mardi , 26 septembre 2017

Les nombreuses vulnérabilités du vote en ligne aux États-Unis

Dans une étude, les chercheurs rapportent une vulnérabilité qu’ils ont surnommée comme le vol d’identité électorale. Avec des informations sur les électeurs disponibles auprès d’entités comme des Data Brokers, les chercheurs estiment qu’une attaque potentielle peut modifier les votes. Dans le pire des cas, des assaillants peuvent se faire passer pour des électeurs ou priver d’autres de leur droit de vote. Même si la modification des votes en ligne est une menace peu probable, le fait que des informations complètes sur les électeurs soient disponibles pour quelques milliers de dollars est plus qu’inquiétant.


Les nombreuses vulnérabilités du vote en ligne aux États-Unis
Les pirates peuvent acheter assez d’informations personnelles pour modifier potentiellement les informations d’inscription des électeurs dans près de 35 états et le District de Columbia selon une nouvelle étude de Harvard. Et le cout de ces informations dépasse à peine quelques milliers de dollars.

Le vol d’identité électorale

Surnommée comme le vol d’identité électorale par Latanya Sweeney, Ji Su Yoo et Jinyan Zang, auteurs de l’étude, la vulnérabilité pourrait être exploitée par des assaillants pour tenter de pénaliser de nombreux électeurs en changeant l’information sur l’inscription des électeurs en ligne. Armés de ces informations personnelles obtenues par des sources légitimes ou illégitimes, les pirates pourraient en savoir suffisamment pour se faire passer pour les électeurs et changer les informations essentielles en utilisant les systèmes d’inscription des électeurs en ligne.

Une tactique, selon les chercheurs, serait de changer simplement les adresses des électeurs en faisant en sorte qu’il a voté au mauvais endroit. Ces électeurs pourraient être forcés de voter provisoirement, ce qui, dans de nombreuses circonstances, n’est pas comptabilisé. L’étude est décrite dans Journal of Technology Science. Même si les chercheurs ne signalent pas des attaques qui exploitent cette vulnérabilité, Sweeney, Yoo et Zang estiment que cela pourrait être utilisé dans le futur pour réduire la confiance dans les élections ou même changer le résultat en faveur d’un candidat particulier.

Si l’objectif est de saper toute croyance au système électoral, alors ils pourraient très bien cibler une communauté particulière en général parce que cela pourrait causer une sorte d’hystérie selon Sweeney. Les gens perdront confiance dans le système de vote et ils diront que ce n’est pas la peine de voter si les résultats peuvent être truqués. Si vous regardez le résultat de l’élection de 2016, alors il y avait plusieurs États où la marge de victoire était dans une fourchette de 2 à 5 % selon les chercheurs. Si vous souhaitez modifier le résultat dans un état qui a été déterminé par moins de 1 % des votes, alors vous pourriez faire des changements qui passeraient inaperçus.

Dans l’espoir de protéger le système de vote contre cette vulnérabilité, Sweeney, Yoo et Zang ont informé les fonctionnaires électoraux des États vulnérables de leurs résultats avant la publication de leur étude. Ils ont participé à une convention nationale de ces fonctionnaires pour discuter des résultats et ils organiseront un atelier où les responsables des élections ont été invités.

Des informations sur les électeurs à portée de main

La plupart des États ont des processus de back-office et des pratiques électorales qui pourraient détecter ou limiter une attaque, mais on peut toujours améliorer le processus selon Sweeney. L’obtention de l’information nécessaire pour apporter ces changements, selon le chercheur, est bien plus facile qu’on pourrait le penser. Contrairement à l’opinion publique, les informations sur les électeurs ne sont pas privées. Les ensembles de données contenant les noms des électeurs et les informations démographiques comme les adresses, l’affiliation du parti et même le genre peuvent être achetés ou téléchargés directement sur des sites gouvernementaux pour seulement quelques dollars. Ainsi pour seulement 18 000 dollars, les chercheurs ont pu acheter des listes d’électeurs auprès des 35 États qui autorisaient l’enregistrement en ligne.

Mais ces listes ne contiennent pas les informations personnelles comme le numéro de sécurité sociale ou les numéros de permis de conduire qui sont utilisés par les Etats pour confirmer l’identité d’un électeur en ligne. Mais ce n’était pas un problème selon Sweeney, car pour environ 40 dollars par mois, nous avons pu accéder à un courtier de données commercial (Data Broker).

La loi stipule qu’on peut acheter des données uniquement dans certaines conditions. Par exemple, si vous voulez chercher vos propres données ou pour enquêter sur une fraude, mais cela repose sur une auto-attestation selon Sweeney. Et cela couvre les Data Broker, car si le gouvernement les accuse de vendre des données personnelles, alors ils diront simplement que ce n’est pas de leur faute puisqu’ils ont fait confiance à l’auto-attestation.

