Les systèmes de vote électronique perforés par les chercheurs californiens
Les responsables de la certification des machines à voter de l'Etat de Californie ont démontré des failles de sécurité dans chacun des trois modèles qu'ils ont testés.
Une équipe de chercheurs de l'Université de Californie a passé les deux derniers mois à étudier la sécurité des machines de vote électronique de Diebold Election Systems, Hart InterCivic et Sequoia Voting Systems. Le résultat est accablant : « Les équipes de sécurité ont pu contourner les protections physiques et logicielles de chaque système qu'elles ont testé », a expliqué Debra Bowen, secrétaire d'Etat de la Californie. A ce titre, Debra Bowen est responsable de l'organisation des élections, et donc chargée de certifier les machines que les différents comtés de l'Etat pourront acheter.
En tout, 15 problèmes ont été identifiés. Les chercheurs ont pu, par exemple, exploiter un bug de Windows pour accéder directement aux données du système GEMS de Diebold. Ils disent avoir réussi à obtenir un même niveau d'accès sur les WinEDS de Sequoia. Il était possible, disent les chercheurs, de faire en sorte qu'au redémarrage suivant, la machine charge un firmware pirate donnant le contrôle de la machine. De même, le remplacement du firmware de la machine de Diebold (« les testeurs ont trouvé plusieurs façon de faire », précise le rapport), a permis de modifier par la suite les droits d'accès et privilèges des utilisateurs, pour transformer un électeur en administrateur, par exemple. Des accès au système des machines Hart permettant de manipuler les résultats ont aussi été démontrés.
Des défauts de protection aussi bien au niveau physique qu'au niveau logique
Côté protection physique, le rapport des chercheurs relève que des vis du système de Sequoia n'étaient pas protégés, et que dans certains cas il était possible d'introduire des instruments sous des caches en plastique et de manipuler des boutons internes sans endommager les sceaux externes. « Avec des objets ordinaires », il était également possible de désactiver l'imprimante du système Diebold, pour empêcher toute vérification.
Les résultats pour les machines d'ES&S (Election Systems & Software), utilisées dans le comté de Los Angeles, ne sont pas encore connus, le fabricant ayant tardé à soumettre son matériel à l'examen des chercheurs.
Des porte-parole de Sequoia et de Diebold ont demandé un peu de temps avant de commenter les résultats de l'étude. Sequoia a toutefois déjà indiqué que les tests pratiqués ne reflétaient pas « les processus et les procédures employés lors de la tenue d'une élection normale ».
Sachant que les prochaines élections en Californie ont lieu le 5 février, et qu'enlever la certification d'une machine de vote demande un préavis de 6 mois, Debra Bowen rendra ses conclusions le 3 août.