adamparent - Fotolia
Elections américaines : le risque cyber en première ligne
Les questions de cybersécurité ont rythmé la campagne présidentielle américaine, avec notamment plusieurs piratages hautement significatifs.
Le sujet de la cybersécurité a rythmé les élections américaines. Entre le piratage des serveurs du parti démocrate et les multiples révélations associés, ou encore les tentatives d’attaques sur des systèmes de gestion des électeurs, les incidents cyber ont été nombreux. Aujourd’hui, jour de vote, la tension est à son comble, mais quels sont les risques qui pèsent sur l’élection ?
Le risque est réel dans chaque bureau de vote
Les démonstrations se sont multipliées ces derniers jours et ont mis en lumière les failles et les vulnérabilités des machines à voter. Capacité à intervertir des votes, à voter pour une personne différente de celle qui a été validée, accès à distance parfois pour modifier les machines, tout cela est possible et inquiétant car les machines ne génèrent pas forcément de trace papier de vote en cas de problème informatique.
Au-delà même des machines à voter, les listes électorales peuvent être manipulées. Des personnes peuvent être supprimées, ajoutées ou voir leurs informations modifiées pour, au pire, les empêcher de voter. De manière plus réaliste, ce type d’attaque peut entraîner des délais beaucoup plus longs lors du vote avec des vérifications complémentaires à réaliser. Des tentatives d’accès aux systèmes de gestion des électeurs ont justement fait l’objet d’une alerte par le FBI en août.
Il est aussi possible d’imaginer des attaques en déni de service pendant les phases de vote, certains états faisant une vérification de l’identité des votants directement en ligne. C’est particulièrement le cas à Washington.
Mais il reste très faible à l’échelle du pays
En effet, la gestion des élections est par nature aux Etats-Unis très décentralisée. Chaque état, chaque ville peut avoir des systèmes de gestion des électeurs et des systèmes de vote différents. La très grande majorité des attaque nécessite d’être en proximité ou en contact direct avec les machines à voter. Afin de réaliser une attaque d’une ampleur suffisante pour truquer les résultats, il faudrait alors prévoir une attaque cyber d’une ampleur jamais encore vue avec un déploiement sur le terrain de nombreux attaquants. A l’échelle du pays, c’est quasiment impossible. Dans certains états clés, comme les « swing states », cela nécessiterait un effort important et certainement visible. On le sait, les dernières élections se sont parfois jouées sur les résultats de quelques comtés, mais pour conduire une attaque efficace, il faudrait savoir quels sont ceux concernés, ce qui est difficile à connaître à l’avance, et que ceux-ci utilisent des systèmes vulnérables.
L’état est sur ses gardes et utilise la cyberdissuasion
Cependant, compte tenu de l’ambiance actuelle de la campagne avec les nombreuses accusations de trucage déjà proférées et les antécédents des attaques sur les systèmes liés à l’élection, l’état américain est largement mobilisé. Toutes les agences gouvernementales et militaires sont sur le pont pour assurer une surveillance de premier plan. Et aussi être en mesure de répondre à une attaque cyber ! Une opération de cyberdissuasion bien orchestrée ces derniers jours a mis en avant que les Etats-Unis n’hésiteraient pas à répondre sur le volet cyber en cas d’attaques. Peut-être qu’il faut s’attendre à de potentielles coupures d’électricité en Russie ce soir ? Peu probable cependant !
Le risque majeur : une perte de confiance dans l’élection
Le plus grand risque est bien celui d’une perte de confiance dans l’élection si des incidents (tels que des machines à voter qui dysfonctionnent, des ralentissements sur les systèmes…) surviennent dans des bureaux de votes et que ceux-ci ne sont pas gérés rapidement.
Vu le climat de défiance actuel, la moindre annonce d’incidents, réels ou imaginaires, peut entraîner une réaction vive et un emballement sur les réseaux sociaux. C’est certainement l’aspect le plus risqué des élections !
Deux réponses cette nuit, est-ce qu’il s’agira de la première grande élection « cyberattaquée » ? Et qui sera la ou le futur président des Etats-Unis.
Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone (ex-Solucom). Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.
