield semble revendiquer un succès considérable en signalant les vulnérabilités aux États. «Après l'évaluation de juillet, NormShield a communiqué ses conclusions en privé aux secrétaires d'État et aux commissions électorales en juillet afin de leur donner les informations nécessaires pour remédier aux vulnérabilités. NormShield a effectué une deuxième analyse en août et a constaté une amélioration significative de la sécurité de plusieurs commissions électorales », écrit-il. La couverture médiatique dans Post, Politico et Axios mentionne également les améliorations, les corrélant avec les analyses de NormShield.
Mais ProPublica n’a pas pu trouver un État qui aurait apporté des modifications après avoir reçu le rapport. Et dans un appel téléphonique, Maley a minimisé la responsabilité de la société à l’égard de l’amélioration, affirmant qu'il «ne souhaitait» pas faire de corrélation entre la divulgation et l’amélioration. "Je ne sais pas", dit-il. Il a refusé de préciser quelles catégories d’États s’étaient améliorées et les experts affirment que certains États ont peut-être apporté un certain nombre de modifications non liées aux analyses qui auraient affecté leurs résultats.
La Post a écrit que NormShield "envisage de publier un autre rapport le mois prochain dans lequel elle indiquera quels sont les États ayant de faibles notes" – une décision qui, selon Wallach, serait irresponsable. Maley a nié avoir dit cela, disant seulement que c'était une "option potentielle" si les États ne s'amélioraient pas et que la société aurait des "discussions internes" sur les prochaines étapes après l'analyse des données.
Commentaires
Laisser un commentaire