Sous attaque: comment le piratage électoral menace les midterms

En mars, des responsables de 38 États américains se sont rassemblés dans une salle de conférence de Cambridge, dans le Massachusetts, pour participer à un exercice de simulation électorale de deux jours qui s'est déroulé comme un jeu de guerre.

Plus de 120 responsables des élections aux niveaux local et régional, directeurs des communications, responsables informatiques et secrétaires d'État ont procédé à des exercices simulant des catastrophes sécuritaires pouvant survenir le pire jour de l'élection imaginable.

L'exercice sur table a commencé chaque simulation, des mois avant les élections de mi-mandat du 6 novembre, ce qui a accéléré la chronologie jusqu'à ce que les États contrent les attaques en temps réel, les électeurs se rendant aux urnes. Organisé par le projet D3P (Defending Digital Democracy) à Harvard, un effort bipartite visant à protéger les processus démocratiques des attaques informatiques et informatiques, les exercices ont forcé les participants à réagir à un scénario cauchemardesque après l'autre: piratage de la machine à voter et de la base de données des électeurs, déni de service distribué (DDoS), des attaques visant à détruire des sites Web, des informations erronées sur les candidats, de fausses informations de sondage diffusées pour supprimer les votes et des campagnes sur les réseaux sociaux coordonnées par des attaquants d’États-nations pour semer la méfiance.

Comme nous l'avons vu lors des dernières élections dans le monde, plusieurs attaques se produisent simultanément.

"Pensez à une attaque par déni de service et aux tactiques habituelles de phishing et de logiciels malveillants lors d'une élection", a déclaré Eric Rosenbach, directeur du D3P et chef de cabinet du secrétaire américain à la Défense, Ashton Carter, de 2015 à 2017.

"La partie qui m'inquiète le plus avec un DDoS est une attaque contre une page Web annonçant des résultats combinés avec un haut de gamme. Regardez ce qui s'est passé en Ukraine en 2014. Les Russes ont utilisé la page Web utilisée par l'Ukraine pour annoncer les résultats des élections, a ensuite ramené tout le monde en Russie aujourd'hui et affiché des résultats factices. Les Ukrainiens étaient confus quant à savoir qui avait été élu président."

Pour comprendre la sécurité électorale moderne, il faut faire face à une réalité décourageante: aux États-Unis en particulier, l'infrastructure est trop fragmentée, dépassée et vulnérable pour être complètement sécurisée. Il existe également beaucoup trop de types d'attaques différents dans le paysage des menaces pour pouvoir les arrêter tous.

PCMag s'est entretenu avec des représentants de l'État, des responsables politiques, des universitaires, des sociétés de technologie et des chercheurs en sécurité sur les dures réalités de la sécurité des élections en 2018. Des deux côtés du rayon politique, à tous les niveaux de gouvernement et aux quatre coins du secteur de la technologie, aux États-Unis est aux prises avec des menaces fondamentales de cybersécurité pour nos élections. Nous prévoyons également comment réagir en cas de problème, lors de cette élection cruciale à mi-parcours et lors de l'élection générale de 2020.

Protéger la 'surface d'attaque'

En cybersécurité, tous les systèmes et périphériques exposés pouvant être attaqués sont appelés "surface d'attaque". La surface d’attaque d’une élection américaine est énorme et peut être divisée en trois niveaux principaux.

Le premier est l'infrastructure de vote; pensez aux machines à voter, aux bases de données d'inscription des électeurs et à tous les sites Web des gouvernements des États et des administrations locales qui indiquent aux gens où et comment voter.

Ensuite, il y a le niveau de sécurité de la campagne. Comme l'a montré 2016, les campagnes sont des cibles faciles pour les pirates. Les données de campagne volées peuvent ensuite être utilisées comme une arme puissante pour le troisième niveau d'attaque, plus nébuleux: le monde néfaste des campagnes de désinformation par arme et d'influence sociale. Sur ce front, les armées de trolls d’acteurs d’États-nations continuent d’opérer sur le Web et d’envahir les plateformes de médias sociaux, qui sont devenues des champs de bataille polarisants de la perception des électeurs.

Essayer de résoudre la myriade de problèmes systémiques qui affligent chacun de ces niveaux conduit souvent à plus de questions que de réponses. Au lieu de cela, bon nombre des stratégies visant à atténuer les risques pour la sécurité des élections relèvent du bon sens: vote sur papier et vérification des votes; donner plus de ressources aux gouvernements des états et locaux; et en fournissant des outils et une formation en matière de sécurité pour les campagnes et les responsables des élections.

Quelques questions plus compliquées et sources de discorde, pour les administrateurs d’élection, les agents de campagne et les électeurs: comment abordez-vous le processus électoral à l’ère des médias sociaux, rempli de désinformation en ligne? Et quand vous avez des doutes sur toutes les informations numériques qui arrivent sur votre écran, que devriez-vous croire?

Ce que nous avons appris de 2016

Toute conversation sur la sécurité des élections américaines à mi-parcours en 2018 et au-delà finit par revenir à l'élection présidentielle de 2016. Avant cette course, nous avions assisté à des cyberattaques dirigées contre des campagnes et des élections depuis le milieu des années 2000, mais jamais à cette échelle.

"A l'époque, personne n'avait jamais rien vu de tel auparavant. Il était choquant de penser que la Russie serait assez téméraire pour s'immiscer dans notre démocratie et l'influencer en faveur d'un certain candidat", a déclaré Rosenbach, qui a témoigné devant le Congrès. en mars sur l'ingérence de la Russie dans l'élection de 2016. «Je travaille dans la sécurité nationale depuis 20 ans maintenant et c’était le problème le plus compliqué et le plus difficile que je connaisse.»

