Le NIST trouve des problèmes de sécurité avec le vote électronique outre-mer

Selon un nouveau rapport du gouvernement américain, les efforts visant à permettre aux membres de l'armée américaine et aux autres électeurs de voter par courrier électronique ou sur Internet sont confrontés à de sérieux problèmes de sécurité.

Le rapport de l'Institut national des normes et de la technologie (NIST) des États-Unis indique que la transmission électronique des bulletins de vote, y compris les numéros de téléphone et de télécopieur, «représente un défi important pour l'intégrité de l'élection». Le ministère de la Défense a expérimenté le vote par Internet en 2003, mais a abandonné un programme pilote l'année suivante, après que des problèmes de sécurité se soient posés. Une poignée d'États ont expérimenté le vote par Internet, notamment en Floride et en Alabama en 2008, en raison des inquiétudes suscitées par le fait que les bulletins de vote militaires n'étaient pas livrés à temps.

La loi américaine Help America Vote Act de 2002 Commission d'assistance (EAC) pour étudier les méthodes de vote à l'étranger, et le rapport du NIST fait partie de cet effort. "La sécurité informatique est un aspect important de ce problème, aussi l'EAC a demandé au NIST de mener une étude explorant les menaces de sécurité associées aux technologies électroniques potentielles pour le vote à l'étranger et d'identifier les moyens possibles pour les atténuer", a déclaré Nelson Hastings. auteur du rapport.

Le rapport du NIST dit qu'il est relativement sûr de transmettre des bulletins non remplis par fax ou courrier électronique ou de les mettre sur le Web, mais envoyer des bulletins remplis par ces méthodes pose des problèmes de sécurité ou de confidentialité. > Le vote par téléphone nécessiterait l'utilisation de codes confidentiels, et les codes secrets pourraient être perdus ou volés, selon le rapport. Le rapport indique que les appels téléphoniques peuvent être exploités, en particulier les appels VoIP (Voice over Internet Protocol).

Les transmissions de fax peuvent être relativement sécurisées, mais les bulletins faxés peuvent être laissés sans surveillance pendant plusieurs heures. "Les télécopieurs seraient probablement laissés dans une pièce du bureau électoral recevant des fax tout au long de la journée", indique le rapport. "Cela donne aux attaquants potentiels le temps d'afficher des informations personnelles sensibles ou de détruire des formulaires d'enregistrement valides."

Le courrier électronique peut être intercepté ou bloqué, ajoute le rapport. "Le courrier électronique n'offre aucune garantie que le destinataire recevra le message", indique le rapport. "Une attaque sur les serveurs DNS [Domain Name System] pourrait envoyer des courriels à une partie attaquante, ce qui entraînerait non seulement la privation du droit de vote mais aussi la perte d'informations sensibles sur les électeurs."

une attaque ayant réussi, une vulnérabilité récente a été découverte dans des serveurs DNS qui auraient pu être utilisés pour créer une telle attaque, indique le rapport.

Il existe également un certain nombre d'attaques moins sophistiquées qui pourraient perturber le vote par courrier électronique. dit. "Une attaque par déni de service pourrait inonder les responsables électoraux d'un grand nombre d'e-mails frauduleux", indique le rapport. «Le nombre de courriels pourrait rapidement submerger le serveur de courrier électronique des fonctionnaires électoraux, empêchant ainsi les formulaires d'inscription légitimes d'atteindre les responsables électoraux.»

Le vote par Internet pourrait utiliser le cryptage pour éviter les fuites de données, mais le déni de service les attaques alimentées par les botnets sont toujours un problème potentiel. «Une attaque de déni de service réussie submergerait le serveur Web des élections avec du trafic, empêchant les électeurs légitimes d'envoyer des documents d'inscription et de demande de vote», indique le rapport. «Il est très difficile de se protéger contre les attaques par déni de service d'un attaquant disposant de ressources importantes.»

Plusieurs États distribuent déjà les bulletins de vote par courrier électronique ou par télécopie, et le rapport du NIST recommande à la Commission d'assistance électorale d'élaborer des directives. Ce faisant. Il offre peu de conseils sur les solutions de rechange au courrier traditionnel pour le retour des bulletins de vote, mais il faut suivre les améliorations de la sécurité.

«Les systèmes de fax, e-mail et Web pourraient distribuer des bulletins blancs rapidement et de manière fiable aux électeurs, réduisant significativement les délais de livraison des bulletins aux électeurs et améliorant l'expérience de vote des citoyens à l'étranger», indique le rapport. «En outre, les demandes d'inscription et de vote peuvent également tirer parti de ces méthodes de distribution, mais le traitement des bulletins de vote reste une question plus difficile à régler».

Le rôle du NIST dans les systèmes électoraux "purement technique", a déclaré le co-auteur du rapport Andrew Regenscheid. "Le NIST ne fixe ni ne recommande de décisions politiques", a-t-il déclaré. "Il appartient aux responsables électoraux locaux et étatiques de décider du niveau de risque qu'ils sont prêts à assumer, en fonction des procédures et des contrôles qu'ils mettent en place."