Lors de la récente édition de la Def Con, qui s’est tenue du 27 au 30 juillet dernier au Caesars Palace de Las Vegas, les curieux ont pu participer à un atelier de piratage. L’animation ne portait pas sur n’importe quel appareil, puisqu’il s’agissait de machines à voter. Rassemblées principalement grâce à des achats sur eBay et des ventes aux enchères, ce ne sont pas moins de 30 pièces qui ont été auscultées à l’atelier de piratage. Sur tous les modèles présents, seulement un ne serait plus en service, les autres l’étant encore aux États-Unis.
Piratage en temps record
Résultat des courses, il a fallu moins d’une journée pour déjouer les diverses machines, sachant que les premières sont tombées en une heure et demi. Harri Hursti, un développeur finlandais, hacker spécialisé dans le domaine informatique électoral et co-organisateur de l’événement, ne se veut pas vraiment rassurant : « Aucune de ces failles n’avaient été détectées auparavant, elles sont toutes nouvelles ».
The WinVote is now the newest music playing device in the village! #DEFCON #votingvillage pic.twitter.com/litn3YhaOX
— DEF CON VotingVillage (@VotingVillageDC) July 29, 2017
Pour réaliser leurs attaques, les groupes ont appliqué différentes méthodes, allant du branchement d’un ordinateur à la machine, en passant par son démontage et au contrôle à distance. Certaines techniques n’impliquaient même pas de piratage. « Il nous a fallu seulement quelques heures sur Google pour trouver les mots de passe qui nous permettent de débloquer les fonctions administratives sur cette machine » a expliqué l’un des membres d’un groupe. Le but de cet atelier était de former la communauté de sécurité informatique sur les éventuelles faiblesses des systèmes de vote employés pour les élections américaines et les associer pour les résoudre.
Les résultats du vote inchangés
Malgré le piratage des machines de vote, aucune d’entre elles n’auraient pu être modifiées, assure Hursti. D’ailleurs au dimanche matin, aucune tentative de piratage réussie n’avait pu se faire autrement qu’avec un accès physique à la machine. Ce qui se veut plutôt rassurant, sachant que les élections présidentielles américaines de 2016 avaient fait l’objet de cyberattaques russes. D’après les autorités politiques, 21 États étaient visés et certaines données ont été volées, mais aucun vote n’avait pu être modifié.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Donc les gars arrivent à “détourner” l’objectif initial de l’appareil. Un peu comme installer Doom sur une imprimante : techniquement c’est marrant, mais sinon cela n’a aucun intérêt …
ta réson la defcon c pour se defonser normalmen
Tout de même ! Si au lieux d’installer doom on installe un soft qui fait extérieurement la même chose que celui d’origine mais modifie quelques votes. … ca craint !
Bon doit y avoir des cles dans le bidule d’origine qui cryptent les i/o mais si ils arrivent a désassembler le code orriginal…
Bref.. c’est risqué d’utiliser ces outils.