Les Data Brokers peuvent fournir les données sensibles des électeurs

Même s’il est possible de trouver l’information nécessaire pour modifier l’information des électeurs par des moyens légaux selon Sweeney. Les Data Broker, mais également des entités sur le Dark Web étaient beaucoup moins cher. Pour seulement 1 002 dollars, un assaillant peut acheter 2 ensembles de données, dont on estime qu’elles proviennent d’une brèche massive des données d’Experian qui est une agence d’information et de gestion de clients. Ces ensembles de données contenaient les noms, l’adresse, les dates de naissance, le sexe et les numéros de sécurité sociale de la plupart des Américains adultes.

Armés de cette information selon les chercheurs, les pirates pourraient théoriquement accéder et modifier les informations de vote de milliers d’individus. Dans certains États, ils ont constaté que ça ne couterait que 1 dollar pour changer 1 % des enregistrements d’électeurs alors que le coût médian était de seulement 41 dollars.

On savait que la base des électeurs était une passoire, mais c’est le cout minimal qui est le plus choquant selon Sweeney. Quand nous avons parlé de ce projet avec un membre de Washington, il nous a dit que nous étions en train de perdre notre temps, car les données des électeurs sont très chères. Il pensait que nous ne réussirions que sur quelques sites, car il croyait que seul l’Etat (de Washington) pourrait nous fournir les données.

Mais il s’avère que vous pouvez l’obtenir à partir de nombreux états et seuls quelques états facturent le cout par électeur. En Ohio, les données sont gratuites, vous pouvez les télécharger à partir du Web. D’autres personnes, qui ont acheté les données, les ont rendus disponibles pour tous afin d’ajouter une transparence au processus d’élection. Même si vous les achetiez chez un Data Broker spécialisé dans les listes électorales, alors vous devez dépenser à peine 2 000 dollars et ils peuvent vous fournir des données des personnes des 50 Etats Américains.

Mais malgré la facilité pour obtenir des informations sur les électeurs selon Sweeney, la modification de ces informations est une autre paire de manches. Même si c’est facile d’obtenir les informations liées à la sécurité sociale et aux numéros de permis de conduire nécessaires pour apporter des modifications à l’information sur les électeurs, Sweeney a déclaré que les États pourraient avoir une sécurité supplémentaire, par exemple, que les fonctionnaires révisent et confirment les changements d’adresse, qui pourraient arrêter une attaque de grande ampleur.

Des conseils pour améliorer la sécurité du vote en ligne

Jusqu’à présent, ce type de vérification humaine fournit une bonne protection, mais les chercheurs demandent aux États de prendre des mesures supplémentaires pour se prémunir contre les éventuelles attaques. Un humain peut remarquer s’il y a des changements fréquents en une courte période de temps, mais que faire s’il y a une seule modification par jour sur une longue période ? Dans ce cas de figure, un programme informatique fournirait une aide complémentaire selon Sweeney.

Notre papier ne cherche pas à critiquer le gouvernement ou à suggérer que le gouvernement n’a pas investi suffisamment d’argent ou de ressources dans la sécurité selon Yoo. Mais la nature du gouvernement est qu’il évolue à un rythme différent de celui de la technologie. Parmi les étapes importantes, les chercheurs demandent aux États de collecter, s’ils ne le font pas déjà, l’enregistrement de tous les visiteurs du site ce qui permettrait aux responsables de vérifier si un seul visiteur est responsable de multiples changements d’information des électeurs et de déterminer l’origine d’une attaque potentielle.

Nous recommandons également aux États de garder les registres des modifications selon Sweeney. Cela leur permettrait de revenir sur les changements et de voir ceux ont été effectués et comment ils ont été modifiés. Certains États le font déjà, mais nous recommandons à tous les États de le faire.

En fin de compte, la question posée par l’étude est de savoir comment le gouvernement peut s’assurer qu’il traite réellement des citoyens sur leurs activités en ligne. Cette question est importante selon Sweeney, car bien que la fraude commerciale soit un problème, les enjeux sont beaucoup plus élevés pour le gouvernement. Si un site commercial est compromis, alors les inconvénients ne sont pas les mêmes, car cela ne compromet pas tout notre processus démocratique selon Sweeney. Quand les gens parlent de la fraude électorale, il s’agit de votes supplémentaires qui sont exprimés par une partie. Il s’agit de personnes qui auraient pu voter, mais qui n’ont pas pu le faire. Cela concerne un aspect unique de la sécurité d’une élection, car il permettrait à un groupe particulier d’être privé de ses droits de vote.

N'oubliez pas de voter :
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, average: 5,00 out of 5)
Loading...

Faites un don sur notre page Patreon

Quelle est la fiabilité de cette information ou étude ?

Aucun avis particulier

A propos de Jacqueline Charpentier

mm
Ayant fait une formation en chimie, il est normal que je me sois retrouvée dans une entreprise d'emballage. Désormais, je publie sur des médias, des blogs et des magazines pour vulgariser l'actualité scientifique et celle de la santé.

Répondre

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués d'une étoile *

*

Timber by EMSIEN 3 Ltd BG