Pour dénoncer le vote par internet proposé aux Français de l'étranger aux élections législatives, un hacker a démontré qu'il était possible de modifier le choix d'un électeur au moment de l'envoi du bulletin dans l'urne électronique.

Malgré l’opération médiatique réalisée vendredi par le ministère des affaires étrangères, qui a tenté de rassurer la presse sur la fiabilité du vote par internet aux élections législatives, l’existence de failles de sécurité est avérée. Si aujourd’hui rien ne montre qu’elles ont été exploitées, rien ne montre non plus qu’elles ne l’ont pas été. Et ça n’est pas le document ci-dessous, publié par Laurent Grégoire, qui va rassurer.

Le développeur explique en effet dans une vingtaine de pages comment il a pu réaliser simplement un script qui remplace une partie du code du logiciel de vote, pour modifier le choix de l’électeur à son insu. Le programme injecte les modifications dans l’application Java fournie à l’électeur par le ministère des affaires étrangères, de façon à renvoyer un autre identifiant de bulletin de vote que celui effectivement choisi par le votant. L’électeur croit avoir choisi un bulletin, et c’est en fait celui d’un concurrent qui est envoyé dans l’urne.

Si le hacker exécute ici le piratage en toute conscience, sur son propre ordinateur, un malware installé sur l’ordinateur de la victime pourrait être exécuté avec beaucoup plus de discrétion. Et être déployé à une large échelle, soit pour favoriser un candidat, soit plus simplement pour saboter le résultat juste par défi technique (rappelons que le ministère conseille sous certaines circonstances de désactiver l’anti-virus le temps du vote).

Dans cette vidéo qui accompagne le document de 20 pages, l’attaque est réalisée entre le choix du bulletin et la demande de confirmation. Mais selon Laurent Grégoire, l’attaque pourrait être réalisée après la confirmation, pour ne pas permettre à l’électeur de voir que son choix a été modifié.

Le document :

Partager sur les réseaux sociaux

Articles liés