Monde

Hacker la démocratie américaine en moins de deux minutes grâce au vote électronique

Temps de lecture : 10 min

À quelques semaines des élections présidentielles aux États-Unis, hackers, spécialistes, fabricants et gouvernement collaborent pour identifier les failles des «machines à voter» et tenter de les pallier.

Des ballot marking devices ImageCast X, le 5 mars 2018 à Sacramento (Californie). | Justin Sullivan / Getty Images North America / AFP
Des ballot marking devices ImageCast X, le 5 mars 2018 à Sacramento (Californie). | Justin Sullivan / Getty Images North America / AFP

Dix ans avant l'ampoule à incandescence, Thomas Edison présentait en 1869 le tout premier «enregistreur de votes», selon un procédé électrographique patenté. Si les équipements de vote électronique se sont depuis complexifiés, leur fiabilité fait plus que jamais débat.

À l'occasion des élections présidentielles américaines de 2012, nous évoquions déjà les défauts de design des voting machines les plus communément employées.

Depuis, les soupçons portant sur la Russie à la suite des élections présidentielles de 2016 ont convaincu le Congrès d'accorder une aide supérieure à 400 millions de dollars en soutien aux juridictions encore pourvues d'un système direct-recording electronic (DRE), afin de le remplacer par des machines incluant l'impression d'un document vérifiable. De nombreux think tanks et associations ont aussi vu le jour, réunissant hackers, spécialistes de la sécurité, universitaires et fabricants de machines.

Primaires chaotiques: de mauvais augure

La Géorgie voyait en les élections primaires présidentielles du 9 juin l'opportunité de tester ses nouvelles machines à voter. En 2018, de désastreuses élections de mi-mandat (la candidate démocrate avait alors dénoncé la suppression de plus d'un million d'électeurs et électrices des listes depuis 2012, dont la moitié l'aurait été de façon erronée) avaient mis en lumière les brèches sécuritaires flagrantes d'un équipement daté.

La Géorgie et sa capitale Atlanta, ville natale de Martin Luther King, vivent des bouleversements qui pourraient être autant de signes annonciateurs de changement: émeutes après la mort de George Floyd, scandale du lynchage d'Ahmaud Arbery, démission de la cheffe de la police, affrontements entre sa maire démocrate, Keisha Lance Bottoms et son gouverneur républicain Brian Kemp (qui lui intente un procès pour «abus de pouvoir» après qu'elle a imposé le port du masque), élection de la première congresswoman aux idées pro-QAnon...

Figurant parmi les États les plus densément peuplés des États-Unis, la Géorgie (au lourd passé ségrégationniste) compte seize grands électeurs et est historiquement ancrée dans le camp républicain. Mais les Géorgien·nes pourraient en faire un État pivot des élections présidentielles de novembre.

Faisant fi de l'opposition publique (15% des Géorgien·nes vivent en dessous du seuil de la pauvreté), le gouvernement d'État a décidé d'investir 107 millions de dollars dans le renouvellement du parc d'équipements de vote. Dès l'aube du 9 juin, des milliers d'Atlantans patientaient déjà devant les bureaux de vote. Les queues allaient se poursuivre tard dans la soirée, entraînant une extension des horaires d'ouverture des bureaux.

«C'était absolument chaotique», résume une électrice. Les témoignages évoquent quatre à sept heures d'attente. Les règles de distanciation sociale n'étaient pas les seules responsables: le nouveau matériel de vote a entraîné de nombreux soucis. Lesquels font étrangement écho à ceux rencontrés avec le matériel jugé caduque.

«Faites en sorte que votre vote ne soit pas supprimé»

La maire Keisha Lance Bottoms, qui figurait dans la liste des potentielles colistières de Joe Biden, tweetait en direct ses encouragements aux Géorgien·nes («PLEASE do not allow your vote to be suppressed. PLEASE stay in line»), les invitant à patienter et à exiger un bulletin provisoire en cas d'avarie.

Si certains lieux de vote ont ouvert avec plusieurs heures de retard (face à l'affluence, les bureaux n'ont pu fermer que plusieurs heures après l'horaire prévu), d'autres ont dû se résoudre à jeter l'éponge et sont restés portes closes.

