Après l’épisode américain, où des pirates russes se seraient invités à la table des élections, après la mise en garde de la Chancelière allemande et des autorités françaises sur les risques de dérives sécuritaires sur les prochaines élections, le risque cyber des élections 2017 s’est invité à la dernière soirée du Cercle Européen de la Sécurité et des Systèmes d’Information.

Le sujet de la dernière soirée du Cercle Européen de la Sécurité et des Systèmes d’Information, « Elections : quand le risque cyber s’invite dans la partie », a emporté largement l’attention des RSSI et DSI présents. Le sujet est en effet doublement d’actualité, d’abord politique, les échéances électorales approchent, mais également sécuritaire, avec la révélation de plusieurs attaques récentes dont ont été victimes de candidats. Des attaques pas toujours élégantes si l’on se réfère aux fakes, aux fausses informations qui circulent et se multiplient.

P1000537

Attaques et fakes

Deux choses ressortent tout d’abord du débat qui a réuni Nicolas Arpagian, Directeur scientifique du Cycle ‘Sécurité Numérique’ de Institut National des Hautes Etudes de la Sécurité & de la Justice, Mounir Mahjoubi, responsable numérique du parti En Marche, et David Guez, avocat, organisateur de la primaire.org du Parti Républicain :

  • Il en est des partis comme des entreprises, plus personne n’est à l’abri des attaques, et celles-ci se multiplient lorsque les victimes sont médiatisées, ce qui indéniablement est le cas avec les élections ;
  • Les sources d'attaques se font de plus en plus proches, et se professionnalisent, surtout lorsqu’il s’agit d’alimenter les médias et réseaux sociaux de ‘fake news’ ou fausses informations, afin de créer des ‘bad buzz’ et de véhiculer des informations susceptibles de déstabiliser les partis et leurs candidats.

En Marche dans la tourmente

Ainsi Mounir Mahjoubi a-t-il confirmé que le site Web d’En Marche fait l’objet d’attaques régulières sur le front-end comme sur la base de données. Mais il s’est immédiatement empressé d’affirmer que les données Stratégiques, comme les données personnelles des sympathisants qui se présentent sur le site, sont « bien protégées, il n’y a aucune atteinte à nos données et à nos services ».

Les attributs numériques du candidat Macron font figure d’exemple dans la sphère politique. A la mi-février, c’est le député du Finistère et secrétaire général du mouvement En Marche, Richard Ferrand, qui avertissait sur la multiplication des fausses informations et sur l’existence de centaines, voire de milliers d’attaques sur la base de données, les sites et sur le système d’information du parti. Mounir Mahjoubi n’a d’ailleurs pas hésité à pointer l’origine de ces attaques, « comme par hasard, cela vient des frontières russes », les fausses informations étant écrites et relayées par des médias russes comme Spoutnik ou RT. « Ces attaques proviennent principalement d’Ukraine, pour près de la moitié d’entre elles, continue-t-il. Ce qu’indique de manière certaine la nature de ces attaques, c’est qu’elles sont organisées et coordonnées par un groupe structuré, et non par des hackers solitaires ».

P1000540

Nicolas Arpagian (Directeur scientifique, Cycle « Sécurité Numérique »​, Institut National des Hautes Etudes de la Sécurité & de la Justice) ; Mounir Mahjoubi (En Marche) ; Florence Puybareau (Directrice des contenus de DG Consultants) ; David Guez (Avocat organisateur de la primaire.org).

Plus généralement, tous les intervenants ont dénoncé le rôle de la "fâchosphère" à l'origine et sur la diffusion des 'fake news'.

Mise en garde

Face à cette montée des pratiques douteuses qui viennent ternir les prochaines élections, le CNIL, l’ANSSI, et même le Chef de l’Etat sont intervenus pour sensibiliser les partis, les électeurs, et plus généralement les citoyens. Une procédure a été mise en place pour permettre aux partis qui se sentiraient menacés d’accéder à l’appui de l’ANSSI. Elle passe par la saisie de la Commission nationale de contrôle de la campagne électorale, mise en place par le Conseil constitutionnel, qui doit déterminer si une cyberattaque risque de fausser les règles du jeu et/ou d’entacher la sincérité du scrutin, et si cela est vérifié se tourner vers l’ANSSI pour solliciter une expertise technique spécifique.

Si les attaques et la gêne occasionnée sont réelles, le risque l’est moins, de l’avis des intervenants. A la différence des Etats-Unis, le vote électronique est peu développé en France, or c’est celui-ci qui serait la principale source d’inquiétude. Cela d’autant plus que les systèmes mis en place dans une cinquantaine de villes voici plus de 10 ans sont aujourd’hui obsolètes. En revanche, la sécurité de la remontée des résultats des préfectures vers le ministère de l’Intérieur a été renforcée.

La blockchain s'invite dans les élections

Nicolas Arpagian a par ailleurs rappelé que des outils de protection existent, accessibles à des prix raisonnables. Il milite également pour que leur coût soit écarté des budgets de campagne afin que les partis s’équipent…

Mais le plus surprenant dans cette table ronde, et ce qui aura certainement retenu le plus d’attention de la part des membres du Cercle, est venu l’expérience menée par David Guez sur primaire.org, avec l’usage de la Blockchain en infrastructure des votes. Ces derniers ont été effectués en ligne, via la technologie blockchain Ethereum, qui permet d’échanger des données de façon sécurisée et anonyme. « C’est pour nous une garantie de l’inaltérabilité du vote, et pour l’électeur une façon d’obtenir une preuve de son vote – à laquelle nous n’avons pas accès - et de vérifier qu’il a bien été pris en compte », a précisé David Guez.