Bugs, cyberattaques, suspicions… le système électoral américain sous pression

Aux Etats-Unis, sénateurs républicains et démocrates tombent rarement d’accord. Pourtant, la commission sur le renseignement, composée d’élus des deux camps, démocrates et républicains, l’a affirmé d’une seule voix dans le premier tome de son rapport de plus de 1 000 pages sur les ingérences russes, publié en juillet 2019 : les services de renseignement de Moscou ont montré un intérêt « sans précédent » pour l’infrastructure électorale américaine lors de la présidentielle de 2016.

Des traces de ces pirates ont été repérées dans les systèmes informatiques liés aux élections dans une vingtaine d’Etats, mais les sénateurs estiment que tous les Etats ont en fait été visités. Certains n’ont été que superficiellement sondés, d’autres ont vu leurs premières lignes de défense éprouvées, et au moins deux d’entre eux ont été réellement piratés. C’est notamment le cas de l’Illinois, où les pirates auraient pu modifier les listes électorales. Un fabricant de machines à voter a également été compromis : selon les autorités américaines, les pirates agissaient pour le compte des services de renseignement militaires russes.

La vulnérabilité du système

Quatre après ces épisodes, et alors que l’Amérique s’apprête à se rendre aux urnes pour l’un des scrutins les plus explosifs de son histoire, devant départager Joe Biden du président Donald Trump, de nombreuses failles identifiées en 2016 sont toujours béantes – et elles le sont sur fond de nouvelles alertes aux ingérences étrangères dans l’élection.

Certes, à l’époque, aucun vote n’a été modifié ; et les experts en sécurité informatique s’accordent à dire qu’une manipulation invisible et à grande échelle des voix des électeurs américains reste impossible. Leur crainte, ainsi que celle des autorités américaines, porte plutôt sur la désorganisation – voire le chaos – que pourrait occasionner une attaque informatique contre la machinerie électorale, ou un dysfonctionnement de cette dernière.

L’un des premiers problèmes identifiés reste celui des machines à voter, couramment utilisées aux Etats-Unis. Si la sécurité informatique de ces appareils, construits et assemblés par de petites entreprises souvent dépourvues d’experts en la matière, était déplorable en 2016, elle ne s’est guère améliorée en 2020. Parmi les problèmes recensés :

• fin 2019, les participants à la conférence spécialisée DefCon (parmi les grands rassemblements annuels de hackers) avaient ausculté de nombreux modèles : ils y avaient trouvé de nombreuses failles ;
• en dépit des affirmations de leurs fabricants, des machines à voter sont parfois connectées à Internet, démultipliant leur vulnérabilité ;
• sept Etats utilisent encore des machines qui ne laissent aucune trace papier du vote, une garantie que tous les experts jugent nécessaire pour détecter une éventuelle fraude. En janvier, des chercheurs ont démontré que des machines justement censées laisser une trace en papier n’empêchaient pas la fraude : ce qui rend leur utilisation, pourtant actée dans 18 % des circonscriptions américaines, « extrêmement risquée » en cas de scrutin disputé, selon les chercheurs.

Les nombreux outils numériques

Ces machines à voter sont loin de concentrer les inquiétudes des autorités et des experts. De manière générale, aux Etats-Unis, le vote est organisé grâce à une longue chaîne d’outils informatiques, tous vulnérables à plus ou moins grande échelle. Des logiciels, des machines ou encore des applications sont utilisés pour gérer les listes électorales, l’émargement des votants ainsi que le décompte, le transfert et l’affichage des résultats du vote.

Cette année, le vote par correspondance tiendra une place de choix, pandémie de Covid-19 oblige. Certains électeurs seront amenés à voter quasi entièrement en ligne : leur voix est enregistrée sur un site Internet, et assortie d’un bulletin en papier qui est ensuite décompté. Cette méthode est bien évidemment vulnérable, selon plusieurs rapports. Le département de la sécurité intérieur l’a d’ailleurs jugé « à haut risque » et pour cause : les votes pourraient être « manipulés à grande échelle ».

De manière plus globale, des systèmes informatiques seront aussi utilisés le mardi 3 novembre pour l’envoi des bulletins, leur dépouillement, leur vérification et leur décompte. Or, les logiciels permettant de gérer les listes électorales et l’émargement des votants sont un des angles morts de la sécurité de l’élection. Le magazine Politico a démontré, fin août, à quel point ces outils, utilisés dans tous les Etats américains, étaient exposés aux pannes et aux attaques et dispensés de tout audit ou encadrement fédéral.

Un Etat fédéral limité

Pour solidifier cette infrastructure électorale, les pouvoirs de l’Etat fédéral sont limités : les Etats fédérés sont souverains en matière d’élections et jaloux de leurs prérogatives. Certes, l’infrastructure électorale est considérée comme « critique », cela permet à l’Etat fédéral de s’y pencher d’un peu plus près. Et le Congrès a alloué plusieurs centaines de millions de dollars depuis 2018 pour muscler la cybersécurité de l’élection. Début 2020, l’agence de cybersécurité a organisé un grand exercice avec deux cents fonctionnaires des Etats fédérés chargés de l’organisation de l’élection pour les préparer à tous les scénarios. Le FBI peut désormais sonner l’alerte s’il découvre une tentative de piratage plus facilement qu’auparavant.

