Des chercheurs du MIT identifient les vulnérabilités de sécurité dans l’application de vote
Ces dernières années, l’utilisation de l’internet et de la technologie mobile pour améliorer l’accès au processus de vote a suscité un intérêt croissant. Dans le même temps, les experts en sécurité informatique avertissent que les bulletins de vote en papier sont le seul moyen sûr de voter.
Aujourd’hui, les chercheurs du MIT soulèvent une autre préoccupation : Ils disent avoir découvert des failles de sécurité dans une application de vote mobile qui a été utilisée lors des élections de mi-mandat de 2018 en Virginie occidentale. Leur analyse de la sécurité de l’application, appelée Voatz, met en évidence un certain nombre de faiblesses, notamment la possibilité pour les pirates de modifier, d’arrêter ou d’exposer la façon dont un utilisateur a voté. En outre, les chercheurs ont constaté que l’utilisation par Voatz d’un fournisseur tiers pour l’identification et la vérification des électeurs pose des problèmes potentiels de confidentialité pour les utilisateurs.
Les résultats sont décrits dans un nouveau document technique par Michael Specter, étudiant diplômé du département de génie électrique et d’informatique du MIT (EECS) et membre du Initiative de recherche sur les politiques de l’Internetet James Koppel, également étudiant en troisième cycle à l’EECS. La recherche a été menée sous la direction de Daniel Weitzner, chercheur principal au laboratoire d’informatique et d’intelligence artificielle du MIT (CSAIL) et directeur fondateur de l’Initiative de recherche sur les politiques de l’Internet.
Après avoir découvert ces vulnérabilités en matière de sécurité, les chercheurs ont divulgué leurs conclusions à l’Agence de la cybersécurité et des infrastructures (CISA) du ministère de la sécurité intérieure. Les chercheurs, avec la Boston University/MIT Technology Law Clinic, ont travaillé en étroite coordination avec les responsables de la sécurité des élections au sein de la CISA pour s’assurer que les responsables des élections concernés et le vendeur soient informés des résultats avant que la recherche ne soit rendue publique. Il s’agissait notamment de préparer des résumés écrits des résultats avec un code de preuve de concept, et de discuter directement avec les responsables des élections concernés lors d’appels organisés par la CISA.
En plus de son utilisation lors des élections de 2018 en Virginie-Occidentale, l’application a été déployée lors des élections à Denver, en Oregon et dans l’Utah, ainsi que lors de la Convention démocratique du Massachusetts de 2016 et de la Convention républicaine de l’Utah de 2016. Voatz n’a pas été utilisé lors des caucus de l’Iowa en 2020.
Selon les chercheurs, ces résultats soulignent la nécessité de la transparence dans la conception des systèmes de vote.
« Nous avons tous intérêt à accroître l’accès au scrutin, mais pour maintenir la confiance dans notre système électoral, nous devons nous assurer que les systèmes de vote répondent aux normes de sécurité techniques et opérationnelles élevées avant de les mettre en place », déclare M. Weitzner. « Nous ne pouvons pas faire d’expériences sur notre démocratie ».
« Le consensus des experts en sécurité est qu’il n’est pas possible aujourd’hui d’organiser une élection sécurisée sur Internet », ajoute M. Koppel. « Le raisonnement est que les faiblesses d’une grande chaîne peuvent donner à un adversaire une influence indue sur une élection, et les logiciels actuels sont suffisamment bancals pour que l’existence de failles exploitables inconnues soit un trop grand risque à prendre ».
Analyse des résultats
Les chercheurs ont d’abord été inspirés par une analyse de la sécurité de Voatz basée sur l’étude de Specter recherche avec Ronald Rivest, professeur au MIT, Neha Narula, directeur de l’initiative sur la monnaie numérique du MIT, et Sunoo Park SM ’15, PhD ’18 , qui étudie la faisabilité de l’utilisation de systèmes de chaînes à blocs dans les élections. Selon les chercheurs, Voatz prétend utiliser une chaîne de blocage autorisée pour assurer la sécurité, mais n’a pas publié de code source ni de documentation publique sur le fonctionnement de son système.