À ce stade, les faits sont assez clairs. Une douzaine de Russes qui travaillaient pour le GRU, le service de renseignement militaire russe, ont été inculpés pour avoir piraté le Comité national démocrate (DNC) et avoir divulgué des documents à des organisations, dont WikiLeaks, qui a envoyé plus de 20 000 courriels.

Opérant sous des personnalités en ligne, notamment Guccifer 2.0, Fancy Bear et DCLeaks, les pirates informatiques mis en accusation ont également violé les bases de données d'enregistrement des électeurs de l'Illinois et de l'Arizona en août 2016 et volé des informations sur plus de 500 000 électeurs. Des rapports ultérieurs du FBI et de la NSA ont révélé que des pirates informatiques avaient compromis le logiciel de vote dans 39 États au cours de l'élection présidentielle de 2016. Le sous-procureur général des États-Unis, Rod Rosenstein, a déclaré dans l'acte d'accusation de pirates informatiques russes que "l'objectif du complot était d'avoir un impact sur les élections".

Celles-ci n'étaient que les attaques visant les deux premiers niveaux de l'infrastructure électorale. Sur les médias sociaux, la Russie, l’Iran et d’autres ont lancé des bots et des usines à troll, y compris l’Internet Research Agency (IRA) soutenue par la Russie, qui ont diffusé de fausses informations et acheté des milliers d’annonces politiques sur Facebook et Twitter pour influencer les opinions des électeurs. Bien qu’il soit lié à des partis politiques plutôt qu’à des pirates informatiques, le scandale Cambridge Analytica de Facebook a également joué un rôle dans la manière dont les plates-formes de médias sociaux ont affecté l’élection de 2016.

"Nous n'avons pas réagi rapidement ni assez fort", a déclaré Rosenbach. Pendant qu'il travaillait au Pentagone, Rosenbach a également été sous-secrétaire adjoint à la Défense pour Cyber ​​de 2011 à 2014 et sous-secrétaire à la Défense pour la sécurité mondiale, chargé de la supervision de la cybersécurité.

Il est actuellement codirecteur du Belfer Center de la Kennedy School à Harvard et directeur du D3P. Il l'a fondé l'année dernière aux côtés de Matt Rhoades, responsable de campagne de Mitt Romney lors des élections de 2012, et de Robby Mook, responsable de campagne d'Hillary Clinton en 2016.

"Une chose importante à comprendre du point de vue de la sécurité est que la campagne elle-même n'a jamais été piratée", a déclaré Mook à PCMag. "Les comptes de messagerie personnels ont été piratés, et la DNC l'a été, mais je pense que c'est un avertissement important pour tous que nous devons réellement sécuriser tout l'écosystème. Les adversaires vont aller partout où ils peuvent pour falsifier des informations contre différents candidats."

L'attaque de phishing qui a réussi à pirater le compte personnel Gmail du président de DNC, John Podesta, en 2016, a laissé à Mook le sentiment qu'il n'y avait aucun mécanisme en place pour réagir à une attaque de cette ampleur. En 2017, il est entré en contact avec Rhoades, qui avait dû faire face à de nombreuses tentatives de piratage informatique par les cyber-forces chinoises pendant la course à la présidence de Romney. L'idée de base était de créer une liste de contrôle de choses à faire pour empêcher de tels exploits lors de futures campagnes et de fournir un endroit où les campagnes peuvent se dérouler lorsqu'elles ont été piratées.

Les deux hommes se sont associés à Rosenbach et ont travaillé à la publication du livre de campagne de la campagne de cybersécurité D3P. Depuis, ils ont collaboré à deux autres cahiers: un pour les administrateurs d'élections locaux et des administrateurs d'élections, et un autre destiné à sensibiliser les responsables des communications à la lutte contre la désinformation en ligne. Ils ont également aidé à organiser et à exécuter les simulations inter-États sur table.

Mook ne voulait pas passer trop de temps à parler de 2016; il est important de ne pas continuer à revivre la dernière bataille lorsque vous pourrez vous préparer pour la suivante, a-t-il déclaré.

"Le fait est que vous ne savez tout simplement pas pourquoi ni comment quelqu'un essaie d'entrer. Vous savez simplement que quelqu'un le fera", a déclaré Mook. "La chose la plus importante est de réfléchir à ce qui pourrait être la prochaine étape. Quelles sont les menaces que nous n'avons pas encore envisagées ou envisagées? Je pense que le moyen terme va potentiellement révéler de nouvelles vulnérabilités, mais je pense qu'il s'agit davantage de considérer le système ensemble et de déterminer tous les moyens possibles que quelqu'un pourrait entrer."



Le paysage changeant des menaces

Alors que nous approchons de la mi-parcours de 2018 et que nous faisons face à la longue période de retard pour l'élection présidentielle américaine de 2020, le paysage de la menace commence à se focaliser.

Bien que le président Trump ait minimisé l'ampleur de l'ingérence russe, les États-Unis ont frappé la Russie de nouvelles sanctions en mars. "Nous continuons à assister à une campagne de messagerie omniprésente de la Russie visant à affaiblir et diviser les Etats-Unis", a déclaré le directeur du renseignement américain, Dan Coats, lors d'un point de presse en août.

Cela est survenu après que Microsoft eut bloqué, en juillet, une tentative de piratage impliquant de faux domaines ciblant trois candidats candidats à la réélection. Quelques semaines à peine avant la parution de cette histoire, un ressortissant russe a été chargé de superviser une tentative de manipulation des électeurs via Facebook et Twitter pour interférer avec les objectifs intermédiaires. Elena Khusyaynova, une citoyenne russe citée dans l'acte d'accusation, aurait dirigé les opérations financières et sociales affiliées à l'IRA, disposant d'un budget de plus de 35 millions de dollars financé par l'oligarque russe et l'allié de Poutine, Yevgeny Prigozhin.

Les directeurs du renseignement national, du département de la Sécurité intérieure et du FBI ont publié une déclaration conjointe datant de l'acte d'accusation. Selon le rapport, bien qu’il n’existe actuellement aucune preuve d’infrastructure de vote compromise à mi-parcours, "certains gouvernements d’États et certaines collectivités locales ont signalé des tentatives mitigées d’accès à leurs réseaux", y compris des bases de données d’enregistrement des électeurs.

Au cours des dernières semaines précédant les élections de mi-mandat, le Cyber ​​Command américain aurait même identifié des agents russes contrôlant des comptes troll et les avait informés que les États-Unis étaient au courant de leurs activités pour décourager l'ingérence électorale.

"Nous sommes préoccupés par les campagnes en cours de la Russie, de la Chine et d'autres acteurs étrangers, dont l'Iran, visant à saper la confiance dans les institutions démocratiques et à influencer l'opinion publique et les politiques gouvernementales", indique le communiqué. "Ces activités pourraient également chercher à influencer la perception des électeurs et la prise de décision lors des élections américaines de 2018 et 2020".

À la recherche de motifs

Lors de la surveillance de l'activité d'adversaires étrangers et d'autres cyber-ennemis potentiels, les experts recherchent des tendances. Toni Gidwani a dit que c'était comme étudier un réseau radar de toutes les différentes entités malveillantes existantes; vous recherchez des indicateurs d'alerte précoce pour atténuer les risques et sécuriser les maillons les plus faibles de vos défenses.

Gidwani est le directeur des opérations de recherche de la société de cybersécurité ThreatConnect. Au cours des trois dernières années, elle a dirigé les recherches de ThreatConnect sur les opérations de piratage de la DNC et d'influence russe sur l'élection présidentielle américaine de 2016; son équipe a associé Guccifer 2.0 à Fancy Bear. Gidwani a passé les dix premières années de sa carrière au DoD, où elle a constitué et dirigé des équipes d'analyse à la Defense Intelligence Agency.

"Vous devez tirer les ficelles sur beaucoup de fronts différents", a déclaré Gidwani. "Fancy Bear utilisait de nombreux canaux différents pour essayer de transférer les données de la DNC dans le domaine public. Guccifer était l'un de ces fronts, DCLeaks en était un, et WikiLeaks était le front ayant le plus fort impact."

Gidwani a mis en échec les exploits d’États-nations que nous avons vus dans quelques activités distinctes qui forment ensemble une campagne d’interférence à plusieurs niveaux. Les violations de données centrées sur la campagne ont entraîné des fuites de données stratégiques à des moments critiques du cycle électoral.

"Nous sommes assurément préoccupés par le phishing sur harponnage et les attaques de type homme au milieu. Ces informations sont si puissantes lorsqu'elles tombent dans le domaine public que vous n'avez peut-être pas besoin de programmes malveillants sophistiqués, car les campagnes sont de telles opérations de collecte, avec un afflux de volontaires comme cibles ", at-elle expliqué. "Vous n'avez pas besoin de vulnérabilités du jour zéro si votre stratégie de spear-phishing fonctionne."

Les attaques de pénétration perpétrées contre les conseils d’administration des États constituent un autre volet destiné à perturber la chaîne logistique des machines à voter et à miner la confiance en la validité des résultats des élections. M. Gidwani a déclaré que la nature obsolète et fragmentée de l'infrastructure de vote d'un État à l'autre offrait des attaques telles que des injections de code SQL, qui "nous l'espérons, ne feraient même plus partie du livre des attaques", non seulement possibles, mais également efficaces.

Ces opérations sont en grande partie distinctes des groupes Facebook et des comptes Twitter Twitter créés par l'IRA et d'autres acteurs des États-nations, notamment la Chine, l'Iran et la Corée du Nord. En fin de compte, ces campagnes ont davantage pour but de susciter le sentiment et de persuader les électeurs de tout l’éventail politique, d’amplifier les fuites de données coordonnées avec une inclinaison politique. En matière de désinformation, nous n’avons découvert que la pointe de l’iceberg.

"L'une des choses qui rendent les élections si difficiles, c'est qu'elles sont composées de nombreuses pièces différentes sans aucune partie prenante", a déclaré Gidwani. "Le grand défi auquel nous sommes confrontés est fondamentalement une question politique et non technique. Les plates-formes s'efforcent de rendre le contenu légitime plus facilement identifiable en vérifiant les candidats. Mais avec la portée virale de ce type de contenu, il faut nous en dehors du monde de la sécurité de l'information ".



Bouchon de nouveaux trous dans la vieille machine

À son niveau le plus fondamental, l'infrastructure électorale américaine est un patchwork: un amas de machines à voter obsolètes et peu sûres, de bases de données d'électeurs vulnérables et de sites Web locaux et d'État ne disposant parfois même pas du cryptage et de la sécurité les plus élémentaires.

De manière rétrograde, la nature fragmentée de l’infrastructure nationale de vote peut en faire une cible moins attrayante qu’un exploit qui a un impact plus étendu. En raison de la technologie obsolète et parfois analogique des machines à voter et de la grande différence entre chaque État, les pirates informatiques devraient déployer des efforts considérables dans chaque cas pour compromettre chaque système localisé individuel. C'est une idée fausse dans une certaine mesure, car le piratage de l'état ou des infrastructures de vote locales dans un district clé peut absolument avoir un impact sur le résultat des élections.

Il y a deux cycles électoraux, Jeff Williams a consulté un important fournisseur américain de machines à voter, qu'il n'a pas voulu identifier. Sa société a procédé à une révision manuelle du code et à des tests de sécurité des machines à voter, de la technologie de gestion des élections et des systèmes de décompte des voix, et a mis à jour de nombreuses vulnérabilités.

Williams est CTO et co-fondateur de Contrast Security et l’un des fondateurs du projet de sécurité des applications Web ouvertes (OWASP). Il a expliqué qu'en raison de la nature archaïque des logiciels électoraux, qui sont souvent gérés par des circonscriptions locales qui font souvent que les décisions d'achat reposent davantage sur le budget que sur la sécurité, la technologie n'a pas beaucoup changé.

"Il ne s'agit pas uniquement des machines à voter. Ce sont tous les logiciels que vous utilisez pour organiser une élection, la gérer et collecter les résultats", a déclaré Williams. "Les machines ont une durée de vie assez longue car elles sont chères. Nous parlons de millions de lignes de code et de nombreuses années de travail pour essayer de le réviser, avec une sécurité complexe à implémenter et mal documentée. C'est un symptôme d'un problème beaucoup plus vaste, personne n'a la moindre idée de ce qui se passe dans les logiciels qu'ils utilisent."

Williams a déclaré qu'il n'avait pas beaucoup confiance dans les processus de test et de certification. La plupart des gouvernements des États et des collectivités locales regroupent de petites équipes qui effectuent des tests d'intrusion, le même type de tests qui ont fait les gros titres de Black Hat. Williams estime que ce n'est pas la bonne approche, comparé aux tests exhaustifs d'assurance de la qualité logicielle. Les concours de piratage comme ceux de Voting Village chez DefCon trouvent des vulnérabilités, mais ils ne vous disent pas tout des exploits potentiels que vous n'avez pas trouvés.

Le problème le plus systémique à l'échelle nationale est que les machines à voter et les logiciels de gestion des élections diffèrent considérablement d'un État à l'autre. Il n’existe que très peu de grands fournisseurs inscrits pour fournir des machines à voter et des systèmes de vote certifiés, qui peuvent être des systèmes de vote papier, des systèmes de vote électronique ou une combinaison des deux.

Selon l'organisation à but non lucratif Verified Voting, 99% des votes des États-Unis sont comptés sous une forme quelconque, soit en numérisant divers types de bulletins de vote en papier, soit par saisie électronique directe. Le rapport 2018 de Verified Voting a révélé que 36 États utilisent encore des équipements de vote qui se sont révélés peu sûrs et 31 États utiliseront des machines à voter à enregistrement direct pour au moins une partie des électeurs.

Le plus alarmant est que cinq États - le Delaware, la Géorgie, la Louisiane, le New Jersey et la Caroline du Sud - utilisent actuellement des machines à voter à enregistrement direct sans piste de vérification papier vérifiée par l'électeur. Ainsi, si le nombre de votes est modifié dans le système électronique, via un piratage physique ou distant, les États risquent de ne pas avoir la possibilité de vérifier les résultats valables dans le cadre d’un processus d’audit qui nécessite souvent uniquement un échantillonnage statistique des votes, plutôt qu’un recomptage complet..

"Nous ne comptons pas une boîte de lettres de suspension", a déclaré Joel Wallenstrom, PDG de l'application de messagerie cryptée Wickr. "S'il y a des affirmations à mi-parcours selon lesquelles les résultats ne sont pas réels parce que les Russes ont fait quelque chose, comment traitons-nous ce problème de désinformation? Les gens lisent des gros titres, et leur confiance dans le système est encore érodée."

La mise à niveau de l'infrastructure de vote entre États avec la technologie et la sécurité modernes ne se produit pas à moyen terme et probablement pas avant 2020. Tandis que des États, dont la Virginie de l'Ouest, testent des technologies émergentes telles que la blockchain pour l'enregistrement et le contrôle de votes électroniques, la plupart des chercheurs et des experts en sécurité Dites qu’au lieu d’un meilleur système, la méthode la plus sûre de vérification des votes est une piste papier.

«Les pistes de vérification sur papier constituent depuis longtemps un cri de ralliement pour la communauté de la sécurité. À la mi-session et probablement à l’élection présidentielle, elles utiliseront une tonne de machines qui n’ont pas cette technologie», a déclaré Williams. "Ce n'est pas une hyperbole de dire que c'est une menace existentielle pour la démocratie."

New York est l’un des États dotés d’une piste de vérification sur papier. Deborah Snyder, responsable de la sécurité de l'information dans l'État, a déclaré à PCMag lors d'un sommet récent de la National Cyber ​​Security Alliance (NCSA) que New York ne faisait pas partie des 19 États dont les 35 millions d'électeurs enregistrés sont en vente sur le Web. Cependant, les archives des électeurs de l’État de New York, accessibles au public, seraient disponibles gratuitement sur un autre forum.

L'État procède à des évaluations régulières des risques de ses machines à voter et de ses infrastructures. New York a également investi depuis 2017 des millions de dollars dans la détection d'intrusion locale pour améliorer la surveillance et la réaction aux incidents, à la fois au sein de l'État et en coordination avec le Centre de partage et d'analyse de l'information (ISAC), partenaire des autres États et du secteur privé.

"Nous sommes de plus en plus sensibilisés avant et après les élections", a déclaré Snyder. "J'ai des équipes sur le pont de 6 heures la veille à minuit le jour des élections. Nous sommes tous sur le pont, du centre de renseignement de l'État de New York à l'ISAC en passant par le bureau des élections de la région et de l'État et mon bureau, ITS et la Division de la sécurité intérieure et des services d'urgence."



