Ce rapport top secret de la NSA sur les pirates informatiques russes qui s’attaquent à la fiabilité des élections occidentales

Atlantico : Un rapport de la NSA révélé par le site the intercept dévoile le détail de l'attaque informatique qui a ciblé la campagne américaine quelques jours avant le premier tour par le renseignement militaire russe. Il s'agirait de deux vagues de phishing successive, la première touchant les producteurs des logiciels utilisés pour le vote électronique et la deuxième grace aux renseignements collectés, touchait des fonctionnaires électoraux locaux. Cette attaque progressive, même si elle n'a visiblement pas abouti au vu des investigations de la NSA est-elle de nature à remettre en cause la sûreté du vote électronique ?

Franck Puget : Globalement oui, cela va forcément entacher la légitimité de ce système de vote. S'il est avéré que ce sont les Russes qui l'ont lancé, je pense que le but de l'affaire était d'entacher la légitimité de l'élection. Il n'y a que dans ce domaine-là, étant donnée la proximité supposée entre M. Trump et M. Poutine que cela peut s'expliquer. Il s'agissait certainement aussi de délivrer un message. Mais dans l'absolu, à partir du moment où un système est pénétrable, on ne peut que soupçonner des fraudes. Il faut éviter ce qu'on voit dans certains pays africains où le perdant refuse d'accepter sa défaite, et englue son pays dans une crise plus ou moins longue.

Très franchement, ce système est symbolique. Pour perturber les Etats-Unis, il aurait été plus judicieux de pénétrer un système comme celui du contrôle aérien, des trains ou des centrales électriques. C'est difficile, certes, mais l'attaque telle qu'elle est décrite est extrêmement simple.

Ces  méthodes de phishing ne menacent pas exclusivement les systèmes électoraux. Ells menacent tous les acteurs de la société et l'ANSSI récemment a prévenu les candidats aux législatives sur la recrudescence des risques.  Quelle sont les règles d'or à respecter pour s'en prémunir ? Que faire si une attaque réussit ?

Il faut avoir une hygiène de vie informatique : par principe, tous les emails qu'on peut recevoir de type publicitaire ou d'auteur inconnu, on les envoie ou dans une session avec antivirus ou dans une poubelle. C'est la partie élémentaire. Là, ce qu'on voit, c'est qu'ils ont utilisés des adresses gmail, et je m'interroge sur le sérieux d'une société informatique qui fournit des services pour les élections avec des adresses gmail. La moindre des choses serait d'avoir une adresse corporate. C'est une faute à plusieurs niveaux, qui ouvre une faille trop opportune pour n'importe quel malandrin.

Si ça réussit, il faut déconnecter tous les systèmes, mais pour cela il faut s'en apercevoir tout de suite. Il faut avoir un système redondant en secours type sauvegarde pour pouvoir effacer le système vicié. Un peu comme une centrale nucléaire qui ne peut se passer de système de remplacement.

On touche à la sensibilité humaine. Vous comme moi avez un téléphone, qui est fourni avec un code PIN , une carte bancaire avec un code PIN, chez vous il y a un digicode etc. Et trop de code PIN tue les codes PIN. Les gens en ont assez, et ne prennent plus les mesures nécessaires pour se protéger correctement. Le souci, c'est de trouver des systèmes qui soient relativement simples, fiables, complexes et vulnérables. Notre société dépend actuellement exclusivement de l’électricité. Sans électricité, il n'y a plus rien. C'est plus simple de s'attaquer à la source qu'aux systèmes informatiques qui sont très complexes et demandent beaucoup d’ingénierie et de connaissance informatique.

Matthias Fekl  le 6 mars lorsqu'il  était encore secrétaire d’Etat chargé du commerce extérieur, de la promotion du tourisme et des Français de l’étranger avait annoncé la suspension du vote électronique pour les Français de l'étranger "pour des raisons de sécurité". Quelles mesures pourrait-on prendre en France pour limiter ces risques ?  

Je pense qu'on est compétent dans la gestion de ces risques. Ce n'est pas une question de compétence mais d'organisation structurelle des systèmes. Là vraie question, c'est veut-on accepter les contraintes qui viennent systématiquement avec les moyens de sécurité. Tout le monde ne les accepte pas.

Un système peut être mis en cause, mais généralement c'est l'usage qu'on en fait qui n'est pas bon. Notre société est vulnérable, c'est un fait. Il faut continuer à tirer profit de la technologie, mais éviter de la complexifier sans arrêt. Il faut encourager les isolations par bloc. Il faut se pencher sur les systèmes de recrutement de contrôle. Tout cela est faisable , nous avons les ingénieurs compétents pour cela.