Un nouvel article d'Henry Herrington, étudiant de premier cycle en informatique à l'université de Princeton, démontre qu'un bulletin de vote PDF piraté peut afficher un ensemble de votes à l'électeur, mais des votes différents une fois qu'ils ont été envoyés par e-mail (ou téléchargés) aux responsables électoraux chargés du dépouillement.
Pour les électeurs étrangers ou les électeurs handicapés, de nombreux États proposent le "Remote Accessible Vote By Mail", ou RAVBM, un système qui permet aux électeurs de télécharger et d'imprimer un bulletin de vote par correspondance, de le remplir à la main sur papier et physiquement. Envoyez-le par la poste. Certains États utilisent des produits commerciaux, tandis que d'autres ont développé leurs propres solutions. En général, cette forme de RAVBM peut être suffisamment sécurisée, principalement parce que les électeurs font leurs propres marques sur le papier.
Dans certaines formes de RAVBM, l'électeur peut remplir le bulletin de vote à l'aide d'une application sur son ordinateur avant de l'imprimer et de l'envoyer. C'est moins sûr : si un logiciel malveillant sur l'ordinateur de l'électeur a "piraté" l'application de vote, ce qui est imprimé peut différer de ce que l'électeur a indiqué à l'écran, et les électeurs ne sont pas très doués pour examiner les imprimés et remarquer ces changements.
La forme la plus dangereuse de RAVBM est celle qui permet le retour électronique des bulletins de vote, dans laquelle l'électeur télécharge ou envoie par e-mail un fichier PDF. Trente États autorisent les électeurs étrangers à envoyer un bulletin de vote électronique, soit par e-mail, fax ou téléchargement sur un portail Web, comme le montre le tableau 5 (pages 34-35) de l'article plus long de Herrington, Ballot Acrobatics: Altering Electronic Ballots using Internal PDF Scripting.
Le danger est qu'un logiciel malveillant sur l'ordinateur de l'électeur puisse envoyer un fichier PDF différent de celui que l'électeur a consulté et vérifié. Un pirate qui voulait voler une élection pourrait propager ce logiciel malveillant sur des milliers d'ordinateurs d'électeurs. Le logiciel malveillant pourrait altérer le fonctionnement de l'application de vote, de la visionneuse PDF, du navigateur ou du logiciel de messagerie/téléchargement. Il existe un consensus scientifique clair à ce sujet : Académies nationales des sciences, de l'ingénierie et de la médecine : Internet « ne doit pas être utilisé pour le retour des bulletins marqués. . . car aucune technologie connue ne garantit le secret, la sécurité et la vérifiabilité d'un bulletin de vote marqué transmis sur Internet.
Le retour électronique des bulletins de vote est promu par les fournisseurs de technologie, Democracy Live et Voatz ; et par le Nevada, avec son propre système EASE, qui donne aux électeurs "la possibilité d'enregistrer les documents de vote sous forme de fichier PDF et d'envoyer le document par courrier électronique en pièce jointe au greffier du comté respectif ou au bureau du registraire". Democracy Live utilise OmniBallot, une méthode électronique de livraison et de retour des bulletins de vote.
Dans tous ces cas, le bulletin de vote "final" que l'électeur examine est un fichier PDF.* Les fournisseurs d'applications électorales s'appuient implicitement sur votre intuition selon laquelle "c'est un document" et nous, les humains, pensons que nous pouvons lire un document . À 8 h 32 dans cette vidéo promotionnelle de Democracy Live, « ce scrutin se trouve être un document ». Clairement, dans la vidéo, c'est un PDF, visualisé dans une visionneuse PDF, et d'après Spectre et Halderman (2021), nous savons que c'est un PDF.
Il est suffisamment dangereux que le PDF que vous visualisez ne soit pas le PDF transmis à l'administrateur des élections.Mais même s'il s'agissait du même fichier PDF, ce que vous voyez maintenant n'est pas nécessairement ce que vous obtenez plus tard.
