Inde : une machine à voter piratée, le chercheur arrêté
Le prix de la réussite
L'Inde utilise sur tout son territoire des machine à voter électroniques, sans trace papier, pour ses élections. Le système est très pratique, économe en main d'œuvre, et permet d'économiser du papier. Il a été développé par deux entreprises contrôlées par le gouvernement. Malheureusement, elles ne sont peut-être pas à l'abri d'un piratage, qui pourrait favoriser des fraudes.
Un chercheur en sécurité indien, Hari Prasad, a voulu en avoir le cœur net, et a envoyé l'année dernière une demande à la Commission électorale pour qu'elle prouve la sécurité de ces machines. Elle a cependant refusé de laisser des experts indépendants les examiner.
Or en février de cette année, une source anonyme lui a fait parvenir une de ces machines. Il semble qu'elle ait été volée dans un entrepôt du bureau de l'office des élections du district de Bombay, qui l'a rapporté manquante le 12 mai.
Aidé par deux confrères, J. Alex Halderman, un informaticien de l'Université du Michigan, et le hacker hollandais Rop Gonggrijp, il a étudié la sécurité de cet appareil crucial pour la démocratie.
Or il a réussi à trouver deux failles importantes, publiées fin avril, permettant de changer les résultats très facilement et rapidement, à condition d'avoir accès à la machine et le matériel adéquat. Or tous les électeurs ont accès à cette machine le jour de l'élection, dans l'isoloir.
La première méthode consiste à remplacer l'affichage des résultats, pour que le pirate puisse afficher les résultats qu'il veut avec un téléphone Bluetooth. La seconde utilise un petit appareil, qui change les résultats enregistrés par la carte mémoire en quelques secondes :
Un autre problème de sécurité apparait : le logiciel installé sur la machine est inconnu même des plus hautes autorités de régulation des élections, puisque la puce le contenant est chiffrée. Comment être certain de son intégrité dans ce cas ?
La police indienne a alors ouvert une enquête sur le vol de la machine à voter testée. Hari Prasad, refusant de révéler sa source anonyme, a été arrêté samedi matin à 5h30 par 12 policiers. Dans la voiture le conduisant au commissariat, il a pu parler au téléphone avec son collègue le professeur Halderman :
Il explique que la décision des policiers a été imposée de plus haut, et qu'il s'agit d'une tentative de pression contre lui. Car « ce genre d'intimidation va toucher le cœur des volontaires, qui refuseront de s'impliquer si ce genre de choses se multiplient. C'est la raison pour laquelle je vais tout prendre sur moi et ferai face, pour que les volontaires soient inspirés par mon action. Le but ultime que nous recherchons est que ces machines soient déclarées impropres aux élections ».
La commission des élections a publié un communiqué après cette arrestation, expliquant que « bien que la Commission ait beaucoup de respect pour les chercheurs, et est toujours ouverte aux suggestions concernant l'amélioration du système de vote, elle ne peut pas passer l'éponge sur des actes illégaux ».
Un chercheur en sécurité indien, Hari Prasad, a voulu en avoir le cœur net, et a envoyé l'année dernière une demande à la Commission électorale pour qu'elle prouve la sécurité de ces machines. Elle a cependant refusé de laisser des experts indépendants les examiner.
Or en février de cette année, une source anonyme lui a fait parvenir une de ces machines. Il semble qu'elle ait été volée dans un entrepôt du bureau de l'office des élections du district de Bombay, qui l'a rapporté manquante le 12 mai.
Aidé par deux confrères, J. Alex Halderman, un informaticien de l'Université du Michigan, et le hacker hollandais Rop Gonggrijp, il a étudié la sécurité de cet appareil crucial pour la démocratie.
Or il a réussi à trouver deux failles importantes, publiées fin avril, permettant de changer les résultats très facilement et rapidement, à condition d'avoir accès à la machine et le matériel adéquat. Or tous les électeurs ont accès à cette machine le jour de l'élection, dans l'isoloir.
La première méthode consiste à remplacer l'affichage des résultats, pour que le pirate puisse afficher les résultats qu'il veut avec un téléphone Bluetooth. La seconde utilise un petit appareil, qui change les résultats enregistrés par la carte mémoire en quelques secondes :
Un autre problème de sécurité apparait : le logiciel installé sur la machine est inconnu même des plus hautes autorités de régulation des élections, puisque la puce le contenant est chiffrée. Comment être certain de son intégrité dans ce cas ?
La police indienne a alors ouvert une enquête sur le vol de la machine à voter testée. Hari Prasad, refusant de révéler sa source anonyme, a été arrêté samedi matin à 5h30 par 12 policiers. Dans la voiture le conduisant au commissariat, il a pu parler au téléphone avec son collègue le professeur Halderman :
Il explique que la décision des policiers a été imposée de plus haut, et qu'il s'agit d'une tentative de pression contre lui. Car « ce genre d'intimidation va toucher le cœur des volontaires, qui refuseront de s'impliquer si ce genre de choses se multiplient. C'est la raison pour laquelle je vais tout prendre sur moi et ferai face, pour que les volontaires soient inspirés par mon action. Le but ultime que nous recherchons est que ces machines soient déclarées impropres aux élections ».
La commission des élections a publié un communiqué après cette arrestation, expliquant que « bien que la Commission ait beaucoup de respect pour les chercheurs, et est toujours ouverte aux suggestions concernant l'amélioration du système de vote, elle ne peut pas passer l'éponge sur des actes illégaux ».
Source :
Wired
Jeff
le 24 août 2010 à 12:29
(21 678
lectures)
Actualités et brèves relatives
- 13 / 08 / 2010 : Après les BlackBerry, l'Inde voudrait aussi contrôler Google et Skype
- 12 / 08 / 2010 : Apple corrige la faille critique utilisée par JailbreakMe
- 02 / 08 / 2010 : Un chercheur hacke le flux payant de la conférence Black Hat
- 02 / 08 / 2010 : Pirater les conversations GSM pour 1 500 dollars
- 30 / 07 / 2010 : Des apps papier-peint sous Android récupèrent des infos personnelles
- 29 / 07 / 2010 : Un distributeur d'argent piraté se transforme en machine à sous
- 23 / 07 / 2010 : Microsoft dit "non" aux récompenses pour les bugs
- 18 / 06 / 2010 : Faille dans l'anonymat des VPN : l'IPv6 mis à l'index
