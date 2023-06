ATLANTA (AP) – Les critiques du plan de la Géorgie d’attendre après l’élection présidentielle de l’année prochaine pour installer une mise à jour logicielle pour corriger les failles de sécurité sur l’équipement de vote de l’État ont qualifié cela d’irresponsable, affirmant que les machines seraient laissées ouvertes aux attaques.

Les vulnérabilités de l’équipement Dominion Voting Systems ont été identifiées par un témoin expert dans le cadre d’un procès contestant la constitutionnalité du système électoral géorgien. L’agence américaine de cybersécurité et de sécurité des infrastructures, ou CISA, a publié l’année dernière un avis basé sur ces conclusions qui exhorte les responsables électoraux à prendre des mesures pour atténuer les risques « dès que possible ».

Les responsables électoraux de la Géorgie disent qu’ils font exactement cela. Mais le temps et le travail nécessaires pour installer le dernier logiciel Dominion rendent irréaliste de le faire avant le cycle électoral de 2024, disent-ils. Ils insistent sur le fait que les élections de l’État sont sécurisées.

J. Alex Halderman, informaticien de l’Université du Michigan, a passé 12 semaines à examiner les machines à voter ImageCast X utilisées dans tout l’État de Géorgie et par au moins certains électeurs dans plus d’une douzaine d’autres États. Son rapport a été déposé au tribunal et gardé sous scellés pendant près de deux ans. Une version expurgée a été rendue publique mercredi.

« Aucune grande conspiration ne serait nécessaire pour commettre une fraude à grande échelle, mais plutôt seulement des compétences techniques modérées du type que possèdent déjà les attaquants susceptibles de cibler les élections en Géorgie », indique le rapport. Même si aucune attaque ne se produit, a écrit Halderman, l’existence de vulnérabilités « est presque certaine d’être exploitée par des acteurs partisans pour supprimer la participation des électeurs et jeter le doute sur la légitimité des résultats des élections ».

Gabriel Sterling, directeur de l’exploitation du bureau du secrétaire d’État de Géorgie, a rejeté les affirmations de Halderman comme « théoriques à bien des égards ».

« Nous devons opérer dans le monde réel, et c’est ce que nous faisons », a-t-il déclaré. « Nous continuons à agir de la manière la plus responsable possible. Nous protégeons nos systèmes, protégeons les électeurs.

Presque tous les électeurs en personne en Géorgie utilisent les machines à voter, ce qui en fait une cible plus attrayante pour une attaque que de nombreux autres endroits où les machines ne sont utilisées que pour les personnes qui ne peuvent pas physiquement remplir un bulletin de vote à la main, a écrit Halderman. La Géorgie est également devenue un État tournant pivot lors des récentes élections.

Dominion a déposé de nombreuses poursuites pour fausses déclarations concernant ses machines par des partisans de l’ancien président Donald Trump qui allèguent que les élections de 2020 ont été volées. L’entreprise maintient que son équipement est sécurisé.

« Alors que nous travaillons constamment pour offrir les dernières fonctionnalités et innovations de sécurité à nos clients, l’avis de la CISA indique clairement que l’exploitation de l’un des problèmes soulevés peut être atténuée en suivant les processus de sécurité procéduraux et opérationnels standard pour l’administration des élections », a déclaré la société. dans une déclaration envoyée par courriel.

Halderman a qualifié la révélation selon laquelle la Géorgie n’installerait pas la mise à jour logicielle avant 2025 de « stupéfiante ». Cela donne aux attaquants potentiels le temps de planifier et d’exécuter des attaques lors des élections de 2024, a-t-il déclaré.

Les machines à voter à écran tactile de Géorgie impriment un bulletin de vote papier avec un code QR et une liste lisible par l’homme reflétant les sélections de l’électeur, et les votes sont comptabilisés par un scanner qui lit le code QR. Halderman a écrit qu’en examinant une machine à voter Dominion ImageCast X et l’équipement associé, il « a joué le rôle d’un attaquant et a tenté de découvrir des moyens de compromettre le système et de modifier les votes ».