Les sites Web locaux d'élection sont des canards assis

Le dernier aspect et le plus souvent négligé de la sécurité des élections locales et des états est les sites Web du gouvernement indiquant aux citoyens où et comment voter. Dans certains États, il y a étonnamment peu de cohérence entre les sites officiels, dont beaucoup ne possèdent même pas les certificats de sécurité HTTPS les plus élémentaires, ce qui permet de vérifier que les pages Web sont protégées avec un cryptage SSL.

La société de cybersécurité McAfee a récemment examiné la sécurité des sites Web des conseils électoraux de comté dans 20 États et a constaté que seuls 30, 7% des sites utilisaient le protocole SSL pour chiffrer les informations qu'un électeur partageait avec le site Web par défaut. Dans des États comme le Montana, le Texas et la Virginie-Occidentale, 10% ou moins des sites sont cryptés avec SSL. Les recherches de McAfee ont révélé qu'au Texas seulement, 217 des sites Web électoraux de comté n'utilisent pas le protocole SSL.

Vous pouvez identifier un site chiffré avec SSL en recherchant HTTPS dans l'URL du site. Vous pouvez également voir un verrou ou une icône de clé dans votre navigateur, ce qui signifie que vous communiquez en toute sécurité avec un site qui correspond à ce qu’ils prétendent être. En juin, Google Chrome a commencé à marquer tous les sites HTTP non chiffrés comme "non sécurisés".

"Le fait de ne pas avoir SSL en 2018 en préparation pour les examens à mi-parcours signifie que les sites Web de ces comtés sont beaucoup plus vulnérables aux attaques de MiTM et à la falsification des données", a déclaré Steve Grobman, CTO de McAfee. "C’est souvent une ancienne variante HTTP non sécurisée qui ne vous redirige pas vers des sites sécurisés, et dans de nombreux cas, les sites partagent des certificats. La situation est meilleure au niveau de l’état, où seulement 11% environ des sites ne sont pas cryptés, mais les sites des comtés locaux sont complètement peu sûrs ".

Parmi les États inclus dans l'étude de McAfee, seul le Maine comptait plus de 50% des sites Web d'élection de comté dotés d'un cryptage de base. New York ne représentait que 26, 7%, contre 37% pour la Californie et la Floride. Mais le manque de sécurité de base n'est que la moitié de l'histoire. Les recherches de McAfee n'ont également révélé aucune cohérence dans les domaines des sites Web électoraux de comté.

Un pourcentage extrêmement faible de sites électoraux dans les États utilisent le domaine.gov vérifié par le gouvernement, optant plutôt pour des domaines de premier niveau communs tels que.com,.us,.org ou.net. Au Minnesota, 95, 4% des sites électoraux utilisent des domaines non gouvernementaux, suivis par le Texas (95%) et le Michigan (91, 2%). Cette incohérence rend presque impossible pour un électeur régulier de déterminer quels sites d'élections sont légitimes.

Au Texas, 74, 9% des sites Web locaux d’enregistrement des électeurs utilisent le domaine.us, 7, 7% en.com, 11, 1% en.org et 1, 7% en.net. Seulement 4, 7% des sites utilisent le domaine.gov. Dans le comté de Denton, au Texas, par exemple, le site Web des élections du comté est https://www.votedenton.com/, mais McAfee a constaté que des sites Web connexes, tels que www.vote-denton.com, sont disponibles à l'achat.

Dans de tels scénarios, les attaquants n'ont même pas besoin de pirater des sites Web locaux. Ils peuvent simplement acheter un domaine similaire et envoyer des courriels de phishing invitant les gens à s'inscrire pour voter via le site frauduleux. Ils peuvent même fournir de fausses informations de vote ou des emplacements de bureau de vote incorrects.

"Ce que nous voyons dans la cybersécurité en général, c'est que les attaquants utiliseront le mécanisme le plus simple et le plus efficace pour atteindre leurs objectifs", a déclaré Grobman. "Bien qu'il soit possible de pirater les machines à voter elles-mêmes, cela pose de nombreux problèmes pratiques. Il est beaucoup plus facile d'utiliser un système d'enregistrement des électeurs et des bases de données, ou simplement d'acheter un site Web. Dans certains cas, nous avons découvert qu'il existait des domaines similaires. achetés par d’autres parties. C’est aussi simple que de trouver une page GoDaddy à vendre."



Campagnes: pièces mobiles et cibles faciles

Les pirates informatiques doivent généralement déployer plus d'efforts pour s'infiltrer dans le système de chaque comté ou État que pour s'attaquer aux fruits les plus faciles, comme les campagnes, où des milliers d'employés temporaires procurent des marques attrayantes. Comme nous l'avons vu en 2016, l'impact des violations de données de campagne et des fuites d'informations peut être catastrophique.

Les attaquants peuvent pénétrer les campagnes de différentes manières, mais la défense la plus puissante consiste simplement à s'assurer que les bases sont bien verrouillées. Le livre de campagne sur la cybersécurité de la campagne de D3P ne révèle aucune tactique de sécurité révolutionnaire. C’est essentiellement une liste de contrôle qu’ils peuvent utiliser pour s’assurer que tous les employés et volontaires de la campagne sont contrôlés et que tous ceux qui travaillent avec les données de la campagne utilisent des mécanismes de protection tels que l’authentification à 2 facteurs (2FA) et des services de messagerie chiffrés tels que Signal ou Wickr. Ils doivent également être formés à l'hygiène de l'information de bon sens et à la connaissance des techniques de détection des tentatives de phishing.

Robby Mook a parlé d'habitudes simples: supprimez automatiquement les courriels dont vous savez que vous n'aurez plus besoin, car il y a toujours un risque de fuite de données si elle reste en place.

"La campagne est un exemple intéressant, car nous avions ce deuxième facteur dans nos comptes de campagne et nos règles commerciales concernant la conservation des données et des informations dans notre domaine", a expliqué Mook. "Nous avons appris rétrospectivement que les malfaiteurs ont obligé de nombreux employés à cliquer sur des liens de phishing, mais ces tentatives ont échoué, car nous avions mis en place des mécanismes de protection. Lorsqu'ils ne pouvaient pas entrer, ils se sont comptes personnels des gens."

La sécurité de la campagne est délicate: il existe des milliers de pièces mobiles et souvent, aucun budget ni aucune expertise ne sont nécessaires pour intégrer des protections de pointe en matière de sécurité des informations. L’industrie de la technologie s’est intensifiée sur ce front en fournissant collectivement un certain nombre d’outils gratuits pour les campagnes menant à la mi-parcours.

Alphabet's Jigsaw protège les campagnes contre les attaques DDoS par le biais de Project Shield et Google a étendu son programme avancé de sécurité des comptes afin de protéger les campagnes politiques. Microsoft offre gratuitement aux partis politiques la détection des menaces AccountGuard dans Office 365 et, cet été, la société a organisé des ateliers sur la cybersécurité avec DNC et RNC. McAfee offre gratuitement pendant un an McAfee Cloud for Secured Elections aux bureaux électoraux des 50 États.

D'autres entreprises de sécurité et de technologie en nuage, telles que Symantec, Cloudflare, Centrify et Akamai, fournissent des outils similaires gratuits ou à prix réduit. Tout cela fait partie de la campagne de relations publiques collective du secteur de la technologie, en faisant un effort plus concerté pour améliorer la sécurité électorale que ne l'a fait la Silicon Valley par le passé.

Obtenir des campagnes sur les applications cryptées

Wickr, par exemple, donne (plus ou moins) l'accès gratuit des campagnes à son service et collabore directement avec les campagnes et la DNC pour former les agents de campagne et créer des réseaux de communication sécurisés.

Le nombre de campagnes utilisant Wickr a triplé depuis avril et plus de la moitié des campagnes du Sénat et plus de 70 équipes de consultants politiques utilisaient la plate-forme depuis cet été, selon la société. Audra Grassia, responsable politique et gouvernementale de Wickr, a dirigé ses efforts auprès des comités et des campagnes politiques à Washington, DC au cours de la dernière année.

"Je pense que les personnes extérieures à la politique ont du mal à comprendre à quel point il est difficile de déployer des solutions sur plusieurs campagnes, à tous les niveaux", a déclaré Grassia. "Chaque campagne est une petite entreprise distincte dont le personnel change tous les deux ans."

Les campagnes individuelles ne disposent souvent pas des fonds nécessaires pour la cybersécurité, contrairement aux grands comités politiques. À la suite de 2016, la DNC en particulier a fortement investi dans la cybersécurité et dans ce type de relations avec la Silicon Valley. Le comité a maintenant une équipe technique de 35 personnes dirigée par le nouveau directeur technique Raffi Krikorian, anciennement de Twitter et Uber. Le nouveau responsable de la sécurité de la DNC, Bob Lord, était auparavant responsable de la sécurité chez Yahoo et connaissait parfaitement le traitement de piratages catastrophiques.

L’équipe de Grassia a travaillé directement avec la DNC, aidant ainsi à déployer la technologie de Wickr et offrant aux campagnes divers niveaux de formation. Wickr est l'un des fournisseurs de technologies figurant sur le marché des technologies de la DNC destiné aux candidats. "Les éléments en mouvement d'une campagne sont vraiment renversants", a déclaré Joel Wallenstrom, PDG de Wickr.

Il a expliqué que les campagnes n'avaient ni les connaissances techniques ni les ressources nécessaires pour investir dans la sécurité des informations d'entreprise ou pour payer les talents de la Silicon Valley. Les applications cryptées offrent essentiellement une infrastructure intégrée permettant de transférer toutes les données et les communications internes d'une campagne dans des environnements sécurisés sans faire appel à une équipe de consultants coûteuse pour tout configurer. Ce n'est pas une solution complète, mais au minimum, les applications cryptées peuvent permettre de sécuriser les éléments essentiels d'une campagne assez rapidement.

Robby Mook a déclaré qu'il y avait quelques vecteurs d'attaque de campagne qui le préoccupaient le plus à la mi-session et aux prochaines élections. L'une d'elles est les attaques DDoS sur les sites Web de la campagne dans les moments critiques, comme lors d'un discours de convention ou d'un concours principal, lorsque les candidats misent sur des dons en ligne. Il s'inquiète également de la présence de sites contrefaits comme moyen de voler de l'argent.

"Nous en avons vu un peu, mais je pense qu'une chose à surveiller est les faux sites de collecte de fonds qui peuvent créer de la confusion et des doutes dans le processus de don", a déclaré Mook. "Je pense que cela pourrait devenir bien pire avec l'ingénierie sociale qui tenterait de tromper le personnel de la campagne pour qu'il verse de l'argent ou redistribue des dons aux voleurs. Le danger est d'autant plus grand que pour un adversaire, c'est non seulement une activité lucrative, mais également une distorsion des campagnes. questions et les garde concentrés sur l'intrigue ".



La guerre de l'information pour l'esprit des électeurs

Les aspects les plus difficiles à comprendre, et encore moins à protéger, de la sécurité électorale moderne sont la désinformation et les campagnes d'influence sociale. C'est la question qui a le plus joué publiquement en ligne, au Congrès et sur les plateformes sociales au cœur de l'énigme qui menace la démocratie.

Les fausses nouvelles et les fausses informations diffusées pour influencer les électeurs peuvent prendre différentes formes. En 2016, il provenait d'annonces politiques micro-ciblées sur les médias sociaux, de groupes et de faux comptes faisant circuler de fausses informations sur des candidats, ainsi que de données de campagne divulguées diffusées de manière stratégique pour la guerre de l'information.

Mark Zuckerberg a déclaré, jour après jour, que de fausses informations sur Facebook influençant l'élection étaient une "idée assez folle". Il a fallu une année désastreuse de scandales de données et de recettes pour Facebook pour en arriver là: purges en masse de comptes de spam politiques, vérification d'annonces politiques et mise en place d'une "salle électorale" pour les élections à mi-parcours dans le cadre d'une stratégie globale de lutte contre les élections ingérence.

Twitter a pris des mesures similaires, vérifiant les candidats politiques et réprimant les bots et les trolls, mais la désinformation persiste. Les entreprises ont été honnêtes sur le fait qu’elles mènent une course aux armements avec leurs cyber-ennemis pour trouver et supprimer des faux comptes et pour endiguer les fausses informations. La semaine dernière, Facebook a mis fin à une campagne de propagande liée à l'Iran comprenant 82 pages, groupes et comptes.

Mais les algorithmes d’apprentissage automatique et les modérateurs humains ne peuvent aller aussi loin. La propagation de la désinformation via WhatsApp lors de l'élection présidentielle au Brésil n'est qu'un exemple du travail supplémentaire que doivent encore accomplir les entreprises de médias sociaux.

Facebook, Twitter et les géants de la technologie tels qu'Apple sont passés de la reconnaissance tacite du rôle joué par leurs plateformes aux élections à la prise de responsabilité et à la résolution des problèmes très complexes qu’ils ont contribué à créer. Mais est-ce suffisant?

"L'influence dans les élections a toujours été présente, mais nous constatons un nouveau niveau de sophistication", a déclaré Travis Breaux, professeur agrégé d'informatique à Carnegie Mellon, dont les recherches portent sur la confidentialité et la sécurité.

Breaux a déclaré que les types de campagnes de désinformation que nous observons de la Russie, de l'Iran et d'autres acteurs des États-nations ne sont pas si différents de ceux que les agents d'espionnage utilisent depuis des décennies. Il a évoqué un livre de 1983 intitulé The KGB and Soviet Disinformation , écrit par un ancien officier des services de renseignement, qui parlait de campagnes d'information sur la guerre froide parrainées par l'État et conçues pour tromper, confondre ou enflammer l'opinion étrangère. Les pirates russes et les fermes de trolls russes font la même chose aujourd'hui, mais leurs efforts sont amplifiés de façon exponentielle par la puissance des outils numériques et la portée qu'ils offrent. Twitter peut envoyer un message au monde entier en un instant.

"Il existe une combinaison de techniques existantes, telles que les faux comptes, que nous voyons maintenant devenir opérationnelles", a déclaré Breaux. "Nous devons nous tenir au courant et comprendre à quoi ressemble une information authentique et fiable."

Steve Grobman, CTO de McAfee, pense que le gouvernement devrait organiser des campagnes de service public pour sensibiliser le public aux informations fausses ou manipulées. Il a déclaré que l'un des plus gros problèmes en 2016 était l'hypothèse flagrante selon laquelle l'intégrité des données violées était intègre.

Aux dernières étapes d'un cycle électoral, lorsqu'il n'est pas temps de vérifier de manière indépendante la validité de l'information, la guerre de l'information peut être particulièrement puissante.

"Lorsque les courriels de John Podesta ont été publiés sur WikiLeaks, la presse supposait qu'ils étaient tous vraiment des courriels de Podesta", a déclaré Grobman. PCMag n’a pas mené d’enquête directe sur l’authenticité des courriels divulgués, mais certains courriels de Podesta dont la vérification est fausse circulaient encore cet automne, selon FactCheck.org, un projet exécuté par le Annenberg Public Policy Center de l’Université. de Pennsylvanie.

"Une des choses sur lesquelles nous devons informer le public est que toute information issue d'une violation peut contenir des données fabriquées entrelacées avec des données légitimes pour nourrir les adversaires narratifs qui vous mènent. Les gens peuvent croire que quelque chose fabriqué influence leur vote."

Cela peut s’étendre non seulement à ce que vous voyez en ligne et sur les médias sociaux, mais également aux détails logistiques concernant le vote dans votre région. Étant donné l’incohérence dans un domaine aussi fondamental que les domaines de sites Web d’une municipalité à l’autre, les électeurs ont besoin d’un moyen officiel de discerner la réalité.

"Imaginez des hackers qui tentent de faire avancer une élection vers un candidat dans une zone rurale ou urbaine donnée", a déclaré Grobman. "Vous envoyez un e-mail de phishing à tous les électeurs, leur disant que, en raison des conditions météorologiques, l'élection a été reportée de 24 heures, ou leur donnez un faux lieu de vote mis à jour."

En fin de compte, il appartient aux électeurs de filtrer la désinformation. Deborah Snyder, responsable de la sécurité des informations de l'État de New York, a déclaré: "Ne vous fiez pas à Facebook, votez pour votre état d'esprit", et assurez-vous que vos faits proviennent de sources vérifiées. Joel Wallenstrom, membre de Wickr, estime que les électeurs doivent se convaincre qu'il y aura énormément de FUD (peur, incertitude et doute). Il pense également que vous devriez simplement désactiver Twitter.

Robby Mook a déclaré que, qu'il s'agisse d'opérations de cybercriminalité ou de guerre de données, il est important de se rappeler que les informations que vous voyez sont conçues pour vous faire penser et agir d'une certaine manière. Ne pas

"Les électeurs doivent prendre du recul et se demander ce qui compte pour eux, pas ce qu'on leur dit", a déclaré Mook. "Concentrez-vous sur le contenu des candidats, sur les décisions que ces fonctionnaires vont prendre et sur l'impact de ces décisions sur leur vie."



Jetez tout ce que nous avons à eux. Run It Again

L’exercice de simulation de sécurité électorale du projet Defending Digital Democracy a commencé à 8 heures du matin à Cambridge, dans le Massachusetts. À l’origine, les participants travaillant dans des États fictifs six ou huit mois avant le jour du scrutin, 10 minutes de cet exercice représentaient 20 jours. À la fin, chaque minute se passait en temps réel, tout le monde étant compté jusqu'à l'heure du scrutin.

Rosenbach a déclaré que lui, Mook et Rhoades avaient présenté 70 scénarios de scénarios décrivant la manière dont les catastrophes en matière de sécurité électorale se dérouleraient, et qu'ils jetteraient les uns après les autres les responsables de l'État pour voir comment ils réagiraient.

"Nous dirions que voici la situation. Nous venons de recevoir un reportage sur une opération d'information réalisée en Russie via des robots sur Twitter", a déclaré Rosenbach. "De plus, les résultats de ce bureau de vote indiquent qu'il est fermé, mais uniquement pour les électeurs afro-américains. Ensuite, ils devront réagir, alors que 10 autres éléments sont en baisse - les données d'enregistrement ont été piratées., l'infrastructure de vote est compromise, quelque chose a fui et ainsi de suite."

Le projet Defending Digital Democracy a mené des recherches dans 28 États sur la démographie et différents types d’équipements de vote afin d’intégrer les simulations à un rôle. Les administrateurs électoraux de bas niveau ont pu affronter les plus hauts responsables d'un État fictif, et inversement. Rosenbach a déclaré que le secrétaire d'État de Virginie-Occidentale, Mac Warner, voulait jouer le rôle d'un préposé au scrutin.

L'objectif était que les responsables des 38 États américains quittent la simulation avec un plan d'intervention en tête et posent les bonnes questions lorsque cela compte vraiment. Avons-nous crypté ce lien? La base de données des électeurs est-elle sécurisée? Avons-nous verrouillé qui a un accès physique aux machines de vote avant le jour du scrutin?

Un des sous-produits sans doute le plus important de l'exercice sur table a été la création d'un réseau d'agents électoraux à travers le pays pour partager des informations et échanger les meilleures pratiques. Rosenbach a appelé cela une sorte d '"ISAC informelle" qui est restée très active jusqu'à ce que les États partagent les types d'attaques et de vulnérabilités qu'ils rencontrent.

Les États suivent eux aussi ce type de formation. New York a lancé une série d'exercices régionaux sur table en mai, en partenariat avec le Department of Homeland Security, axés sur la préparation à la cybersécurité et la réaction aux menaces.

Le NYS CISO Snyder a déclaré que le Conseil des élections de l’État fournissait une formation spécifique aux élections aux conseils d’élection des comtés. En outre, la formation gratuite sur la cyber-sensibilisation dispensée à l'ensemble des 140 000 agents de l'État a également été mise à la disposition des municipalités locales, leur offrant à la fois une formation spécifique aux élections et une formation générale de sensibilisation à la cybersécurité. Snyder a également déclaré qu'elle avait contacté d'autres États qui avaient subi des violations de données d'électeur pour découvrir ce qui s'était passé et pourquoi.

"Ce sont les partenariats qui font la cybersécurité. Le manque de partage de renseignements explique son échec", a déclaré M. Snyder. "Les États se rendent compte que la cybercriminalité ne peut se faire en vase clos, et l'avantage de cette connaissance de la situation partagée l'emporte de loin sur la gêne de raconter comment vous avez été piraté."

Le D3P envoie des équipes à travers le pays à mi-parcours pour observer les élections dans des dizaines d'États et faire un rapport pour améliorer les cahiers des charges et les formations du projet avant 2020. Un sentiment partagé par de nombreuses sources est que les cyber-adversaires ne risquent pas de frapper les États-Unis aussi durement. à mi-parcours. Les États-Unis ont été complètement pris au dépourvu lors des élections de 2016 et 2018 montrera aux pirates de l'État-nation ce que nous avons appris et ce que nous n'avons pas appris depuis.

La guerre cybernétique ne concerne pas uniquement les assauts frontaux. Les campagnes de piratage et de désinformation sont plus secrètes et reposent sur le fait de vous frapper avec exactement ce à quoi vous ne vous attendez pas. En ce qui concerne la Russie, l’Iran, la Chine, la Corée du Nord et d’autres, de nombreux spécialistes de la sécurité et de la politique étrangère craignent que des attaques beaucoup plus dévastatrices sur les élections américaines ne surviennent lors du cycle de la campagne présidentielle de 2020.

"Les Russes sont toujours actifs, mais je serais surpris que les Nord-Coréens, les Chinois et les Iraniens ne regardent pas très attentivement ce que nous faisons à mi-parcours et que nous préparons des bases clandestines, comme toute opération informatique en ligne", a déclaré Rosenbach.

Les cyberattaques que nous observons à mi-parcours et en 2020 pourraient bien provenir de vecteurs entièrement nouveaux qui ne figuraient dans aucune des simulations; une nouvelle génération d'exploits et de techniques auxquels personne ne s'attendait ni n'était prêt à faire face. Mais au moins, nous saurons qu'ils arrivent.