Elections : quand le risque cyber s’invite dans la partie

Publié le

Compte rendu du débat du Cercle du 23 février 2017

Débat avec :

Nicolas ARPAGIAN, Directeur scientifique, Cycle "Sécurité Numérique"​ à l’Institut National des Hautes Etudes de la Sécurité & de la Justice

David GUEZ, Avocat organisateur de la primaire.org

Mounir MAHJOUBI, Ancien président du Conseil national du Numérique, responsable de la campagne numérique d’Emmanuel MACRON.

Le premier débat 2017 du Cercle de la Sécurité était consacré aux risques cyber dans les processus électoraux. Un sujet devenu brulant au fil des mois en raison des attaques perpétrées lors des élections américaines et des menaces pesant sur les scrutins français et allemands. A tel point qu’en octobre dernier, l’ANSSI et le SGDSN avaient réuni les responsables IT des principaux partis politiques pour une session de sensibilisation.

A la question, pourquoi les élections deviennent elles un sujet de cybersécurité, Nicolas Arpagian a rappelé que tous les faits de société et leurs composantes étaient des cibles potentielles surtout quand ils sont hyper médiatisés comme le sont devenues les élections. Et les partis politiques n’échappent pas à la règle qui gèrent beaucoup de données notamment les fichiers de leurs adhérents. Ils sont d’autant plus fragilisés que leur organisation est très décentralisée, repose sur des bénévoles - qui utilisent souvent leur propre matériel technologique- et que jusqu’à présent ces militants étaient très peu sensibilisés. Mais « il ne faut pas confondre ce qu’il s’est passé au sein des partis et les résultats des élections », rassure Nicolas Arpagian. Ainsi aux Etats-Unis, le parti démocrate qui s’est fait pirater n’a pas contesté le résultat des élections.

Responsable du numérique d’EN Marche, la formation d’Emmanuel Macron, Mounir Majhoubi est pour sa part revenu largement sur les multiples attaques dont a été victime le site du candidat et qui ont défrayé la chronique pendant plusieurs jours. S’il a reconnu que le site (qui s’appuie sur une version du logiciel WordPress) avait présenté des failles car il n’était pas mis à jour, il a assuré que les données des adhérents hébergées dans une autre base n’avaient pas été touchées. Et depuis non seulement le site avait été sécurisé mais les adhérents étaient désormais sensibilisés aux risques cyber. Il est également revenu sur le type d’attaques, des dénis de service mais surtout des diffusions de « fake news » alimentés par des réseaux sociaux (Twitter, FaceBook) eux-mêmes animés par des humains et des machines (bots).

Parler de cyber dans les processus électoraux, c’est aussi s’interroger sur le vote électronique. Un modèle que les experts de l’ANSSI estiment pour le moment trop dangereux car trop peu sécurisé. Pourtant différentes tentatives sont menées à travers le monde à l’instar de celle organisée par LaPrimaire.org, une structure qui a mis en place un système de choix de candidat et de vote basé uniquement par Internet. Pour ce faire, comme l’explique David Guez, les organisateurs qui ont travaillé avec des chercheurs de polytechnique et de l’Ecole Normale Supérieure ont d’abord utilisé la messagerie sécurisée Telegram puis ont développé une blockchain afin de garantir l’intégrité et la fiabilité du scrutin. Le site qui a été beaucoup attaqué (intrusion, fausse identité…) a très bien résisté selon David Guez pour qui une telle expérience pourrait être déployée à plus grande échelle.

Au final, ce débat a vraiment permis de confirmer que plus rien ni personne n’échappait aux risques cyber et que la sphère politique devenait même une cible de choix. Dans ce contexte, toutes les organisations privées ou publiques doivent désormais en tenir compte tant dans leur stratégie que dans leurs investissements.

ECOUTER LE PODCAST

Dernière publication

2017 a été marquée par des attaques de ransomwares d’une ampleur inédite. Pour tirer les enseignements de ces incidents, les organisations doivent se mettre en ordre de bataille. 

Lire