Critique de longue date des machines à voter électroniques, Halderman préconise l’utilisation de bulletins de vote en papier marqués à la main lus par des scanners ainsi que des audits post-électoraux robustes. Ses conclusions signifient que les électeurs géorgiens ne peuvent pas être sûrs que leurs votes sont sécurisés et correctement comptés ou que les futures élections utilisant le système actuel seront à l’abri des attaques et produiront le résultat correct, indique le rapport.

Selon le rapport, des logiciels malveillants pourraient être installés sur des machines à voter individuelles par des personnes ayant un accès physique temporaire, tels que des travailleurs électoraux ou des électeurs. Halderman a également déclaré qu’en modifiant certains fichiers que les agents électoraux copient sur les machines à voter avant chaque élection, un attaquant pourrait propager des logiciels malveillants sur toutes les machines à voter d’un comté, ou de l’ensemble de l’État, sans accès physique aux machines individuelles. Les attaques ne seraient probablement pas détectées par les pratiques et protocoles actuels de la Géorgie, indique le rapport.

L’année dernière, Dominion a commandé un rapport au National Election Security Lab de la Mitre Corporation pour évaluer les risques identifiés par Halderman. Dans ce rapport, qui a également été rendu public mercredi, Mitre a jugé les attaques potentielles « opérationnellement irréalisables ».

Mitre a déclaré avoir basé son analyse sur la difficulté, les compétences techniques et le temps requis pour les attaques proposées. La plupart affecteraient « un nombre statistiquement insignifiant de votes sur un seul appareil à la fois », et l’attaque qui pourrait propager des logiciels malveillants sur de nombreuses machines nécessite un accès irréaliste aux logiciels et machines Dominion, indique le rapport Mitre.

Le secrétaire d’État géorgien, Brad Raffensperger, a présenté le rapport Mitre comme la preuve que le système électoral de l’État est sécurisé.

« L’affirmation du secrétaire Raffensperger selon laquelle Mitre n’a trouvé aucun risque significatif pour les électeurs est très trompeuse », a déclaré David Cross, un avocat qui représente certains des électeurs dans le procès contestant le système électoral géorgien et qui a engagé Halderman pour examiner les machines. « Mitre n’a même pas examiné l’équipement ou le logiciel de vote et on lui a dit de supposer que les mauvais acteurs ne peuvent pas accéder au système de vote de la Géorgie. »

Cross a déclaré que cette hypothèse a été invalidée lorsqu’une équipe de criminalistique informatique embauchée par des alliés de Trump s’est rendue dans le comté de Coffee, dans le sud de la Géorgie, en janvier 2021, a été autorisée à accéder au matériel de vote et a copié des logiciels et des données. Les preuves montrent que le matériel a été téléchargé sur un serveur et consulté par un nombre inconnu de personnes.

Le procès qui a donné naissance au rapport de Halderman a été initialement déposé en 2017 par des électeurs individuels et la Coalition pour une bonne gouvernance, qui plaide pour la sécurité des élections. Ils ont initialement contesté les machines à voter sans papier obsolètes que la Géorgie utilisait à l’époque, mais se sont déplacés pour cibler le nouveau système acheté en 2019, affirmant qu’il était également vulnérable aux attaques.

La juge de district américaine Amy Totenberg, qui supervise le procès, avait résisté à la publication du rapport de Halderman, affirmant qu’elle craignait qu’il ne soit exploité par de mauvais acteurs. Mais dans une ordonnance la semaine dernière ordonnant qu’elle soit rendue publique, elle a noté que les partis et la CISA avaient tous convenu que les expurgations proposées offraient des garanties appropriées contre les problèmes de sécurité électorale.

Kate Brumback, L’Associated Press