En Argentine, un chercheur en sécurité informatique qui avait dévoilé d’importantes failles de sécurité sur le système de vote électronique mis en place pour les élections locales a reçu la visite des policiers, qui ont fouillé toute sa maison. L’élection a été maintenue.

Pour ses élections municipales organisées dimanche, la ville de Buenos Aires a décidé de recourir à des machines de vote électronique, dont la fiabilité est très régulièrement critiquée — au delà-même de l’abandon de la symbolique démocratique (la transparence du scrutin matérialisée par une urne transparente que chacun peut contrôler étant remplacée par la confiance qu’il faut accorder à une urne opaque que personne ne peut vérifier). Mais le manque de sécurité du scrutin a pu être démontré pendant l’organisation du vote, grâce à une fuite il y a une semaine du code source qui aurait dû rester confidentiel, comme l’est en France le code utilisé pour certaines élections.

Le chercheur en sécurité informatique Joaquín Sorianello (@_joac) a ainsi découvert plusieurs failles avec le système installé, documentées sur Github. La machine à voter imprime le bulletin sur une feuille équipée d’une puce RFID, et un serveur est chargé de collecter les voix dans chaque bureau de vote et d’envoyer les résultats vers un serveur central, qui les agrège pour calculer le résultat final. Or selon les découvertes du chercheur les certificats SSL utilisés pour certifier les résultats envoyés vers le serveur central était accessibles en clair, ce qui permettait à n’importe quel assaillant d’envoyer sa propre comptabilité en se faisant passer pour une machine de vote autorisée. Une simple commande wget sur un serveur HTTP a suffi à les télécharger :

Lorsqu’il a découvert ces failles, Joaquín Sorianello a contacté la société MSA (Magic Software Argentina), qui avait été mandatée sans marché public pour organiser le scrutin.

Samedi, à la veille du scrutin, d’autres chercheurs ont découvert une faille baptisée MultiVoto. Comme son nom l’indique, elle permet de voter plusieurs fois avec un seul bulletin, et donc de bourrer l’urne, a priori sans détection. Par exemple en utilisant un téléphone NFC à la place du bulletin avec la puce RFID :

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Mais plutôt que d’annuler ou reporter l’élection, la réaction des autorités fut toute autre. Joaquín Sorianello a vu la police débarquer chez lui avec mandat de perquisition, et fouiller toute sa maison avant d’embarquer tout son matériel électronique. Il ne serait pas accusé d’avoir piraté la moindre machine, mais simplement d’avoir rapporté publiquement l’existence de ces failles.

Un audit conduit par l’Université n’avait découvert aucune de ces failles, ce qui faire réfléchir lorsqu’en France, l’Etat confie le contrôle du vote électronique à un seul expert.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !