Le message de la Pennsylvanie était clair :l'État faisait un grand pas pour empêcher le piratage de ses élections en 2020. En avril dernier, son haut responsable électoral a déclaré aux comtés qu'ils devaient mettre à jour leurs systèmes. Jusque là, près de 60% ont agi, avec 14,15 millions de dollars de fonds principalement fédéraux aidant les comtés à acheter de tout nouveaux systèmes électoraux.

Mais il y a un problème :beaucoup de ces nouveaux systèmes fonctionnent toujours sur d'anciens logiciels qui seront bientôt obsolètes et plus vulnérables aux pirates.

Une analyse de l'Associated Press a révélé que, comme de nombreux comtés de Pennsylvanie, la grande majorité des 10, 000 juridictions électorales à l'échelle nationale utilisent Windows 7 ou un système d'exploitation plus ancien pour créer des bulletins de vote, programmer les machines à voter, compter les votes et rapporter les décomptes.

C'est important car Windows 7 atteint sa "fin de vie" le 14 janvier, ce qui signifie que Microsoft cesse de fournir un support technique et de produire des "correctifs" pour corriger les vulnérabilités logicielles, que les pirates peuvent exploiter. Dans une déclaration à l'AP, Microsoft a annoncé vendredi qu'il offrirait des mises à jour de sécurité continues de Windows 7 moyennant des frais jusqu'en 2023.

Les critiques disent que la situation est un exemple de ce qui se passe lorsque des entreprises privées déterminent finalement le niveau de sécurité des systèmes électoraux avec un manque d'exigences ou de surveillance fédérales. Les vendeurs disent qu'ils ont apporté des améliorations constantes aux systèmes électoraux. Et de nombreux responsables de l'État disent qu'ils se méfient de l'implication fédérale dans les élections nationales et locales.

Il n'est pas clair si les dépenses souvent élevées des mises à jour de sécurité seraient payées par les fournisseurs opérant sur des marges bénéficiaires extrêmement minces ou par des juridictions à court d'argent. Il n'est pas non plus certain qu'une version fonctionnant sous Windows 10, qui a plus de fonctionnalités de sécurité, peuvent être certifiés et déployés à temps pour les primaires.

"C'est une préoccupation très sérieuse, " a déclaré J. Alex Halderman, professeur à l'Université du Michigan et expert renommé en sécurité électorale. Il a déclaré que le pays risquait de répéter "les erreurs que nous avons commises au cours de la dernière décennie ou de la dernière décennie et demie lorsque les États ont acheté des machines à voter mais n'ont pas maintenu le logiciel à jour et n'ont pris aucune disposition sérieuse" pour Ce faisant.

L'AP a interrogé les 50 États, le District de Columbia et les territoires, et trouvé plusieurs états de champ de bataille affectés par la fin de la prise en charge de Windows 7, dont la Pennsylvanie, Wisconsin, Floride, Iowa, Indiana, Arizona et Caroline du Nord. Le Michigan, qui a récemment acquis un nouveau système, et la Géorgie, qui annoncera bientôt son nouveau système.

« Est-ce une mauvaise blague ? » dit Marilyn Marks, directeur exécutif de la Coalition pour la bonne gouvernance, une organisation de défense de l'intégrité électorale, en apprenant le problème de Windows 7. Son groupe a poursuivi la Géorgie pour qu'elle abandonne ses machines à voter sans papier et adopte un système plus sûr. La Géorgie a récemment piloté un système fonctionnant sous Windows 7 qui a été salué par les représentants de l'État.

Si Georgia sélectionne un système fonctionnant sous Windows 7, Marques a dit, son groupe ira en justice pour bloquer l'achat. La porte-parole des élections d'État, Tess Hammock, a refusé de commenter car la Géorgie n'a pas officiellement sélectionné de fournisseur.

L'industrie des technologies électorales est dominée par trois titans :Omaha, Election Systems and Software LLC, basée au Nebraska ; Denver, Dominion Voting Systems Inc., basée au Colorado; et Austin, Hart InterCivic Inc., basé au Texas. Ils représentent environ 92% des systèmes électoraux utilisés à l'échelle nationale, selon une étude de 2017. Tous trois ont travaillé pour convaincre les États nouvellement infusés de fonds fédéraux et désireux d'une mise à jour.

Les responsables américains ont déterminé que la Russie était intervenue dans l'élection présidentielle de 2016 et ont averti que la Russie, La Chine et d'autres pays tentent d'influencer les élections de 2020.

Sur les trois sociétés, seuls les systèmes les plus récents de Dominion ne sont pas touchés par les problèmes logiciels Windows à venir, bien qu'il dispose de systèmes électoraux acquis auprès de sociétés qui n'existent plus et qui peuvent fonctionner sur des systèmes d'exploitation encore plus anciens.

Le système de Hart fonctionne sur une version Windows qui atteint sa fin de vie le 13 octobre, 2020, semaines avant les élections.

ES&S a déclaré qu'il s'attend à être en mesure d'ici l'automne d'offrir aux clients un système électoral fonctionnant sur le système d'exploitation actuel de Microsoft, Windows 10. Il est actuellement testé par un laboratoire accrédité par le gouvernement fédéral.

