Selon une étude, les acteurs malveillants
pourraient falsifier les bulletins de vote déposés via OmniBallot sans être
détectés par les électeurs, les responsables des élections ou le développeur de
l'outil.
OmniBallot, une plateforme
approuvée pour le vote en ligne dans plusieurs États américains, est peu sûre à
plusieurs niveaux et est susceptible d’être manipulée à divers degrés, a
constaté un rapport de
chercheurs du Massachusetts Institute of Technology (MIT) et de l’université du
Michigan.
« Au pire, les attaquants
pourraient modifier les résultats des élections sans être détectés, et même
s’il n’y avait pas d’attaque, les responsables n’auraient aucun moyen de
prouver que les résultats sont exacts. Aucune technologie disponible ne peut
atténuer ces risques de manière adéquate, c’est pourquoi nous demandons
instamment aux juridictions de ne pas déployer les fonctionnalités de vote en
ligne d’OmniBallot », selon Michael Specter et J. Alex Halderman, les
chercheurs à l’origine du rapport.
Les deux universitaires ont
évalué les risques liés à trois méthodes d’utilisation d’OmniBallot, un système
de vote et de livraison de bulletins par internet développé par Democracy Live.
Les méthodes étaient la livraison de bulletins blancs, le marquage des
bulletins en ligne et le retour des bulletins en ligne.
Le retour des bulletins en
ligne a été classé comme un risque grave, car les électeurs n’ont aucun moyen
de vérifier que leur vote n’a pas été altéré. En outre, les acteurs
malveillants pourraient modifier les votes d’une manière qui pourrait s’avérer
difficile à détecter par l’une des parties concernées – électeurs,
fonctionnaires ou Democracy Live. Les chercheurs ont également critiqué le fait
que cette méthode repose largement sur des services et des infrastructures de
tiers et ne permet pas d’obtenir une indépendance logicielle.
« Nous avons observé
qu’OmniBallot utilise une approche simpliste du vote par Internet qui est
vulnérable à la manipulation du vote par des logiciels malveillants sur
l’appareil de l’électeur et par des initiés ou d’autres attaquants qui peuvent
compromettre Democracy Live, Amazon, Google ou Cloudflare », ont déclaré
les deux chercheurs.
Les risques associés à la
manipulation du marquage des bulletins de vote en ligne sont considérés comme
élevés. Les attaquants peuvent découvrir les choix de l’électeur et peuvent
soit modifier le vote pour un candidat différent de celui prévu par l’électeur,
soit les détourner et les faire scanner comme un vote pour quelqu’un d’autre.
Dans le premier cas, les changements seraient visibles, mais l’électeur ne
remarquerait probablement pas la différence. L’éducation des électeurs et les
défenses procédurales ne peuvent pas aller plus loin dans l’atténuation des
risques; c’est pourquoi l’équipe recommande de limiter le déploiement du
marquage des bulletins de vote en ligne.
Quant à la remise de bulletins
blancs, il existe un risque que de acteurs malveillants puissent modifier les
bulletins des électeurs ou les instructions de retour en omettant des candidats
ou en provoquant une mauvaise lecture des votes. Les chercheurs estiment que
ces risques sont modérés, car des procédures électorales rigoureuses pourraient
les atténuer.
Dans le contexte de la
pandémie de la COVID-19, les États
américains se préparent à la possibilité que les électeurs ne puissent pas
voter en personne lors des prochaines élections. Trois États ont annoncé qu’ils
allaient autoriser certains électeurs à renvoyer leur bulletin de vote en ligne
à l’aide d’OmniBallot. Le New Jersey a offert cette option aux électeurs
handicapés, la Virginie occidentale a suivi le mouvement et permet en outre au
personnel militaire et aux résidents étrangers de voter en ligne également. Le
Delaware est allé encore plus loin en offrant cette option à tous les électeurs
malades, en situation d’isolement social ou d’auto-quarantaine.
Outre les recommandations pour
les juridictions présentées dans le rapport, les chercheurs ont également donné
quelques conseils aux électeurs individuels sur la manière de protéger leur vote.
Les inquiétudes concernant un piratage des élections ne
sont bien sûr pas nouvelles. Et comme l’élection présidentielle de 2020 se
déroulera à un moment sans précédent, il est compréhensible que les niveaux
d’anxiété soient élevés.