C'est ce que remontait le Brad Blog la semaine dernière. Dans le comté de Clay, Kentucky, huit officiels en charge de la tenue des élections ont été arrêtées pour fraude électorale, mais également, tenez-vous bien, pour corruption, extorsion, obstruction à la justice, atteinte au droit des électeurs, le tout en réunion bien sûr. Les actes de ces gens auraient impacté des scrutins de diverses amplitudes entre 2002 et 2006. Rien que ça...

Or, dans cette affaire, l'utilisation de la machine à voter aurait été un facteur clé d'une tromperie qui s'est étalée sur quatre années au cours desquelles elle est passé totalement inaperçue. Jusqu'à l'an dernier. Comment ? Je vais y revenir plus tard. Il est cependant dommage qu'on en sache pas plus sur les éléments à charge de l'enquête, à savoir comment l'enquête a démarré et sur quoi elle s'est appuyé pour avancer. Mais quelque chose me dit que les éventuels logs des machines en question ne figurent pas au rang des éléments probants à charge...

Du coup, je ne peux guère me retenir de revenir sur l'éloquente démonstration que nous offrait M. Legale sur cette vidéo mise en ligne il y a déjà deux ans. Voici ce qu'on peut entendre au tout début de la sixième minute, à 5:04 exactement, quand la fraude informatique est évoquée :

- Moi la seule réponse que j'ai à ça, c'est que s'il y a une
  tentative de fraude, un ça se verra, c'est inéluctable, et
  deux, c'est condamnable.
- Ça se verra ? C'est à dire ?
- Parce que je ne crois pas à cette légende qui fait que
  une élection pourrait être fraudée massivement sans qu'on
  s'en rende compte. Qu'est-ce que ça voudrait dire ?

Ben pardi ! Qu'est-ce que ça voudrait dire ? Enfin... D'abord ça se verra parce que bon, la fraude électorale, c'est un mythe urbain, c'est bien connu, et puis ensuite parce que c'est bien connu, tout ce qui est condamnable ne se fait pas. Genre les tribunaux français sont désespérément vides faute de dossiers à instruire... Et du coup, parce qu'il faudrait "vivre au 21e siècle" dans lequel "on fait tout avec des ordinateurs" et sous prétexte que môssieur ne croit pas à l'éventualité d'une fraude électorale, on y va, droit devant, sabre au clair et la fleur au fusil...


Revenir sur cet exemple est d'autant plus intéressant que le comté de Clay utilise des machines... iVotronic de ES&S... Comme à Issy les Moulineaux... Et comme dans 419 autres juridictions aux USA... Et pan, sur les doigts Monsieur de Chef de Cabinet !...

Ce qui nous permet de comprendre un peu mieux le modus operandi de nos fraudeurs. Comme c'est fort clairement expliqué au tout début de la vidéo, le fait d'appuyer sur "Confirmation" sur ces machines ne suffit pas à valider son vote. Il faut en effet confirmer son choix sur l'écran d'après. C'est ce vote en deux temps que ces officiels semblent avoir exploité auprès d'électeurs peu familiers de ces engins, ou tout simplement pas attentifs, en les poussant à quitter la machine juste après le premier écran. Ce qui leur permettait de repasser derrière pour modifier le vote, sans que le votant ne s'en rende compte.

D'aucuns avanceront qu'il s'agit de social engineering auprès de l'utilisateur, rien de bien évolué, et donc que la machine n'est pas en cause. Et bien justement si, elle est en cause. Précisément parce que son ergonomie permet ce genre de manipulations à l'insu de pas mal de monde. Essayez donc de faire la même chose avec une urne papier transparente, à savoir remplacer l'enveloppe de l'électeur par une autre, sachant que c'est l'électeur qui la met dans l'urne. Et sans que ça se voit. Et suffisamment de fois pour obtenir un effet notable. Bon courage...

D'autres argueront que, puisque l'affaire a été dévoilée, le processus de vote dans son ensemble s'est montré efficace. Que nenni. D'abord on ne sait pas si les machines à voter ont pu produire quoi que ce soit qui ait permis de détecter la moindre anomalie, même si la réponse semble être non. Ensuite, les faits remontent à 2002. Combien d'élections vont-elles se voir invalidées ? Combien de décisions prises par les élus en question vont-elles être remises en question ? J'avancerais bien un chiffre, mais je vais vous laisser vous faire une idée par vous-même...


Enfin, quand bien même elle n'exploite pas de faille technique dans la machine, cette histoire démontre que les attaques montrées par le passé sont crédibles. L'argument spécieux comme quoi on peut faire confiance aux officiels pour ne pas bidouiller la machine n'est en effet absolument pas recevable ! Cette affaire le prouve, et des attaques comme l'ouverture de la machine, l'introduction d'EPROMs modifiées, de cartes mémoires altérées ou encore la mauvaise initialisation des machines sont tout à fait faisables par des gens décidés.

Ce qui sauve la situation dans ce cas précis, c'est surtout qu'aucun de ces huit compères n'ait pensé à réaliser l'opération directement sur la machine, ou tout simplement su comment le faire. Si ça avait été le cas, beaucoup moins de personnes auraient dû être impliquées et, donc tous les moyens bien visibles de parvenir à leurs fins n'auraient pas été nécessaires. Et là, on ne s'en serait probablement jamais rendu compte...


Et pendant ce temps, pas très loin de Vera Cruz, Sophos nous apprend la présence sur des ATM, autrement dit des distributeurs automatique de billets, de trojans spécifiquement écrits pour récupérer les informations nécessaires à de la fraude à la carte de crédit. Or il se trouve que ces malwares visent un constructeur dont le nom devrait vous rappeler quelque chose : Diebold. L'attaque passe certes par la connaissance de fonctionnalités non-documentées, mais ce n'est pas vraiment un problème pour des gens motivés.

Ce qui est plus intéressant par contre, c'est quand on sait d'une part que cette société fabrique des machines à voter, aujourd'hui sous le nom de Premier Election Solutions, et surtout d'autre part que le code source de certains de leurs produits a leaké sur le net. Bref, de quoi se poser encore des questions... À moins que nous ne vous en posiez pas encore ?...