Certains Etats ont aussi entrepris de changer leurs machines à voter, troquant des systèmes entièrement électroniques – peu sécurisés – par des systèmes mixtes, associant à chaque vote une trace sur papier, rendant ainsi une modification des votes plus facilement détectable.

Reste que chaque Etat dispose de ses propres règles, et que le déroulement du vote est organisé différemment dans les plus de 10 000 circonscriptions que compte le pays. Il n’existe de surcroît aucun organe fédéral de régulation doté de pouvoirs coercitifs sur le sujet, sauf pour le financement des campagnes. « Il y a davantage de règles fédérales sur les stylos à billes ou les feutres qu’il y en a sur les systèmes de votes », s’est inquiété Larry Norden, du Brennan Center for Justice, think tank spécialisé dans l’élection, lors d’une audition au Congrès en 2019.

De la crainte d’attaques à celle de dysfonctionnements

Dans ce contexte, tout dysfonctionnement, causé par une attaque informatique ou par un simple problème technique, peut décrédibiliser le scrutin et semer le désordre. Par exemple, une liste électorale paralysée par un rançongiciel (virus informatique qui verrouille les données des victimes et nécessitant une rançon pour les déverrouiller, de plus en plus utilisé par des pirates du monde entier) peut entraver les opérations de vote ; un site Internet qui tarde à diffuser les résultats dans un comté ou un Etat peut semer le doute ; et une liste électorale modifiée par un acteur malveillant peut empêcher certains électeurs de voter.

Dans un communiqué commun, publié le 24 septembre, le FBI et l’agence de cybersécurité américaine ont souligné ne pas avoir identifié, « à date, d’incident susceptible de modifier les suffrages ou d’empêcher les Américains de voter », en novembre. Les deux organismes notent cependant que « des acteurs cyber continuent leurs tentatives d’attaques contre les systèmes qui enrôlent les électeurs ou hébergent les listes électorales, gèrent les processus extérieurs au vote ou fournissent des résultats non officiels. Ces tentatives sont susceptibles de rendre ces systèmes temporairement inaccessibles, ce qui pourrait ralentir, mais pas empêcher, le vote ou l’annonce des résultats ».

Ces derniers mois, certains événements ont ravivé les craintes des autorités de voir des maillons mal protégés de la chaîne électorale être pris pour cible lors de l’élection. Le New York Times note, par exemple, qu’une entreprise texane a été, il y a peu, la cible d’un rançongiciel : ses services sont utilisés par certaines circonscriptions pour agréger et diffuser les résultats de l’élection.

En début d’année, le bug d’une application utilisée pour enregistrer et faire remonter les résultats des caucus démocrates de l’Iowa avait semé le « chaos » et retardé l’annonce du vainqueur. Des problèmes de machines à voter et des files d’attente ont déjà perturbé des primaires, en mars au Texas et à Los Angeles, et en juin en Georgie. En 2019, lors d’une élection dans un comté de Pennsylvanie, le dépouillement des machines à voter laissait penser qu’un des deux candidats n’avait quasiment obtenu aucune voix. Après recomptage des traces papiers, un des deux candidats l’avait emporté par cinq voix d’écart : l’incident technique a jeté le doute sur l’élection.

Le désordre venu de la Maison Blanche

Car un scrutin électoral ne doit pas seulement décompter fidèlement les votes des électeurs. Il doit aussi emporter la confiance de tous, y compris celle des perdants. C’est tout l’enjeu de protéger l’infrastructure électorale contre le piratage et les dysfonctionnements : il faut compter les bulletins mais aussi préserver le scrutin du désordre et de la suspicion.

Mais que faire lorsque ces derniers émanent de la Maison Blanche ? A plusieurs reprises, Donald Trump a refusé de s’engager à laisser son poste en cas de défaite et affirmé que l’élection devant le départager avec Joe Biden était truquée.

Parmi les obsessions du candidat à sa réélection figure le vote par correspondance. Selon un décompte du Washington Post, Donald Trump a mis en doute plus d’une cinquantaine de fois la sincérité de ce type de vote, malgré le manque de preuves sur le sujet.

Ce mode de scrutin met, de manière générale, plus de temps à être traité, et accentue la tendance des derniers bulletins décomptés à être davantage démocrates. Or, son utilisation risque d’être massive en 2020 : alors qu’en 2016, 33 millions d’Américains ont voté de la sorte, ils pourraient être, cette année, 80 millions dans le contexte des mesures prises contre la propagation du Covid-19, explique le magazine Wired.

De quoi repousser structurellement la proclamation des résultats définitifs du 3 novembre, même en l’absence de piratage ou de dysfonctionnement numériques – et par conséquent, favoriser les critiques émises sur le scrutin par Donald Trump lui-même.