Après une longue attente, les votant·es commençaient par signer une liste d'émargement électronique sur tablette. On leur donnait ensuite une carte à glisser dans le ballot marking device (BMD) qui en lisait les instructions pour afficher à l'écran (tactile) les choix à valider, puis imprimait enfin un bulletin résumant les informations.

Mais encore fallait-il que les bureaux soient dotés des nouvelles machines: certaines ne sont jamais arrivées à destination, d'autres ont été livrées avec des codes erronés ou incomplets, plongeant le personnel dans l'incapacité de les programmer. Des responsables de bureaux de vote n'avaient pas été formés au préalable et n'ont jamais réussi à faire fonctionner les équipements.

Ailleurs, ce sont les tablettes qui ne fonctionnaient pas ou les bulletins de validation qui refusaient de s'imprimer, remplacés par des bulletins manuels temporaires dont le stock imprudemment léger a fondu trop vite.

Avaries ou mauvaise gestion, le constat est amer pour les électeurs et les électrices qui n'avaient pas opté pour le vote par correspondance (un million de citoyen·nes de Géorgie avaient choisi de ne pas se déplacer) et dont le leur n'a pas été pris en compte.

Queue devant un bureau de vote à Atlanta, le 9 juin 2020. | Elijah Nouvelage / Getty Images North America / AFP

Le 9 juin, 2,1 millions de votes ont été enregistrés (les démocrates se sont déplacés en plus grand nombre que les républicains). Comme en 2018, les villes ou quartiers à prédominance afro-américaine ont été les plus touchés. Est-ce le fruit du hasard? L'organisation Fair Rights a déposé une plainte l'an dernier pour contester une faible attribution de machines BMD dans les circonscriptions majoritairement afro-américaines.

Dans certains quartiers, une seule machine accueillait les votant·es, entraînant des heures d'attente. Interrogé sur les raisons de la débâcle, le secrétaire d'État républicain Brad Raffensperger a botté en touche et rejeté la faute sur «l'inacceptable incompétence» des organisateurs (locaux) des élections. Le 8 septembre, il déclarait son intention d'ouvrir une enquête portant sur quelque 1.000 doubles votes enregistrés (bien qu'ayant renvoyé leur absentee ballot, certaines personnes se seraient tout de même déplacées pour voter).

L'exemple des élections de mi-mandat ou des primaires ne laisse rien présager de bon; il y a peu de chances pour que l'équipement puisse être remplacé voire réparé avant novembre, ont prévenu les expert·es, faute de temps et dans un contexte particulièrement tendu.

Hackers éthiques et gouvernement collaborent

La succession de cafouillages en Géorgie ne fait qu'illustrer les alertes inlassablement lancées par des spécialistes comme Brad Friedman. Le journaliste enquête depuis vingt ans sur les travers des systèmes de vote électronique. «Si les poll books, ces listes d'émargement sur écran, connaissent le moindre bug et que les bureaux de vote concernés n'ont pas de réserve de bulletins imprimés, c'est la catastrophe assurée.»

L'avocate Jennifer Cohn partage les doutes de Friedman. «C'est l'une des raisons pour lesquelles de nombreux analystes ont lancé de sérieuses mises en garde contre l'acquisition des nouvelles machines de type BMD, mais les fonctionnaires électoraux d'au moins 250 juridictions à travers le pays les ont ignorées. Les 159 comtés que compte la Géorgie s'en sont équipés.»

Si les ballot marking devices avaient été plébiscités, c'est parce qu'on les considérait comme une solution providentielle: en imprimant un résumé, les machines permettent la vérification. Avant celles-ci, le direct-recording electronic system à écran tactile assurait un vote 100% électronique, sans aucune donnée imprimée. Imposé dans le cadre du Help America Vote Act entériné par le Congrès en 2002, il rendait toute fraude ou erreur impossible à prouver.

Démonstration de vote sur un ballot marking device ImageCast X, le 5 mars 2018 à Sacramento (Californie). | Justin Sullivan / Getty Images North America / AFP

Expert·es de la sécurité, professeur·es ou étudiant·es ont depuis prouvé la tendance de ces machines à bugger et modifier les choix indiqués. Le risque que représente leur mode de fonctionnement reposant sur l'utilisation de programmes modifiables à distance a aussi été mis en exergue. Elles n'ont cependant pas complètement disparu: par manque de fonds ou à cause de batailles politiques, la Louisiane, la Caroline du Sud, une partie du New Jersey et de nombreuses juridictions à travers le pays voteront le 3 novembre sur des machines DRE.

