Vote par internet : la faille démontrée et illustrée

Publié le par dan29000

Vote par internet : une faille démontrée et illustrée

 

 

 

Pour dénoncer le vote par internet proposé aux Français de l'étranger aux élections législatives, un hacker a démontré qu'il était possible de modifier le choix d'un électeur au moment de l'envoi du bulletin dans l'urne électronique.

 


 

Malgré l'opération médiatique réalisée vendredi par le ministère des affaires étrangères, qui a tenté de rassurer la presse sur la fiabilité du vote par internet aux élections législatives, l'existence de failles de sécurité est avérée. Si aujourd'hui rien ne montre qu'elles ont été exploitées, rien ne montre non plus qu'elles ne l'ont pas été. Et ça n'est pas le document ci-dessous, publié par Laurent Grégoire, qui va rassurer.

Le développeur explique en effet dans une vingtaine de pages comment il a pu réaliser simplement un script qui remplace une partie du code du logiciel de vote, pour modifier le choix de l'électeur à son insu. Le programme injecte les modifications dans l'application Java fournie à l'électeur par le ministère des affaires étrangères, de façon à renvoyer un autre identifiant de bulletin de vote que celui effectivement choisi par le votant. L'électeur croit avoir choisi un bulletin, et c'est en fait celui d'un concurrent qui est envoyé dans l'urne.

Si le hacker exécute ici le piratage en toute conscience, sur son propre ordinateur, un malware installé sur l'ordinateur de la victime pourrait être exécuté avec beaucoup plus de discrétion. Et être déployé à une large échelle, soit pour favoriser un candidat, soit plus simplement pour saboter le résultat juste par défi technique (rappelons que le ministère conseille sous certaines circonstances de désactiver l'anti-virus le temps du vote).

Dans cette vidéo qui accompagne le document de 20 pages, l'attaque est réalisée entre le choix du bulletin et la demande de confirmation. Mais selon Laurent Grégoire, l'attaque pourrait être réalisée après la confirmation, pour ne pas permettre à l'électeur de voir que son choix a été modifié.

 

 

Source : Numerama

 

 

 

Publié dans écrans

Commenter cet article