Un article récent de Herrington, "Altering Electronic Ballots Using PDF Scripting", contient une démonstration en direct (à la page 2) d'un bulletin de vote PDF qui modifie les votes marqués d'une minute à l'autre.Bien sûr, une véritable élection hacker ne produirait pas un PDF dont les votes changent à chaque minute ; l'électeur pourrait le remarquer. Le véritable modèle de menace se situe entre le temps de vérification et le temps de dépouillement des votes. Herrington démontre un changement minute par minute pour la commodité de ses lecteurs.
Un électeur peut marquer un bulletin de vote à l'aide de l'application EASE, Voatz ou Democracy Live fournie par le bureau électoral de son comté, puis l'inspecter à l'aide d'un navigateur ou d'une visionneuse PDF :
En inspectant le bulletin de vote, l'électeur peut penser qu'il a vérifié sa sélection de candidats. Ensuite, il envoie par e-mail ou télécharge ce bulletin de vote au format PDF, comme indiqué.
Mais lorsque l'administrateur des élections traite ce même fichier PDF pour compter les votes, l'ovale rempli est passé d'un nom à un autre :
Le vote a été piraté !
Les fichiers PDF ne sont pas statiques ; ils contiennent un logiciel de programme actif. Si un pirate informatique a infecté des milliers d'ordinateurs personnels d'électeurs avec un logiciel malveillant voleur de votes, ce logiciel malveillant peut corrompre le fonctionnement de l'application officielle de marquage des bulletins de vote pour produire des fichiers PDF dynamiques.
Vous pensez peut-être : "Mon ordinateur n'a probablement pas été piraté, je vais donc prendre ce risque". Mais le vrai risque n'est pas seulement votre ordinateur. Un pirate peut propager le même logiciel malveillant sur les ordinateurs de milliers de vos collègues. citoyens, et voler leurs votes lors de cette même élection - et le résultat de l'élection peut être modifié. Ce n'est pas de la démocratie, c'est de la hackocratie.
En conclusion :Marquez vos bulletins de vote sur du papier physique. Et dites à vos responsables électoraux nationaux et locaux de ne pas adopter le retour électronique des bulletins de vote. Par exemple, vous pouvez les renvoyer à ce rapport 2020 de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), qui dit : « Le retour des bulletins de vote électroniques présente un risque élevé. Le retour électronique des bulletins de vote, la remise numérique d'un bulletin de vote à l'autorité électorale, fait face à des risques de sécurité importants pour l'intégrité des bulletins de vote, la confidentialité des électeurs et la disponibilité du système. Il n'existe aucun contrôle compensatoire pour gérer le risque de retour des bulletins de vote électroniques à l'aide des technologies actuelles. Alors que de nombreux risques associés au retour des bulletins de vote électroniques ont un analogue physique avec le risque associé à l'envoi des bulletins de vote, la comparaison peut manquer le fait que les systèmes électroniques offrent la possibilité d'affecter rapidement le vote à grande échelle.
*L'utilisation du PDF à cette fin dans Democracy Live et Voatz est confirmée par une analyse indépendante évaluée par des pairs : (1) Spectre, Michael et J. Alex Halderman. "Analyse de la sécurité du système de vote en ligne Democracy Live." 30e Symposium sur la sécurité USENIX (USENIX Security 21), 2021 ; et (2) Spectre, Michael A., James Koppel et Daniel Weitzner. "Le bulletin de vote est annulé avant la blockchain : une analyse de la sécurité de Voatz, la première application de vote par Internet utilisée lors des élections fédérales américaines." 29th USENIX Security Symposium (USENIX Security 20), 2020 ; et (3) l'utilisation de PDF dans EASE est indiquée en langage clair sur le site Web du Nevada.
Classé sous : Non classé Marqué avec : VoteCommentaires
Parlez ce que vous pensez Annuler la réponse
Freedom to Tinker est hébergé par le Princeton's Center for Information Technology Policy, un centre de recherche qui étudie les technologies numériques dans la vie publique. Vous trouverez ici des commentaires et des analyses de la frontière numérique, écrits par les professeurs, les étudiants et les amis du Centre. itySpamSuper -DMCAsurveillanceTechnology/Law/Policy BlogsTechnology and FreedomtransparenceVirtual WorldsVotingWiretappingWPM
Contributeurs
Archives par mois
connexion auteurRetour en haut de la page
Copyright © 2022 ·Thème Education sur Genesis Framework · WordPress · Se connecter