Les machines à voter coûtent moins de 100 000 $

C'est une question soulevée par des chercheurs universitaires qui ont récemment acheté une machine à voter Sequoia AVC Advantage et ont ensuite utilisé une nouvelle technique de piratage pour contourner sa sécurité.

Bien qu'ils aient été piratés auparavant, les machines AVC de Sequoia sont considérées comme une cible difficile car elles disposent d'un mécanisme de protection de mémoire spécial qui leur permet d'exécuter uniquement des logiciels câblés dans la ROM de la machine (mémoire morte)

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

Mais en utilisant une nouvelle technique de piratage, appelée attaque de programmation orientée retour, les chercheurs ont réussi à tromper la machine pour changer les résultats d'une élection, ac Selon Alex Halderman, l'un des chercheurs universitaires derrière le travail. Halderman travaille à l'Université du Michigan, mais des chercheurs de l'Université de Californie, de San Diego et de l'Université de Princeton ont également participé au projet.

Les chercheurs ont testé leurs résultats sur une machine achetée sur un site d'enchères du gouvernement après que le comté de Buncombe, en Caroline du Nord, a cessé d'utiliser les machines à voter en 2007.

Le piratage n'a pas été facile - Halderman estime qu'il a fallu environ 16 mois de travail pour y arriver - mais à des salaires universitaires qui seraient encore moins chers que la plupart des campagnes électorales américaines, a-t-il dit.

Le travail a été fait sans accès au code source ni à aucune documentation au-delà de ce qui est disponible sur le site Web de Sequoia

. installé un microcontrôleur maison qui s'est branché sur le port conçu pour la cartouche de résultats de vote et a envoyé des résultats fictifs à la machine de vote en utilisant cette technique de programmation orientée retour. «Vous pouvez utiliser des extraits du programme existant pour former un nouvel ensemble d'instructions», explique Halderman.

La machine AVC Advantage 5.0 testée avait entre 10 et 15 ans, mais ce type de machine est toujours utilisé en Louisiane et en Louisiane. New Jersey (où les critiques du vote électronique ont intenté un procès pour le retirer de l'utilisation active).

Des chercheurs ont déjà révélé d'autres façons de pirater les systèmes, y compris la falsification du micrologiciel de la machine en remplaçant une puce ROM par une autre. Les fabricants de machines à vorte-voix soutiennent que ces attaques seraient difficiles à déclencher dans des situations réelles, car quelqu'un aurait besoin de manipuler physiquement la machine à voter. Les chercheurs disent qu'ils peuvent réussir leurs attaques en quelques minutes.

Sequoia n'a pas répondu à une demande de commentaire sur le hack.