En août, Las Vegas aurait dû accueillir la nouvelle édition de DEFCON, plus grand événement de hacking au monde. Lancé en 2017, leur Voting Village en est la star incontestable: spécialistes de la sécurité, avocat·es, chercheurs, chercheuses et hackers y joignent leur efforts pour mettre à mal un échantillon représentatif du matériel utilisé dans les bureaux de vote américains.

En 2019, leur proie de prédilection était une machine nouvellement développée à grands frais par la Darpa, agence gouvernementale américaine qui se consacre à la recherche technologique appliquée au domaine de la sécurité. Le program manager de la Darpa, Linton Salmon, voyait dans leur participation au Voting Village l'occasion de «développer des outils qui nous permettront d'être mieux armés face aux attaques à distance». D'autres machines, confiées par les principaux fabricants (jadis méfiants, ils se sont résolus à collaborer avec les White Hat Hackers, les hackers non criminels), ont également été passées au crible.

Dans cette industrie, Election Systems & Software (qui a racheté le distributeur de machines DRE, Diebold) domine largement le marché. Environ 60% à 70% des équipements de vote américains sont estampillés ES&S. Dans ce contexte hégémonique, Jennifer Cohn dénonce un manque d'éthique du fabricant pour le soutien financier qu'il a apporté au Parti républicain depuis 2013.

«Permission de tricher»

Le dernier rapport de quarante-sept pages publié par DEFCON à la suite de ce très attendu hackathon est sans appel: les machines de nouvelle génération ne sont pas infaillibles.

On trouve des softwares datés (certains programmes ont été écrits dans les années 2000, voire 1990), des anomalies déjà repérées dans l'équipement DRE et répliquées dans les machines hybrides. Ces dernières pèchent aussi par excès de zèle: les scanners optiques de bulletins de vote résument les informations en un QR code pour encrypter la vérification. Mais en cas d'erreur, le bulletin est rejeté et le vote non enregistré.

Il faut compter entre quinze et vingt minutes pour éteindre puis rallumer et sécuriser l'équipement.

Les machines hybrides, qui conjuguent écran et papier (BMD et scanner optique réunis dans le même appareil), doivent être connectées à un système interne qu'il est facile d'attaquer. Plusieurs d'entre elles, fabriquées par ES&S ou par son concurrent Dominion Voting Systems (qui a fourni à la Géorgie ses nouvelles machines), présentent un défaut de design crucial: le scanner optique qui vérifie et enregistre les informations lues sur le bulletin imprimé par la machine peut ensuite ajouter des votes, qui passeraient donc inaperçus.

Deux professeurs des universités Berkeley et Princeton ont attiré l'attention sur une option dans le programme appelée «AutoCast». Au moment de voter, l'électeur ou l'électrice doit cocher la case «utiliser AutoCast» ou «ne pas utiliser» –sans savoir de quoi il retourne– sous peine de voir son bulletin invalidé. Les fabricants donnent ainsi en toute innocence au système la «permission de tricher»...

Enfin, en cas d'anomalie (d'origine technique ou criminelle), il faut compter entre quinze et vingt minutes pour éteindre, puis rallumer et sécuriser l'équipement, au risque de générer des temps d'attente encore plus longs dans les bureaux de vote.

L'an dernier, Election Systems & Software a annoncé avoir arrêté la fabrication de machines dépourvues de bulletins papier (les stocks de machines plus anciennes et moins coûteuses n'ont pas pour autant été retirés de la vente). En juin 2019, la marque commençait un travail de lobbying auprès du Congrès, déclarant avoir compris l'importance d'imposer un paper trail, une trace imprimée permettant de procéder à un audit, après les soupçons d'ingérence russe dans les élections présidentielles de 2016.

