Avec la multiplication des canaux de communications et des équipements connectés, semer la pagaille dans un processus électoral depuis un ordinateur devient de plus en plus simple. Nous avons assisté à une simulation de gestion de crise, au cours de laquelle des experts de la cybersécurité se sont affrontés à distance : certains devaient déstabiliser l’élection, tandis que les autres devaient garantir son bon déroulement.

Et si, les dimanches 15 ou 22 mars, une puissance étrangère tentait d’entraver les municipales ? Les Français votent toujours avec du papier et des crayons, mais de très nombreux biais technologiques pourraient être utilisés pour déstabiliser l’élection. Campagnes de désinformation sur les réseaux sociaux, détournements des infrastructures de communication de la ville, mises hors service des transports automatiques… les angles d’attaque ne manquent pas.

Deux entreprises de cybersécurité, Advens et Cybereason, ont réuni une dizaine d’experts et d’expertes pour simuler ce scénario dans une ville fictive, de taille moyenne. Dans une pièce se trouvait la « red team », chargée de bousculer le processus électoral. À l’autre bout du couloir, la « blue team », rempart au service de la puissance publique, avait pour mission de maintenir le bon déroulement de l’élection. Un troisième panel, la « white team », faisait office de maître du jeu et jugeait le rapport de force.

La conclusion de la simulation a de quoi inquiéter : les assaillants ont bien plus d’outils à leur disposition que les défenseurs, qui doivent quant à eux réagir dans le respect des limites légales et éthiques. Même correctement anticipée, l’attaque peut donc faire des dégâts significatifs, entamer la confiance des citoyens dans l’élection, et ainsi atteindre les objectifs du pays commanditaire.

sforbin.jpg

Aux États-Unis, le vote électronique ajoute un risque supplémentaire. // Source : Mohammed Hasan sur Pixabay

Red vs Blue, symboles des deux visages de la cybersécurité

Ce n’est pas si souvent que les red teams et les blue teams s’opposent de manière frontale. Couramment utilisées par les entreprises de sécurité, elles sont mobilisées pour des tâches différentes et symbolisent deux branches complémentaires de la cybersécurité.

Les red teams se composent d’experts aux compétences offensives, qui doivent penser comme les hackers malveillants et utiliser les mêmes outils qu’eux, dans une certaine mesure. Le plus souvent, les red teams sont constituées de deux à trois personnes, qui vont par exemple réaliser les tests de pénétration des audits de sécurité des entreprises. Si la majorité de ces experts ont suivi un parcours d’étude classique, certains d’entre eux ont un passé de malfaiteur, tandis que d’autres ont fait partie des services de renseignement. Dans l’équipe chargée d’attaquer la ville fictive se trouvaient des membres de red teams de la Société Générale, de Sopra Steria et des deux entreprises organisatrices.

Les blue teams vont quant à elles être déployées pour contenir les attaques et prendre en charge la gestion de crise. Elles interviennent par exemple sur les attaques rançongiciels qui ont immobilisé les usines Fleury Michon, la région Grand Est ou encore Bouygues Construction. Quand elles arrivent sur le terrain, les blue teams évaluent les dégâts, et aiguillent leurs clients tant sur les aspects techniques que sur la communication de crise. Pour défendre la ville fictive, Advens a fait venir des habitués de la gestion de crise, du secteur privé comme du public.

La créativité des attaquants…

La simulation s’organise au tour par tour, en quatre manches. À chaque fois, attaquants et défenseurs peuvent effectuer deux actions et lancer un développement (comme une attaque ou une prise de contrôle d’un système) utilisable au tour suivant.

Rapidement, la red team fixe son plan de bataille : inciter les électeurs à repousser leur passage au bureau de vote, puis bloquer la circulation en fin de journée. En conséquence, seul un petit nombre d’électeurs parviendraient à voter. L’équipe de faux malfaiteurs commence par voler l’accès aux comptes officiels et aux caméras de la ville, puis lance une campagne de désinformation en jouant sur l’épidémie Covid-19. Elle la diffuse à la fois sur les réseaux sociaux et sur les panneaux d’affichage de la ville. « Ensuite, nous pourrons amplifier les premiers mouvements de panique avec des images d’archive », suggère un des membres.

Faut-il volontairement encombrer le 15 pour nourrir la panique ?

Tout au long de leur discussion, le groupe fait attention à la crédibilité et l’efficacité de ses actions. « Si l’on dit que les élections sont annulées, les électeurs vont contrôler sur d’autres médias. Alors que si nous disons qu’elle est simplement décalée, ils vont juste ne pas aller voter à midi et se dire qu’ils pourront y aller plus tard dans la journée », argumente l’un d’entre eux.