Specter, qui co-enseigne un MIT Cours sur la période d’activités indépendantes fondée par Koppel et qui se concentre sur les logiciels de rétro-ingénierie, a abordé l’idée de l’application de la rétro-ingénierie de Voatz, dans un effort pour mieux comprendre le fonctionnement de son système. Pour s’assurer qu’ils n’interfèrent pas avec les élections en cours ou n’exposent pas les enregistrements des utilisateurs, Specter et Koppel ont procédé à une ingénierie inverse de l’application et ont ensuite créé un modèle du serveur de Voatz.
Ils ont découvert qu’un adversaire ayant accès à distance à l’appareil peut modifier ou découvrir le vote d’un utilisateur, et que le serveur, s’il est piraté, peut facilement modifier ces votes. « Il ne semble pas que le protocole de l’application tente de vérifier (les votes authentiques) avec la chaîne de blocage en arrière-plan », explique M. Specter.
« Le plus alarmant est peut-être que nous avons découvert qu’un adversaire passif du réseau, comme votre fournisseur d’accès internet, ou quelqu’un à proximité de vous si vous êtes en Wi-Fi non crypté, pouvait détecter de quel côté vous avez voté dans certaines configurations de l’élection. Pire encore, des agresseurs plus agressifs pourraient potentiellement détecter le sens dans lequel vous allez voter et ensuite arrêter la connexion sur cette seule base ».
En plus de détecter des vulnérabilités dans le processus de vote de Voatz, Specter et Koppel ont constaté que l’application pose des problèmes de confidentialité pour les utilisateurs. Comme l’application utilise un fournisseur externe pour la vérification de l’identité des électeurs, une tierce partie pourrait potentiellement accéder à la photo d’un électeur, aux données de son permis de conduire ou à d’autres formes d’identification, si la plateforme de ce fournisseur n’est pas également sécurisée.
« Bien que la politique de confidentialité de Voatz parle d’envoyer certaines informations à des tiers, dans la mesure où nous pouvons dire que tout tiers obtient le permis de conduire de l’électeur et que l’égoïsme n’est pas explicitement mentionné », note M. Specter.
Appels à une plus grande ouverture
Specter et Koppel affirment que leurs conclusions soulignent la nécessité d’une ouverture en matière d’administration des élections, afin de garantir l’intégrité du processus électoral. Actuellement, notent-ils, le processus électoral dans les États qui utilisent des bulletins de vote en papier est conçu pour être transparent, et les citoyens et les représentants des partis politiques ont la possibilité d’observer le processus de vote.
En revanche, note Koppel, « l’application et l’infrastructure de Voatz étaient complètement fermées ; nous n’avons pu avoir accès qu’à l’application elle-même.
« Je pense que ce type d’analyse est extrêmement important. En ce moment, on s’efforce de rendre le vote plus accessible, en utilisant l’internet et les systèmes de vote par téléphone portable. Le problème ici est que parfois ces systèmes ne sont pas fabriqués par des personnes qui ont l’expertise nécessaire pour assurer la sécurité des systèmes de vote, et ils sont déployés avant d’avoir pu être correctement examinés », explique Matthew Green, professeur associé à l’Institut de sécurité de l’information de Johns Hopkins. Dans le cas de Voatz, il ajoute : « Il semble qu’il y ait eu beaucoup de bonnes intentions ici, mais le résultat manque de caractéristiques clés qui permettraient de protéger un électeur et de préserver l’intégrité des élections ».
Pour l’avenir, les chercheurs avertissent que les développeurs de logiciels doivent prouver que leurs systèmes sont aussi sûrs que les bulletins de vote en papier.
« Le principal problème est la transparence », déclare M. Specter. « Lorsque vous avez une partie de l’élection qui est opaque, qui n’est pas visible, qui n’est pas publique, qui a une sorte de composant propriétaire, cette partie du système est intrinsèquement suspecte et doit être soumise à un examen approfondi.