Élections, quelles sont les implications du cyber ?
Sur le continent Africain, en 2023, sept élections présidentielles ou législatives sont attendues. Les élections sont marquées par des défis de sécurité, de stabilité et de transparence. Avec l’importance de la place du numérique dans nos sociétés, un nouveau défi a émergé : la cyber sécurité. Les risques liés au numérique sont nombreux, tels que des cyberattaques des systèmes électoraux, l’atteinte aux systèmes d’informations des candidats ou la désinformation.
L’utilisation du vote électronique n’est pas encore généralisée, qu’il s’agisse de vote par internet ou par machine. Ces techniques nouvelles doivent répondre à un haut niveau d’exigence face aux quatre enjeux fondamentaux du numérique, à savoir disponibilité, intégrité, authentification, confidentialité. Combinés et indissociables, ils participent à établir et garantir la confiance dans les résultats. De nombreux paramètres et acteurs participent au processus de vote.
Les occasions d’altérer les résultats sont tout aussi nombreuses : des bugs rencontrés à la conception des logiciels ou matériels, au moment de la saisie des votes ou encore lors de leur stockage et comptage. Les bonnes pratiques et respect des règles de l’art pour les opérateurs du processus électoral est primordial. Limiter les risques passe par le respect du privacy by design (protection de la vie privée dès la conception) et du security by design (sécurité dès la conception) qui implique de suivre les bonnes pratiques et l’état de l’art tout au long du développement des solutions et des processus.
Dans les processus électoraux, l’identification puis l’authentification ont un caractère essentiel. Ils permettent de s’assurer que la personne qui donne sa voix est bien celle qu’elle prétend. Dans le monde réel, l’interaction humaine permet de déceler nombre de supercheries. Transposée au monde numérique, c’est un tout autre défi. L’industrie de la cyber sécurité porte une attention particulière à cet élément essentiel.
Le MFA (Multi Facteur Authentification) est d’ailleurs recommandé pour protéger les accès aux ressources informatiques, tels que nos comptes en ligne ou applications. Il est fortement recommandé de l’activer pour tous ses comptes, sensibles ou non, comme les comptes de réseaux sociaux officiels ou les boîtes aux lettres. Car le risque numérique ne s’immisce pas uniquement dans les aspects techniques du processus électoral. Les partis ou protagonistes utilisent de nombreux moyens technologiques pour communiquer en amont et pendant les élections. Ordinateurs, smartphones ou encore logiciels et applicatifs sont plus que jamais soumis aux quatre principes énoncés ci-dessus.
Les règles de vigilance élémentaires peuvent être oubliées
Disponibilité et confidentialité doivent être au cœur des préoccupations. Il est évident que le système d’information, au sens large du terme et incluant tous les équipements technologiques et numériques se doivent d’être accessibles. Les informations préalables, mise à disposition sur les sites des partis peuvent être la cible d’attaques par déni de service distribuées.
Ces attaques ont pour objectif de saturer le site ou service de sa victime, le rendant indisponible aux visites légitimes. Les effets sont souvent ponctuels, mais symboliques. Les « hacktivistes » utilisent régulièrement cette technique pour toucher l’opinion publique. Ce fut le cas en France le 27 mars 2023 à l’encontre du site internet de l’Assemblée nationale, rendu indisponible quelques heures.
L’intégrité et la confidentialité des données concourent à la bonne marche des élections. En 2016, lors de l’élection présidentielle aux USA, puis en 2017 lors de l’élection présidentielle en France, il a été constaté que des groupes d’attaquants ciblaient les réseaux et ressources informatiques des candidats et partis. L’objectif est de récolter puis de diffuser des informations sensibles pour déstabiliser le processus électoral. Les techniques employées sont courantes : l’hameçonnage ciblé ou l’exploitation de vulnérabilités. La pression qui s’exerce sur les équipes de campagne est telle que les règles de vigilance élémentaires peuvent être oubliées.
Ainsi, l’utilisation d’outils de protection fait sens pour tous les éléments qui composent le système d’information des partis. Mais il ne faut pas en oublier la surveillance humaine et automatisée. Car si les outils progressent et protègent contre les diverses menaces, il n’en reste pas moins essentiel de surveiller les activités des réseaux. C’est un atout pour déjouer les intrusions au plus tôt, et en limiter ainsi les chances de succès.
La diffusion de données internes peut être couplée ou non aux campagnes de désinformation visant un public indécis. Les réseaux sociaux sont de formidables caisses de résonnance. Le format propre aux contenus viraux, courts et répétitifs, participent à leur diffusion et n’invitent pas à la vérification des informations partagées.
Les risques liés à la cyber sécurité sont un nouveau défi pour les élections présidentielles. Il est essentiel que chacun prenne des mesures pour atténuer ces risques, notamment en renforçant la sécurité des systèmes d’information et en formant les parties prenantes aux bonnes pratiques en termes de cyber sécurité.
Par Benoît Grunemwald, expert cyber sécurité chez ESET France et Afrique francophone.