
Les scandales liés à la sécurité des élections en Géorgie accentuent les inquiétudes en 2020 – Serveur d’impression
En 2016, une vulnérabilité a été découverte dans le système électoral de Géorgie qui a révélé les informations de quelque 6,7 millions d'électeurs et aurait donné à un pirate informatique la possibilité de manipuler ou de supprimer toute information dans les machines à voter à travers l'État, selon des personnes familières avec la découverte.
Bien que l'État ait depuis pris des mesures pour colmater les trous, les militants craignent toujours que les pratiques de sécurité électorale médiocres de l'État ne mettent en danger les résultats de la course présidentielle de 2020.
Marilyn Marks, directrice exécutive du groupe de plaidoyer Coalition for Good Governance, a déclaré que bien que la Géorgie ait corrigé certaines erreurs, elle n'a toujours pas remédié à ses faiblesses fondamentales. Le groupe, qui est actuellement engagé dans l'un des nombreux procès liés aux élections contre l'Etat, a publié une déclaration cette semaine alléguant que la primaire présidentielle de l'Etat était "menacée d'échec".
Avec une élection très controversée qui se profile et des inquiétudes accrues concernant l'ingérence étrangère, la question demeure: la Géorgie a-t-elle pris les mesures nécessaires pour protéger les électeurs et le processus démocratique?
Sommaire
Données ouvertes involontairement
La violation de l'État en 2016 a été découverte par Logan Lamb, un chercheur en sécurité de 29 ans qui est tombé sur la vulnérabilité tout en effectuant une recherche rapide sur le site Web du centre électoral de l'État.
À l'époque, les élections en Géorgie étaient gérées par le Center for Election Systems, un bureau de l'Université d'État de Kennesaw qui relevait du bureau du secrétaire d'État. Le centre était chargé de programmer et de tester les machines à voter pour l'ensemble de l'État.
Ayant récemment déménagé en Géorgie pour travailler pour une entreprise de sécurité, Lamb, qui avait auparavant étudié le génie informatique et a été employé pendant un certain temps par Oak Ridge National Laboratory, a déclaré qu'il n'a pas fallu longtemps pour découvrir un problème flagrant sur le site KSU: des milliers de fichiers, ouvertement disponibles, qui pourraient être grattés et utilisés pour pirater les machines à voter et manipuler les élections.
"J'ai commencé à parcourir un peu le site Web et j'ai rapidement découvert qu'il semblait y avoir une structure de répertoire ouverte sur le site Web", a déclaré Lamb, en parlant avec Technologie gouvernementale.
Lamb a créé un script shell, un programme pour télécharger toutes les données disponibles sur le site Web. En peu de temps, le programme a téléchargé une quinzaine de gigaoctets, y compris des informations sensibles comme les mots de passe des superviseurs le jour du scrutin et des informations complètes sur l'inscription des électeurs comme les noms, les anniversaires, les adresses et les numéros de sécurité sociale. Selon Lamb, le serveur du centre avait été mal configuré de sorte que le pare-feu protégé par mot de passe n'était pas nécessaire pour accéder aux fichiers.
En outre, Lamb a déclaré qu'il y avait une vulnérabilité dans le logiciel de gestion de contenu du serveur qui aurait permis aux pirates de facilement réquisitionner et manipuler les informations à l'intérieur de celui-ci.
"Il avait tout ce dont quelqu'un aurait besoin pour contrôler toutes les élections en Géorgie", a déclaré Marks, expliquant ce que Lamb lui avait dit.
Par souci d'intégrité électorale de l'État, Lamb a contacté les autorités pour tenter de les avertir de ces faiblesses. Il a été rencontré par une combinaison d'hostilité et d'indifférence, par son récit. "Pour le dire succinctement, je ne pense pas que la sécurité soit une priorité [for them]," il a dit.
La Géorgie change de vitesse
La découverte de Lamb a été moins révélatrice que l'affirmation des détracteurs du système électoral de l'État, qui, lors des élections de 2018, a souligné la manière dont l'infrastructure de vote vieillissante avait conduit à des allégations de fraude électorale et de répression.
Selon Lamb, il a fallu des mois à l'État pour reconnaître certains des problèmes qu'il avait signalés. Depuis lors, KSU a perdu le contrat pour gérer les élections de l'État et le Center for Election Systems a été retiré. Les élections se déroulent désormais exclusivement à partir du bureau du secrétaire d'État. Le bureau du secrétaire d'État n'a pas pu être joint pour commenter cette histoire.
