Au cours des deux dernières années, des élections ont eu lieu dans plusieurs pays depuis longtemps considérés comme des acteurs clés sur la scène mondiale. Cependant, ces élections ont soulevé toute une série de questions, parmi lesquelles la plus urgente était de savoir si une cyberattaque pouvait influencer un processus électoral au point de modifier la trajectoire politique d'une nation?
S'aventurer à répondre définitivement à une telle question représenterait une tâche intimidante pour quiconque, qu'il s'agisse d'un politologue ou d'un chercheur en cybersécurité. Néanmoins, il paraît évident que le scénario dans lequel nous nous trouvons actuellement pose un certain nombre de défis. On dispose de preuves substantielles que la mise en œuvre du vote électronique a donné des résultats qui sont loin d'être sûrs, comme nous le démontrerons ici.
En outre, nous devons attirer l’attention sur deux autres facteurs cruciaux. Premièrement, l'influence des réseaux sociaux sur l'opinion publique, notamment en ce qui concerne la promotion d'un agenda politique, en particulier la manière dont ils soutiennent l’hacktivisme; et deuxièmement, la nécessité d'inclure les questions de cybersécurité nationale dans l'agenda politique.
Systèmes de vote électronique non sécurisés
Ce n'était qu'une question de temps avant que les technologies de l'information ne soient intégrées dans le processus électoral, surtout compte tenu des raisons pour lesquelles certains pays (comme l'Argentine, le Brésil, l'Allemagne et les États-Unis) ont décidé d'introduire une mise en œuvre limitée du vote électronique. Ces motivations principales sont de mettre fin à la fraude, de normaliser et d’accélérer le processus de dépouillement. On vise ici à compléter le système de vote sur papier, plutôt que remplacer.
Nous pouvons tous convenir que la technologie progresse inexorablement. Néanmoins, peut-être que les efforts devraient mettre davantage de mécanismes de contrôle en œuvre, plutôt que de favoriser une approche qui ajoute de nouveaux points d'échec, sans éliminer aucun des risques.
Tout comme des responsables de campagne sans scrupules, des militants et d'autres acteurs clés ont trouvé des moyens de commettre des fraudes au fil des ans, en exploitant le système électoral lui-même, les cybercriminels découvriront bientôt des moyens de tirer parti du système numérique, en particulier s'ils bénéficient d'un parrainage quelconque.
Harri Hursti, développeur finlandais et co-fondateur de ROMmon, avait déjà démontré en 2006 dans le célèbre documentaire Hacking Democracy, comment le système de vote Diebold dans le comté de Leon, en Floride, pouvait être facilement et complètement compromis en utilisant une simple carte mémoire.
Il a ainsi pu changer tous les votes sans être détecté. Néanmoins, ce même logiciel – qui a simplement connu quelques ajustements, un changement de nom et de propriétaire - continue d'être utilisé aux États-Unis pour enregistrer et comptabiliser les votes.
Dix ans plus tard, très peu de choses ont changé, si ce n'est le fait que des preuves supplémentaires ont été révélées. Les urnes électroniques brésiliennes font l'objet d'une controverse depuis 2012, date à laquelle il a été découvert qu'il était possible de briser le secret du vote entièrement. Après des années d'allégations fondées de vulnérabilités, le Tribunal électoral supérieur reprendra la mise en œuvre des bulletins de vote en papier (dans un format hybride), pour seulement 5 % des urnes qui seront utilisées lors des élections de 2018. Entre-temps, les procédures de vote électronique en Argentine et en Allemagne se sont également révélées défectueuses.
La prépondérance des preuves à ce jour suggère fortement que nous ne pouvons pas compter uniquement sur la technologie pour quelque chose d'aussi important dans notre vie que le processus électoral. Celle-ci ne doit être considérée que comme outil complémentaire. Si l'idée est d'atténuer toutes les formes de fraude, renforçant ainsi la confiance dans les résultats et dans nos démocraties, nous devons envisager des systèmes hybrides avec des bulletins de vote papier et électroniques.
L’hacktivisme qui peut changer l'opinion publique
Les médias sociaux représentent un nouveau défi de la scène politique et sont utilisés par les campagnes politiques pour atteindre un nombre croissant de personnes. Comme nous le savons maintenant, ces mêmes réseaux ont également été utilisés pour saper les campagnes électorales par la diffusion de mensonges et la promotion de faux reportages, sans parler des attaques généralisées contre la réputation de personnalités publiques.
Un certain nombre de ces attaques utilisent des robots, des menaces informatiques telles que des robots ou d'autres formes de logiciels malveillants. Elles pourraient alors être atténuées par des protocoles de gestion de la sécurité adéquats en place. Sinon, ce qui pourrait sembler être l'indication d'une tendance peut en fait être la manifestation d'un groupe d'attaquants.
Bien qu'une telle attaque puisse contribuer à manipuler ou à biaiser l'opinion publique, elle ne signale pas la fin du monde pour la démocratie. Cependant, cela pose des défis critiques en matière de cybersécurité afin de s'assurer que la voix de la population est réellement représentée lors des élections.
Le programme Defending Digital Democracy, annoncé en juillet 2017, est soutenu et endossé par des entreprises comme Facebook et Google, ce qui suggère qu’elles reconnaissent l'importance de sécuriser ce type de mécanismes.
Si les parties concernées ne prennent pas les choses en main, ce type d'incidents pourrait se produire à nouveau dans l'avenir.
Cybersécurité nationale
Si la technologie constitue un élément majeur de notre vie, les gouvernements doivent prendre la responsabilité de veiller à ce que les utilisateurs interagissent avec la technologie de la manière la plus sûre possible. Pour y parvenir, ils peuvent mettre en œuvre des programmes nationaux de cybersécurité en collaboration avec des acteurs clés, tels que les RSSI et les auditeurs.
De plus, si des fonctionnaires, tels que les autorités judiciaires ou les fonctionnaires des commissions électorales, doivent prendre des décisions concernant la mise en œuvre de certaines technologies, ils devraient suivre une formation à la cybersécurité adaptée à la situation, afin de les aider à faire les choix les plus appropriés.
Il va sans dire que tout nouveau progrès comporte de nouveaux risques. Mais si nous voulons utiliser la technologie pour améliorer nos vies, nous devons l'empêcher d’entrainer des problèmes plus graves que ses avantages. Tous les aspects d'un système électoral doivent être considérés comme faisant partie de l'infrastructure critique de chaque pays (et être sauvegardés comme tels).
Les défis sont exposés devant nous. Le moment est venu de prendre des mesures préventives axées sur la sécurité numérique de l'information, et toutes les parties concernées doivent contribuer aux solutions qui garantissent la bonne mise en œuvre des processus démocratiques.