Dans les années récentes, il y a eu un intérêt croissant pour l'utilisation d'Internet et de la technologie mobile pour augmenter l'accès au processus de vote. À la fois, les experts en sécurité informatique avertissent que les bulletins de vote papier sont le seul moyen sûr de voter.

Maintenant, Les chercheurs du MIT soulèvent une autre préoccupation :ils disent avoir découvert des failles de sécurité dans une application de vote mobile qui a été utilisée lors des élections de mi-mandat de 2018 en Virginie-Occidentale. Leur analyse de sécurité de l'application, appelé Voatz, relève un certain nombre de faiblesses, y compris la possibilité pour les pirates de modifier, arrêter, ou exposer comment un utilisateur individuel a voté. En outre, les chercheurs ont découvert que l'utilisation par Voatz d'un fournisseur tiers pour l'identification et la vérification des électeurs pose des problèmes de confidentialité potentiels pour les utilisateurs.

Les résultats sont décrits dans un nouveau document technique de Michael Specter, un étudiant diplômé du Département de génie électrique et informatique du MIT (EECS) et membre de l'Initiative de recherche sur les politiques Internet du MIT, et James Koppel, également un étudiant diplômé en EECS. La recherche a été menée sous la direction de Daniel Weitzner, chercheur principal au Laboratoire d'informatique et d'intelligence artificielle (CSAIL) du MIT et directeur fondateur de l'Internet Policy Research Initiative.

Après avoir découvert ces failles de sécurité, les chercheurs ont divulgué leurs conclusions à la Cybersecurity and Infrastructure Agency (CISA) du Department of Homeland Security. Les chercheurs, avec la Boston University/MIT Technology Law Clinic, travaillé en étroite coordination avec les responsables de la sécurité électorale au sein de la CISA pour s'assurer que les responsables électoraux concernés et le fournisseur étaient au courant des conclusions avant que la recherche ne soit rendue publique. Cela comprenait la préparation de résumés écrits des résultats avec un code de validation de principe, et des discussions directes avec les responsables électoraux concernés lors d'appels organisés par le CISA.

En plus de son utilisation lors des élections de 2018 en Virginie-Occidentale, l'application a été déployée lors des élections à Denver, Oregon, et l'Utah, ainsi qu'à la Convention démocrate du Massachusetts de 2016 et à la Convention républicaine de l'Utah de 2016. Voatz n'a pas été utilisé lors des caucus de l'Iowa en 2020.

Les résultats soulignent le besoin de transparence dans la conception des systèmes de vote, selon les chercheurs.

"Nous avons tous intérêt à accroître l'accès au scrutin, mais afin de maintenir la confiance dans notre système électoral, nous devons nous assurer que les systèmes de vote répondent aux normes techniques et de sécurité de fonctionnement élevées avant leur mise en service, ", dit Weitzner. "Nous ne pouvons pas expérimenter sur notre démocratie."

"Le consensus des experts en sécurité est qu'il n'est pas possible aujourd'hui d'organiser une élection sécurisée sur Internet, " ajoute Koppel. " Le raisonnement est que des faiblesses n'importe où dans une grande chaîne peuvent donner à un adversaire une influence indue sur une élection, et le logiciel d'aujourd'hui est suffisamment fragile pour que l'existence de failles exploitables inconnues soit un trop grand risque à prendre."

Décomposer les résultats

Les chercheurs ont d'abord été inspirés pour effectuer une analyse de sécurité de Voatz basée sur les recherches de Spectre avec Ronald Rivest, professeur d'institut au MIT; Neha Narula, directeur de la MIT Digital Currency Initiative; et Sunoo Park SM '15, doctorat '18, explorer la faisabilité d'utiliser des systèmes de blockchain dans les élections. Selon les chercheurs, Voatz prétend utiliser une blockchain autorisée pour assurer la sécurité, mais n'a publié aucun code source ou documentation publique sur le fonctionnement de leur système.

