SAN FRANCISCO - Alors que les électeurs se rendaient aux urnes plus tard cette année, la sécurisation des élections américaines était un thème fréquent à la conférence RSA, mais les machines à voter ont pris le pas sur des préoccupations telles que les listes de vote et le logiciel utilisé pour rendre compte des résultats.
Aaron Wilson, directeur principal de la sécurité électorale au Center for Internet Security (CIS), affirme que son organisation a la solution.
Faire tomber une élection en 3 étapes simples
La technologie électorale est plus que de simples machines à voter, a expliqué Wilson.
Les carnets de scrutin électroniques, par exemple, contiennent des listes d'électeurs éligibles, des systèmes de compte rendu le soir des élections, des systèmes d'inscription des électeurs et la distribution électronique des bulletins de vote utilisés par les citoyens vivant à l'étranger.
Et ces livres ont "une plus grande surface d'attaque que nos systèmes de vote parce que [they're] connecté à Internet d'une manière ou d'une autre , a-t-il déclaré.
Prenez l'application utilisée pour signaler les résultats du caucus de l'Iowa, où une mauvaise conception a entraîné un long retard dans la publication des résultats.
Attaque par déni de service
Wilson a trois préoccupations liées aux élections qui, selon lui, sont susceptibles de se produire.
Le premier est une attaque par déni de service (DoS).
Dans ce scénario, les attaquants peuvent inonder des sites Web ou des services critiques de fausses demandes qui les rendent inutilisables.
C'est "particulièrement préoccupant pour moi parce que vous savez exactement quand mener l'attaque", a déclaré Wilson.
Attaque de ransomware
De même, Wilson craint une attaque de ransomware, qui pourrait prendre en otage des infrastructures critiques ou des données et jeter une élection dans le chaos.
L'année dernière a été une année record pour les ransomwares, avec des hôpitaux et des municipalités parmi les victimes.
Comme pour une attaque DoS, les méchants sauraient que s'ils lancent l'attaque le jour de l'élection, il sera beaucoup plus difficile pour les fonctionnaires de récupérer et de rendre compte des résultats.
Ces deux attaques offrent "le meilleur retour sur investissement pour un attaquant rationnel ...
et nous convenons qu'il s'agit d'acteurs rationnels", a déclaré Wilson.
Modification non autorisée des données
La dernière attaque probable que Wilson imagine est la modification non autorisée des données.
Cela inclurait tout ce qui va de la dégradation du site Web à la manipulation des résultats transmis à un portail en ligne.
Un site Web dégradé peut être utilisé pour diffuser de la désinformation, peut-être des dates ou des lieux de vote incorrects.
La manipulation des totaux des votes est un véritable scénario de cauchemar et montre comment les résultats pourraient être influencés ou la confiance dans les élections ébranlée sans toucher aux machines à voter ou aux bulletins de vote.
Sauvegardez-le tôt et souvent
La technologie électorale a toujours été un peu une industrie de niche, et c'est encore plus vrai pour les technologies de soutien, a déclaré Wilson.
Parmi les entreprises qui desservent cet espace, la plus grande compte 40 à 50 employés.
Wilson et le CIS ont compilé 160 meilleures pratiques, qui sont divisées en groupes allant des tactiques simples aux tactiques avancées, afin que les entreprises puissent rapidement augmenter la sécurité de base.
Bien que nous l'utilisions pour les fournisseurs de technologie, nous voulions également donner aux responsables électoraux quelque chose à lire et à comprendre, a déclaré Wilson.
L'objectif est de leur apprendre les bonnes questions à poser à leurs fournisseurs de technologie et à leur personnel.
Les entreprises et les organisations électorales devraient, par exemple, mettre en place des communications de secours au cas où les lignes établies seraient désactivées.
Pendant les caucus de l'Iowa, le numéro de téléphone de secours pour rapporter les résultats était lié par des trolls de 4chan.
Recommandé par nos rédacteurs
Wilson a également mis l'accent sur la planification avancée.
Les individus doivent connaître leur rôle dans une situation d'urgence, par exemple.
Il a également souligné que les entreprises et les agences électorales devraient disposer de sauvegardes complètes du système de leur équipement et se former sur la façon d'accéder et de distribuer rapidement ces sauvegardes.
Bannir les mises à jour d'équipement complexes et coûteuses
CIS a également conçu un système de test et de validation des systèmes et des mises à jour de ces systèmes, appelé RABET-V.
Le processus actuel du système électoral ne supporte pas très bien le changement, a déclaré Wilson.
Le changement, y compris les correctifs de sécurité, est coûteux à déployer.
D'autres orateurs à la conférence RSA ont abordé la question de la certification de l'équipement des électeurs, où il existe actuellement des désincitations à la mise à jour de cet équipement, a déclaré Jeffrey Rothblum, membre du personnel professionnel supérieur du Comité sénatorial de la sécurité intérieure et des affaires gouvernementales.
Le problème est que pour appliquer une mise à jour, il faut que l'équipement soit re-certifié, créant un "faux choix entre une chose certifiée et une chose plus sûre", a déclaré Rothblum.
Avec RABET-V, un système peut prendre 2 à 3 mois pour passer un examen initial, mais les examens suivants seraient beaucoup plus rapides.
Un programme pilote RABET-V a été lancé ce mois-ci avec deux systèmes de registre de scrutin, deux systèmes de rapport de résultats et une plate-forme d'audit, et l'objectif est d'affiner davantage RABET-V et d'en faire un processus viable.
Nous soumettons que nous pouvons réduire le coût de revérification d'un système, a déclaré Wilson.
Mais nous devons être en mesure de le prouver.
