Une fois de plus les machines à voter Diebold sont sur la sellette : l’équipe de recherche en vulnérabilités du laboratoire d’Argonne (département US de l’Energie) situé dans l’Etat de l’Illinois est parvenu à conduire une attaque « processor in the middle » capable de modifier l’échange de données (autrement dit le résultat d’un vote) entre le votant et la carte mère du système, via l’écran « tactile » de la machine. Cette attaque peut être lancée via un dispositif sans fil, précise l’un des participants à ces recherches. Une vidéo explicative accompagne la présentation générale de ce hack (la partie la plus intéressante débute à la 9ème minute de ladite vidéo). En outre, un long article publié dans la revue Salon donne aux non-spécialistes un avant-goût de ce que pourrait être la démocratie en 2984.
Techniquement parlant, ce n’est pas là un hack élégant et subtil… et c’est précisément ce qu’a recherché le groupe de travail d’Argonne : rien que du brutal, pas de développement de code de haut niveau, aucun investissement supérieur à 10 dollars, pas de cyberattaque complexe ou de modification tarabiscotée de l’eprom de la Diebold… mais possibilité d’effacer toute trace du hack après usage. La démonstration laisse clairement voir qu’un électeur légèrement soupçonneux se rendra compte que quelque chose de « pas normal » est en train de se passer. Mais rappelons qu’il s’agit là d’une preuve de faisabilité, et non d’un exploit consciencieusement peaufiné. Le hack en lui-même consiste à intercaler un microcontrôleur entre le circuit de saisie (la matrice tactile de l’écran) et la carte principale. Ce qui implique une ouverture du boîtier (chose plus simple à réaliser que l’on pourrait le croire) et l’insertion d’une carte entre deux connecteurs. Le firmware du microcontrôleur-intrus peut ensuite être agrémenté à la sauce préférée du pirate selon son penchant politique. Le processeur intercepte le résultat du vote puis, s’il est contraire aux opinions de son programmeur, change la séquence de sélection. L’activité et l’action dudit microcontrôleur peut même être piloté à distance à l’aide d’un petit module sans-fil (un bloc de transmission d’instrumentation VHF 432 MHz semble avoir été utilisé pour les besoins de la démonstration). L’accès aux machines à voter en dehors des périodes électorales est simple, affirment les chercheurs du laboratoire d’Argonne. Stockées dans les caves d’une école ou d’une mairie, manipulées par des employés municipaux et non des officiers de police assermentés, accessibles à de prétendus agents de maintenance… elles peuvent recevoir cette verrue électronique dormante des mois avant les échéances électorales. Le fait d’apposer des scellés à la veille des élections ne changerait rien à l’affaire… sans parler du fait que les scellés eux-mêmes peuvent être contournés : l’accès aux entrailles de certaines machines est possible simplement en ôtant le capotage du lecteur de carte à puce. Le bulletin papier imprimé au moment du vote peut lui aussi être modifié afin d’endormir d’éventuels soupçons : le connecteur reliant la machine à voter et son socle, dans lequel est logé l’imprimante, n’est absolument pas protégé.
En France, cela va sans dire, nos machines à voter d’origine US ne peuvent souffrir de ces mêmes problèmes… de nombreuses commissions et enquêtes diligentées par Madame Isabelle Falque-Pierrotin alors Présidente du Forum des Droits de l’Internet et actuelle patronne de la CNIL, ont insisté sur le fait qu’une certaine vigilance devait être de mise… sans préciser le moins du monde comment techniquement devaient être encadrés, entreposés, maintenus, manipulés ces appareils. Rappelons que les machines à voter n’ont strictement aucun rapport, aucune connexion physique ou logique avec le réseau public en général et Internet en particulier. Elles peuvent en revanche dépendre de la CNIL puisqu’elles sont susceptibles de contenir des informations nominatives à caractères personnel. En France, tout finit par des chansons et des rétablissements de cap …