Les idées, très nombreuses continuent de fuser : « On peut hacker le réseau 4G, mais c’est sûrement trop lourd » ; « Utilisons un deep fake du préfet de police, c’est lui qui a l’autorité sur l’organisation des élections » ; « Pourquoi ne pas brûler quelques compteurs Linky pour créer encore plus de panique ? ». Certaines font plus débat que d’autres : faut-il lancer une attaque de déni de service (DDoS) contre le numéro des urgences, le 15, pour renforcer la panique sanitaire, au risque de faire des morts ? Le nombre de possibilités à disposition des assaillants parait sans limites.

… face à la rigueur des défenseurs

À l’opposé de la pyromanie de la red team se trouve la méthode de la blue team. Elle tente dans un premier temps de prévenir les attaques, puis doit rapidement adopter une logique de réaction. Par exemple, elle déconnecte les panneaux de signalisation et les feux tricolores compromis, et déploie des équipes de policiers pour assurer la circulation. « Nos réseaux sociaux sont compromis, il faut vivre avec. Désormais, même si nous reprenons la main dessus et diffusons de vraies informations, ça ne fonctionnera pas. Contre-communiquer directement est inefficace », diagnostique un des participants.

La blue team décide de s’appuyer sur un réseau de journalistes pour diffuser la vraie information, et de tuer les faux comptes dans le même temps. Elle organise sa communication autour d’un point presse hors ligne avec le préfet et les journalistes. « Dans toute communication de crise, il faut être honnête et transparent. Ça ne signifie pas qu’il faut tout dire, mais nous ne pouvons pas mentir et être mis en défaut », rappelle Jérôme Saiz, conseillé en protection des entreprises et rapporteur de la blue team.

Dans le même temps, l’équipe déploie une protection renforcée du réseau électrique, cible privilégiée des hackers. Elle songe également à faire appel aux agences gouvernementales comme l’ANSSI et la DGSI.

« Dans la vraie vie, tout aura déjà été analysé de point à point », développe un des membres. « Les responsables auraient déterminé qui peut intervenir, et quelles sont les règles d’engagement notamment en termes offensifs ». L’ampleur et les moyens attribués à la riposte auraient donc été déterminés à l’avance, selon les scénarios plausibles. Par exemple, dans le cas fictif, il n’y a pas de vie humaine en jeu, et la magnitude de l’attaque, locale, est relativement faible.

Les assaillants profitent d’un déséquilibre de l’engagement

Après quelques rebondissements supplémentaires, la red team finit par partiellement déstabiliser les élections. Les deux côtés de la simulation s’accordent sur les conclusions à tirer de ce dénouement. « Nous avons montré à quel point il est facile de perturber une élection. La défense avait finalement anticipé de nombreuses actions de l’attaque, mais ça n’a pas suffi », résume Jérôme Saiz.

Au cœur de ce déséquilibre des forces se trouve le fossé entre les règles d’engagement des attaquants et des défenseurs. Les défenseurs ont la capacité technique d’utiliser les mêmes modes opératoires que les attaquants, mais leur usage est inenvisageable dans le cadre d’élections.

Le vote électronique serait un risque supplémentaire

Ils doivent donc composer avec une puissance d’action moindre pour contrer des attaquants, qui de leur côté n’ont quasiment aucune limite légale — ou morale. La défense doit donc faire des choix. « Elle ne peut pas se protéger de tout, elle doit donc se concentrer sur un canal dans lequel la population a confiance pour organiser sa communication », relève un des experts d’Advens.

Cybereason, un des deux organisateurs de la simulation, a mené des expériences équivalentes au Royaume-Un, en Israël et aux États-Unis, avec à chaque fois des spécificités nationales. Aux États-Unis par exemple, la question de la cybersécurité englobe le contrôle des applications et les machines de vote électronique impliquées dans le processus électoral. Et leur protection n’est pas toujours au niveau : en février, l’application utilisée par le Parti démocrate pour sa primaire dans l’Iowa avait été très critiquée, car elle n’avait pas fait l’objet d’un test de pénétration par un tiers. Des puissances extérieures auraient pu manipuler les résultats en découvrant certaines failles.

Un manque de précaution inquiétant : à l’élection présidentielle de 2016, les services de renseignement américains avaient conclu sur l’ingérence russe, avec l’affaire des emails de Clinton. Impossible dès lors d’écarter l’éventualité d’un tel scénario, aux États-Unis comme en France.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !