Le Congrès bouge plus proche de soumettre la technologie électorale américaine à un microscope de cybersécurité plus strict.
Intégrée à la loi d'autorisation du renseignement de cette année, qui finance des agences de renseignement comme la CIA, se trouve la loi de renforcement de la cybersécurité électorale pour maintenir le respect des élections grâce à des tests indépendants (SECURE IT), qui exigerait des tests de pénétration des machines à voter et des scanners de bulletins de vote certifiés par le gouvernement fédéral, et créerait un programme pilote explorant la faisabilité de permettre à des chercheurs indépendants de sonder toutes sortes de systèmes électoraux à la recherche de failles.
La loi SECURE IT, initialement introduite par les sénateurs américains Mark Warner, un démocrate de Virginie, et Susan Collins, une républicaine du Maine, pourrait améliorer considérablement la sécurité des technologies électorales clés à une époque où les adversaires étrangers restent déterminés à saper la démocratie américaine.
« Cette législation permettra à nos chercheurs de penser comme nos adversaires et d’exposer des vulnérabilités cachées en tentant de pénétrer nos systèmes avec les mêmes outils et méthodes utilisés par les mauvais acteurs », explique Warner, qui préside la commission sénatoriale du renseignement.
La nouvelle poussée en faveur de ces programmes souligne le fait que même si les préoccupations en matière de sécurité électorale se sont déplacées vers des dangers plus viscéraux tels que les menaces de mort contre les greffiers de comté, la violence dans les bureaux de vote et la désinformation alimentée par l'IA, les législateurs restent préoccupés par la possibilité que des pirates informatiques s'infiltrent dans les systèmes de vote, qui sont considérés comme des infrastructures critiques mais sont peu réglementés par rapport à d'autres industries vitales.
L'ingérence de la Russie dans les élections de 2016 a mis en lumière les menaces qui pèsent sur les machines de vote. Malgré des améliorations majeures, même les machines modernes peuvent être défectueuses. Les experts ont toujours réclamé des normes fédérales plus strictes et davantage d'audits de sécurité indépendants. Le nouveau projet de loi tente de répondre à ces préoccupations de deux manières.
La première disposition codifierait l'ajout récent par la Commission d'assistance électorale américaine des tests de pénétration à son processus de certification. (La Commission a récemment révisé ses normes de certification, qui couvrent les machines à voter et les scanners de bulletins de vote et que de nombreux États exigent de leurs fournisseurs.)
Alors que les tests précédents vérifiaient simplement si les machines contenaient des mesures défensives particulières (telles que des logiciels antivirus et un cryptage des données), les tests de pénétration simuleront des attaques réelles destinées à trouver et à exploiter les faiblesses des machines, fournissant potentiellement de nouvelles informations sur de graves failles logicielles.
« Les gens réclament une interdiction obligatoire [penetration] « Nous testons depuis des années les équipements électoraux », explique Edgardo Cortés, ancien commissaire aux élections de Virginie et conseiller de l'équipe de sécurité électorale au Brennan Center for Justice de l'Université de New York.
La deuxième disposition du projet de loi obligerait l'EAC à expérimenter un programme de divulgation des vulnérabilités pour la technologie électorale, y compris les systèmes qui ne sont pas soumis aux tests fédéraux, tels que les bases de données d'inscription des électeurs et les sites Web de résultats des élections.
Les programmes de divulgation de vulnérabilités sont en fait des chasses au trésor pour les experts en cybersécurité soucieux de leur bien-être. Des participants sélectionnés, soumis à des règles claires sur les systèmes informatiques de l'organisateur qui sont des cibles légitimes, tentent de pirater ces systèmes en trouvant des failles dans leur conception ou leur configuration. Ils signalent ensuite les failles qu'ils découvrent à l'organisateur, parfois contre une récompense.
En permettant à un groupe diversifié d’experts de rechercher des failles dans un large éventail de systèmes électoraux, le projet de loi Warner-Collins pourrait considérablement étendre le contrôle de la machine démocratique américaine.