Spectre, qui co-enseigne un cours de période d'activités indépendantes du MIT fondé par Koppel et axé sur les logiciels d'ingénierie inverse, abordé l'idée de la rétro-ingénierie de l'application de Voatz, afin de mieux comprendre le fonctionnement de son système. Pour s'assurer qu'ils n'interfèrent pas avec les élections en cours ou n'exposent pas les dossiers des utilisateurs, Spectre et Koppel ont procédé à la rétro-ingénierie de l'application, puis ont créé un modèle du serveur de Voatz.

Ils ont découvert qu'un adversaire disposant d'un accès à distance à l'appareil peut modifier ou découvrir le vote d'un utilisateur, et que le serveur, si piraté, pourrait facilement changer ces votes. "Il ne semble pas que le protocole de l'application tente de vérifier [les votes authentiques] avec la blockchain principale, ", explique Spectre.

"Peut-être le plus alarmant, nous avons constaté qu'un adversaire de réseau passif, comme votre fournisseur d'accès Internet, ou quelqu'un à proximité si vous êtes en Wi-Fi non crypté, pourrait détecter de quelle façon vous avez voté dans certaines configurations de l'élection. Pire, des attaquants plus agressifs pourraient potentiellement détecter de quelle manière vous allez voter, puis arrêter la connexion en fonction de cela seul. "

En plus de détecter les vulnérabilités avec le processus de vote de Voatz, Spectre et Koppel ont découvert que l'application posait des problèmes de confidentialité aux utilisateurs. Comme l'application utilise un fournisseur externe pour la vérification de l'identité de l'électeur, un tiers pourrait potentiellement accéder à la photo d'un électeur, données de permis de conduire, ou d'autres formes d'identification, si la plate-forme de ce fournisseur n'est pas également sécurisée.

"Bien que la politique de confidentialité de Voatz parle de l'envoi de certaines informations à des tiers, pour autant que nous puissions dire le fait qu'un tiers obtient le permis de conduire de l'électeur et que le selfie n'est pas explicitement mentionné, " Notes du spectre.

Appel à une plus grande ouverture

Spectre et Koppel disent que leurs conclusions soulignent le besoin d'ouverture en matière d'administration électorale, afin d'assurer l'intégrité du processus électoral. Actuellement, ils notent, le processus électoral dans les États qui utilisent des bulletins de vote papier est conçu pour être transparent, et les citoyens et les représentants des partis politiques ont la possibilité d'observer le processus de vote.

En revanche, note Koppel, « L'application et l'infrastructure de Voatz étaient complètement fermées ; nous n'avons pu accéder qu'à l'application elle-même.

"Je pense que ce type d'analyse est extrêmement important. En ce moment, il y a une volonté de rendre le vote plus accessible, en utilisant Internet et des systèmes de vote mobiles. Le problème ici est que parfois ces systèmes ne sont pas fabriqués par des personnes qui ont une expertise dans la sécurité des systèmes de vote, et ils sont déployés avant de pouvoir faire l'objet d'un examen approprié, " dit Matthew Green, professeur agrégé au Johns Hopkins Information Security Institute. Dans le cas de Voatz, il ajoute, "On dirait qu'il y avait beaucoup de bonnes intentions ici, mais le résultat manque de caractéristiques clés qui protégeraient un électeur et protégeraient l'intégrité des élections. »

Aller de l'avant, les chercheurs avertissent que les développeurs de logiciels devraient prouver que leurs systèmes sont aussi sûrs que les bulletins de vote papier.

"Le plus gros problème est la transparence, " dit Spectre. " Quand vous avez une partie de l'élection qui est opaque, qui n'est pas visible, ce n'est pas public, qui a une sorte de composant propriétaire, that part of the system is inherently suspect and needs to be put under a lot of scrutiny."

Cette histoire est republiée avec l'aimable autorisation de MIT News (web.mit.edu/newsoffice/), un site populaire qui couvre l'actualité de la recherche du MIT, innovation et enseignement.