Machines à voter

Que se passe-t-il donc de l'autre côté de l'Atlantique, la mère patrie du vote électronique ? Le congrès est tout simplement en train de revoir sa position sur le vote électronique. Dans la proposition HR 811, "Voter Confidence and Increased Accessibility Act of 2007", il propose, je cite, "To amend the Help America Vote Act of 2002 to require a voter-verified permanent paper ballot under title III of such Act" ce qui dans la langue de Molère signifie grosso modo qu'ils veulent "amender l'article 3 du Help America Vote Act de 2002 de manière à imposer une vérification du scrutin par vote papier".

Sans entrer dans le détail, le texte pousse les éléments suivants :

  • interdiction des machines ne fournissant pas l'impression sur papier du vote ;
  • interdiction des machines incluant des modules de communication sans-fil ;
  • interdiction des machines connectées à Internet ;
  • interdiction des machines utilisant du code non divulgué ;
  • le papier fera désormais foi en cas de vérification du scrutin ;
  • des vérifications seront systématiquement faites sur 3% des votes électroniques ;
  • des mentions explicites seront affichées pour inciter les votants à vérifier l'impression de leur vote ;
  • la machine devra offrir la possibilité de corriger son vote ;
  • le code source des machines à voter devra être mise à disposition ;
  • etc.

Voilà. On dirait que les US ont finalement tiré quelques enseignements de leur expérience des machines à voter. Il serait opportun que les autorités françaises en fassent autant...

Tiens, en parlant de machines à voter américaines, on notera le fairplay de Diebold qui a récemment décidé d'attaquer l'état du Massachussets suite au choix d'un concurrent, le tristement célèbre ES&S pour un marché de neuf millions de dollars visant à fournir des machines adaptées pour les handicapés. Édifiant... Toujours est-il qu'ils se sont fait bouler par le juge. Comme quoi, quand il s'agit de choisir entre la peste et le choléra, le perdant peut même se rebeller...


Vrais poissons d'avril

La certification de Maria Sharapova est extrêmement drôle. En particulier parce qu'elle s'appuie sur deux vilains XSS, respectivement chez Cisco et sur son site. Sur le premier, à présent corrigé, on pouvait lire :

Cisco is glad to announce new CCIE

Cisco is glad to announce to our customers that we have a new
famous person, who passed our most difficult exams. Maria
Sharapova has an official CCIE status and is invited to work
for Cisco and DoD. We always need such high profile experts
in computer security branch. Regardless of her Ping-Pong
carrier we are sure, she'll be a great member of our team.
Besides, we hope her skills will improve the ability to
investigate and solve computer crimes.

Il appelle le script http://www.securitylab.ru/upload/story2.js.

Le second, par contre, est encore disponible en ligne et annonce :

Maria Sharapova

Maria Sharapova is glad to announce you her new decision,
which changes her all life for ever. Maria has decided to
quit the carrier in Tennis and become a Security Expert. She
already passed Cisco exams and now she has status of an
official CCIE.

Maria is sure, her fans will understand her decision and will
respect it. Maria already accepted proposal from DoD and will
work for the US government. She also will help Cisco to
investigate computer crimes and hunt hackers down.

Lui appelle un deuxième script : http://www.securitylab.ru/upload/story.js. Les deux chargent des images, dont en particulier un sympathique montage devant un mur de pub Cisco.

Toute la beauté d'un XSS au service de l'humour. Excellent. Et didactique à la fois.

Le TWoVB est plus intéressant, parce que le prétendu bug a été publié hier, 2 avril, après une patiente préparation. Du coup, l'hameçon a mieux fonctionné, ou presque. La publication est longue et détaillée : explications, schémas, screenshots, captures, morceaux de code, etc. Tout est là pour au moins attirer le lurker qui n'en finissait pas d'attendre la sortie du premier bug... Pourtant, c'est un gros fake bien gras.

C'est vrai que si on survole la publication, on se prend à vouloir y croire. Mais c'est quand même un peu trop beau pour être vrai. Alors on a envie de regarder de plus près. Ce qui m'a fait tiquer, sans pour autant y regarder de plus près et relever le piège, c'est la trace Scapy. Après nous avoir grassement gavé d'IPv6, on nous annonce un "TCP stack smashing" dont on va tirer un "evil packet" par fuzzing IPv6. Fuzzing qui commence comme suit :

>>> ls( UDP() )
[...]
>>> ls( fuzz(UDP()) )

Tiens, on n'était pas censés voir un test TCP ? Manifestement non. Pas grave, on continue :

>>> a=IP(Version=4)/UDP()

Ah ben merde alors, c'est pas de l'IPv6. Et si on continue jusqu'au méchant paquet de la mort :

>>> IP(import_hexcap())
[...]
<IP version=4L ihl=5L tos=0x0 len=84 id=0 flags=DF frag=0L
ttl=64 proto=ICMP chksum=0x242a src=192.168.8.14
dst=66.102.11.99 options='' | <ICMP  type=echo-request
[...]

Un bon gros ping vers Google, pas de quoi fouetter un chat... Si on y passe un peu plus de temps, on peut constater que le payload n'a vraiment rien de folichon non plus. Par contre, je n'avais pas fait attention à la capture Ethereal qui ne contenait que des trames de contrôle et de gestion pour 802.11.

Ils ont donc fait leur coming-out ce matin. Quand on le lit, on voit tous les easter eggs qu'ils ont laissé ça et là pour mettre la puce à l'oreille aux lecteurs attentifs. Et le résultat est assez drôle. Par contre, il n'a pratiquement généré aucun commentaire. Tout le monde semblait vraiment omnubilé par le bug sur les curseurs animés. Dommage, peut-être la blague se serait-elle prolongée un peu plus longtemps avec, comme annoncé, un "''Bypassing UAC, For fun and profit'""...

Et j'allais oublier. Petit message à l'attention des mous du bulbe : mon post du 1er avril était aussi un poisson. Pas forcément drôle, mais un poisson quand même.