Pour les juridictions qui ont déjà acheté des systèmes fonctionnant sous Windows 7, ES&S a déclaré qu'il travaillerait avec Microsoft pour fournir une assistance jusqu'à ce que les juridictions puissent mettre à jour. Windows 10 est sorti en 2015.

Hart et Dominion n'ont pas répondu aux demandes de commentaires.

Microsoft publie généralement des correctifs pour les systèmes d'exploitation tous les mois, donc les pirates ont appris à cibler les plus anciens, systèmes non pris en charge. Ses systèmes ont été à l'origine de cyberattaques paralysantes, y compris l'attaque du ransomware WannaCry, qui a gelé les systèmes en 200, 000 ordinateurs dans 150 pays en 2017.

Pour plusieurs personnes, la fin du support de Microsoft 7 signifie simplement la mise à jour. Cependant, pour les systèmes électoraux, le processus est plus onéreux. ES&S et Hart n'ont pas de systèmes certifiés par le gouvernement fédéral sur Windows 10, et le chemin vers la certification est long et coûteux, prenant souvent au moins un an et coûtant six chiffres.

ES&S, le plus grand fournisseur du pays, a obtenu sa dernière certification il y a quatre mois, utilisant Windows 7. La dernière certification de Hart était le 29 mai sur une version de Windows qui ne sera pas non plus prise en charge d'ici novembre 2020.

Bien qu'ES&S teste un nouveau système, on ne sait pas combien de temps il faudra pour terminer le processus - recertification fédérale et éventuelle de l'État, ainsi que le déploiement des mises à jour et si cela sera fait avant le début des primaires en février.

Les administrateurs électoraux souffrent notoirement de ressources insuffisantes. Récemment, de nombreuses juridictions ont fait des folies sur de nouveaux systèmes électoraux, certains utilisant leur part de 380 millions de dollars de fonds fédéraux fournis aux États.

comtés du Dakota du Sud, La Caroline du Sud et le Delaware ont tous récemment acheté des systèmes électoraux, tandis que beaucoup d'autres évaluent leurs achats.

L'utilisation de systèmes électoraux qui fonctionnent toujours sous Windows 7 " est préoccupante, et cela devrait être préoccupant, ", a déclaré Christy McCormick, présidente de la Commission d'assistance électorale des États-Unis. L'EAC élabore des lignes directrices pour le système électoral.

McCormick a noté que même si les systèmes électoraux ne sont pas censés être connectés à Internet, les différentes étapes du processus électoral nécessitent des transferts d'informations, qui pourraient être des points de vulnérabilité pour les attaquants. Elle a déclaré que certains administrateurs électoraux s'efforçaient de résoudre le problème.

Fonctionnaires en Pennsylvanie, Le Michigan et l'Arizona disent avoir discuté du problème du logiciel avec leurs fournisseurs. Les autres États mentionnés dans cette histoire n'ont pas répondu aux demandes de commentaires de l'AP.

La porte-parole des élections en Pennsylvanie, Wanda Murren, a déclaré que la langue du contrat permet une telle mise à niveau logicielle gratuitement. La porte-parole des élections en Arizona, C. Murphy Hebert, a déclaré qu'ES&S avait également assuré à l'État qu'il apporterait son soutien aux comtés pour une mise à niveau.

Susan Greenhalgh, directeur des politiques du groupe de défense National Election Defense Coalition, a déclaré que même dans le meilleur scénario, les administrateurs électoraux se préparent pour les primaires tout en essayant de mettre à niveau leurs systèmes, ce qui est "fou". Son groupe a partagé ses inquiétudes concernant Windows 7 avec AP.

Attestation, ce qui est volontaire au niveau fédéral mais parfois requis par les lois des États, garantit que les logiciels des fournisseurs fonctionnent correctement sur les systèmes d'exploitation sur lesquels ils sont testés. Mais il n'y a pas de contrôle de cybersécurité et le processus ne parvient souvent pas à suivre l'évolution rapide de la technologie.

Kevin Skoglund, technologue en chef pour Citizens for Better Elections, a déclaré que les responsables électoraux du comté indiquent que les certifications de l'EAC et de l'État sont une « preuve à toute épreuve » que leurs systèmes sont sécurisés, mais ne réalisez pas que les fournisseurs certifient les systèmes selon les normes de 2005.

Les autorités locales comptent sur les fournisseurs pour créer des systèmes sécurisés et sur l'EAC et les États pour appliquer des normes élevées, dit Skoglund.

Après que l'AP a commencé à enquêter, le sénateur Ron Wyden, D-Ore., a écrit McCormick demandant ce que EAC, qui n'a pas de pouvoir réglementaire, fait pour faire face à une "crise de cybersécurité électorale imminente" qui pose essentiellement le "tapis rouge" aux pirates informatiques.

« Le Congrès doit adopter une loi donnant au gouvernement fédéral le pouvoir d'imposer la cybersécurité de base pour l'infrastructure électorale, " Wyden a déclaré à l'AP dans un communiqué.

© 2019 La Presse Associée. Tous les droits sont réservés.