Depuis, la Géorgie a également remplacé son mécanisme de vote. L'État a précédemment utilisé des kiosques d'électeurs à écran tactile vieillissants, également connus sous le nom de machines électroniques à enregistrement direct (DRE), pour ses élections, qui n'ont laissé aucune trace papier vérifiable, et que les chercheurs en sécurité caractérisent comme une porte ouverte pour les pirates. En 2019, un juge fédéral a jugé le système inconstitutionnel et a ordonné qu'il soit éliminé d'ici la fin de l'année. L'État l'a fait, lançant un processus massif et à grande vitesse pour remplacer le système de vote obsolète.
Pour les militants et les chercheurs, cela semblait être une opportunité d'investir dans un système de bulletin de vote papier bon marché et marqué à la main.
Cependant, au lieu de suivre cette voie, l'État a plutôt opté pour l'achat d'un autre ensemble de machines à écran tactile, bien que celles avec un composant de bulletin de vote papier. Dépensant 107 millions de dollars, l'État a engagé le fournisseur Dominion Voting Systems pour appliquer une sorte d'approche hybride qui comprend des écrans tactiles et des machines à papier avec une piste d'audit papier vérifiable par les électeurs (VVPAT). Maintenant, au lieu de machines sans papier, les électeurs géorgiens sélectionneront leurs choix sur un kiosque, qui imprimera ensuite leurs choix sur un bulletin de vote papier; les électeurs doivent ensuite confirmer leurs choix sur une autre machine. La dernière de ces nouvelles machines a récemment été expédiée en l'état.
«La sécurité des élections est ma priorité absolue», a déclaré le secrétaire d'État Brad Raffensperger, lors de l'annonce du nouveau système. «Nous sommes impatients de travailler avec des experts en sécurité des élections nationales et locales pour instaurer les meilleures pratiques et continuer à protéger tous les aspects de la sécurité physique et de la cybersécurité dans un environnement de menace en constante évolution.»
Cependant, pour des militants comme Marks, cette nouvelle approche semble être un processus trop compliqué, peuplé inutilement de machines qui pourraient être piratées ou subir un autre dysfonctionnement. "Ce nouveau système est tout aussi vulnérable que l'ancien", a déclaré Marks. «Ils auraient pu acheter un système beaucoup plus sûr et coûter le tiers.»
S'appuyant sur les meilleures pratiques
Si la Géorgie n'a pas réussi à mettre à jour et à sécuriser son infrastructure de vote, elle n'est pas seule. À l'heure actuelle, au moins six États utilisent encore exclusivement les ERD dans certaines communautés, ne laissant aucune trace papier vérifiable. De plus, de nombreux rapports ont émergé – dont un récent du MIT – qui montrent des vulnérabilités dans les systèmes d'État.
"Des bulletins de vote marqués à la main avec des audits résoudraient bon nombre des problèmes de sécurité auxquels nous sommes confrontés", a déclaré Marks. "Si vous avez un système qui est résilient avec une bonne chaîne de possession sécurisée, alors même si des méchants pénètrent dans les systèmes, il ne peut pas être [totally] compromis. "
Elizabeth Howard, spécialiste de la sécurité électorale au Brennan Centre, est en grande partie d'accord avec cette évaluation, mais a déclaré qu'il n'y a pas de formule simple pour réussir et que les fonctionnaires électoraux doivent continuellement peser le pour et le contre des machines et des systèmes sur lesquels ils comptent.
"Nous vivons dans un monde différent, un paysage de menaces en constante évolution", a déclaré Howard, en référence aux menaces d'influence étrangère de la Russie, de la Chine et de l'Iran. "Et du point de vue de la sécurité, il suffit de remplacer [these old machines]. "
«Du point de vue de la sécurité électorale, les trois principales priorités sont: vous devez avoir un dossier papier de chaque bulletin de vote, vous devez faire un audit post-électoral où vous revenez en arrière et regardez le dossier papier, puis vous avez d'avoir une cybersécurité aussi solide que possible. »
Ce n'est pas toujours facile, compte tenu des préoccupations financières, mais heureusement, les États ont tendance dans cette direction. La décision de la Géorgie d'abandonner un système totalement sans papier reflète la dérive nationale des États qui tentent de réorganiser leurs systèmes en devenant plus analogiques, alors que la menace d'une manipulation extérieure augmente.
"En 2016, 14 États utilisaient du matériel de vote sans papier, et la Géorgie en faisait partie. Nous estimons qu'en 2020 [there are] huit États, dont près de la moitié auront été transférés sur des systèmes papier. C'est un énorme pas en avant, bien qu'il reste évidemment encore du travail à faire ", a déclaré Howard.
Commentaires
Laisser un commentaire