0

  • Votre panier est vide.

  • COMPTE

Les fabricants de machines à voter jouent enfin bien avec les pirates

Certains articles de veille peuvent faire l'objet de traduction automatique.

Pour bien plus une décennie, la relation entre les entreprises de machines à voter et les chercheurs en sécurité a été tendue. Les fabricants ont longtemps refusé de permettre un accès sans entrave aux chasseurs de bogues, alors même que des vulnérabilités majeures de longue date affectaient les modèles de machines à voter utilisés tout au long des années 2000 et 2010. Une nouvelle collaboration montre cependant que la guerre froide a véritablement commencé à dégeler.

Lors de la conférence sur la sécurité Black Hat aujourd’hui, Chris Wlaschin, vice-président de la sécurité des systèmes et directeur de la sécurité de l’information du géant de la technologie électorale ES&S, et Mark Kuhr, directeur de la technologie de la société de sécurité Synack, ont détaillé comment les deux sociétés travailleraient ensemble pour autorisent les soi-disant tests de pénétration sur certains produits ES&S – et ont souligné le projet plus vaste de combler le fossé de longue date entre leurs deux mondes.

« Il y a eu beaucoup de mauvais sang dans l’histoire de cela, mais je pense que c’est une évolution positive », a déclaré Kuhr de Synack à WIRED lundi. «Ce que nous essayons de faire, c’est faire avancer la balle ici et amener ces fournisseurs de technologies électorales à travailler avec les chercheurs de manière plus ouverte et à reconnaître que les chercheurs en sécurité dans leur ensemble peuvent ajouter beaucoup de valeur au processus de recherche de vulnérabilités qui pourraient être exploité par nos adversaires. « 

Synack gérera un programme pour ES&S dans lequel des professionnels de la sécurité approuvés par Synack examineront et tenteront de pirater le nouveau modèle de registre électronique des sondages d’ES&S, des dispositifs que les fonctionnaires électoraux utilisent pour gérer les données des listes électorales. En jetant l’appareil aux loups, ES&S peut découvrir et résoudre les problèmes de sécurité potentiels avant que des pirates malveillants ne les trouvent. Wlaschin dit que la société prévoit d’exécuter des tests de pénétration supplémentaires avec Synack sur d’autres produits également. Et il a ajouté qu’en fin de compte, la société espère effectuer ce type de test de pénétration sur de nouveaux produits pendant qu’ils sont encore en développement. ES&S annonce également un programme coordonné de divulgation des vulnérabilités remanié au cours de la conférence, créant un moyen clair pour les pirates de soumettre leurs découvertes sans crainte de représailles.

Dans le passé, la position d’ES & S sur la divulgation et les processus était notoirement opaque. Et la domination de l’entreprise sur le marché américain des machines à voter lui a permis de exercer une influence sur les normes et la réglementation. Tout cela rend le discours de Black Hat de mercredi encore plus remarquable.

« C’est tout un changement », a déclaré Wlaschin d’ES & S à WIRED avant la conférence. « Compte tenu de l’époque où nous sommes et de l’accent mis sur la sécurité électorale, ES&S essaie depuis un certain temps de travailler avec des chercheurs en sécurité pour, en premier lieu, améliorer la sécurité de nos équipements et logiciels et, en deuxième lieu, améliorer la perception de la sécurité électorale. « 

Pendant des années, les machines à voter étaient une boîte noire, alors même que de plus en plus d’États remplaçaient les anciens systèmes de marquage analogique par des options informatisées. Le Digital Millennium Copyright Act a même interdit aux chercheurs en sécurité de sonder les machines à voter à la recherche de vulnérabilités potentielles, ce qui n’a changé qu’en 2016 avec une exception DMCA pour la recherche sur la sécurité des machines à voter.

Cela a ouvert la voie au programme connu sous le nom de Voting Village, qui a été lancé en 2017 pour permettre aux chercheurs de mettre la main sur des machines à voter, probablement pour la première fois, et de commencer à les pirater. Dans le cadre de la conférence Defcon sur la sécurité, le village de vote a également servi de sorte de mairie de débat et d’innovation en matière de sécurité du vote. En 2018, ES&S a envoyé un lettre aux clients en minimisant l’importance du village électoral et de ses conclusions: «Les participants auront absolument accès à certains composants internes des systèmes de vote car ils auront un accès complet et sans entrave à une unité sans l’avantage de préposés au scrutin qualifiés, de verrous, de scellés inviolables, de mots de passe , et d’autres mesures de sécurité qui sont en place dans une situation de vote réelle. « 

Voir aussi :

août 23, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)