Mais l'électorat est-il sensible à ces risques? En réalité, rares sont les votant·es qui vérifient les informations imprimées sur leur bulletin. En 2008, un professeur de l'Université de l'Iowa a organisé de fausses élections présidentielles par le biais des machines les plus communément utilisées. En pré-programmant la machine pour lui faire changer chaque vote en faveur de l'autre candidat, il s'attendait à une vive réaction de la part des participant·es. En réalité, seul un tiers de ces personnes ont vérifié leur bulletin et se sont aperçues de l'anomalie.

Au fil de la dernière décennie, J. Alex Halderman, professeur au MIT, a conduit plusieurs études similaires. Les résultats se sont avérés encore plus inquiétants: entre 40% et 93% des gens ont fait preuve d'une confiance aveugle en la machine à voter, n'accordant pas le moindre coup d'œil à leur bulletin imprimé.

La révolution par le bulletin papier?

Il faut se méfier de son sourire avenant: Rachel Tobac, spécialiste en ingénierie sociale, est une redoutable hackeuse. Depuis 2017, elle conserve la deuxième place sur le podium des pirates du Voting Village. Un peu moins de deux minutes lui ont été nécessaires pour hacker une machine hybride utilisée dans dix-huit États, au simple moyen d'une clé USB. Une seconde, moins répandue, a cédé en deux fois moins de temps.

«Mes “exploits” exigeaient un accès physique à la machine. Si vous êtes derrière un rideau ou que les assesseurs ne vous prêtent pas attention, il ne vous faut qu'une minute pour sortir une clé, avoir accès aux réglages et perpétrer l'attaque.»

On pourrait imaginer que les machines, puisqu'elles ne sont généralement pas connectées à internet, sont inattaquables à distance. C'est faux, assure Andrew Appel, professeur à Princeton. Celles-ci sont programmées à la veille des élections au moyen de cartes dont les informations sont chargées depuis un ordinateur connecté. C'est donc à la source que les informations peuvent être modifiées. Et c'est sans compter quelques imprudences commises par les fabricants: composantes fabriquées en Chine, informations stockées en Serbie ou dans l'Amazon Cloud, programme modifiable à distance...

«Mais que dire aux gens qui regardent vos vidéos de piratage et pensent que leur vote ne compte pas?», demandait alors un journaliste à Rachel Tobac. De ne pas trop compter sur les machines à voter, répondait-elle, et de se rassurer: les spécialistes de la sécurité sont les premièr·es à se porter volontaires pour tenir les bureaux de vote. «Le seul moyen de garantir des élections 100% sûres, c'est de ne pas voter. Donc, plutôt que vous abstenir, mieux vaut faire pression sur le gouvernement de votre État et exiger qu'il mette en place des audits.»

Une autre solution consiste à imposer le bulletin rédigé manuellement, pour lequel de plus en plus d'expert·es militent. C'est ce qu'a fait le comté d'Athens-Clarke en Géorgie pour les élections primaires. La décision a été prise au mois de mars (après un test non concluant des nouvelles machines), le comité électoral ayant mis en avant une loi locale stipulant la possibilité de recourir à des bulletins papier traditionnels si «l'utilisation des machines s'avère impossible ou impraticable». Le dépouillement du scrutin (manuel, lui aussi) semble s'être déroulé sans accroc, loin des débats houleux qui ont agité le reste de l'État. D'autres juridictions suivront-elles l'exemple?

Retrouvez l'actualité de la campagne présidentielle américaine chaque mercredi soir dans Trump 2020, le podcast d'analyse et de décryptage de Slate.fr en collaboration avec l'Ifri et TTSO.

Newsletters

Qu'a tweeté Trump cette semaine? Chronique du 5 au 12 octobre

Qu'a tweeté Trump cette semaine? Chronique du 5 au 12 octobre

Plongée dans la logorrhée du président américain.

L'image de la Chine a été méchamment abîmée par le Covid-19 (et pas que)

L'image de la Chine a été méchamment abîmée par le Covid-19 (et pas que)

Le pays se retrouve dans une situation de mise en cause internationale à laquelle il n'est pas habitué.

On lui refuse la nationalité allemande pour ne pas avoir voulu serrer la main à une femme

On lui refuse la nationalité allemande pour ne pas avoir voulu serrer la main à une femme

Il avait pourtant réussi avec brio le test de naturalisation.

Newsletters