Les attaques par chevaux de Troie et points d’eau sont-elles un danger lors du vote électronique ?



Guidage vocal

Les attaques par chevaux de Troie et points d’eau sont-elles un danger lors du vote électronique ? 31.05.2018

Contribution de Patrick Pleinevaux, Principal Security Architect, Kudelski Security.

Les attaques par codes malveillants (en anglais, malware) sont courantes sur Internet. Elles peuvent prendre différentes formes. Nous examinons ici les attaques par chevaux de Troie et points d’eau dans le contexte du e-Voting. Contribution de Patrick Pleinevaux, Principal Security Architect, Kudelski Security.

Le cheval de Troie et le point d’eau

Une attaque par Cheval de Troie consiste à piéger une application que des Internautes téléchargent et installent ensuite sans se douter que l'application va par exemple de façon cachée espionner ce que fait la personne. Une telle attaque est courante sur les smartphones et tablettes, en particulier Android, mais peut aussi s'exécuter sur des ordinateurs personnels tels que des machines Windows ou des Mac. Une attaque par Cheval de Troie a un intérêt pour une organisation qui voudrait affecter une votation ou élection électronique car elle permet de cibler une population plus facilement que par hameçonnage.

Une deuxième attaque tout aussi transparente fait appel à une technique appelée le "point d'eau". Elle consiste à piéger un site Internet légitime - par exemple un journal régional ou national - de façon à compromettre les machines des personnes qui visitent ce site. Une fois compromise la machine tourne un code dit malveillant - malware en anglais - code qui peut espionner les actions, modifier les informations transmises par un PC ou rendre celui-ci non opérationnel. Une telle attaque est pratiquée depuis des années pour compromettre principalement des PC Windows, sans que la personne ne se rende compte de quoi que ce soit. Le nom "point d'eau" fait référence aux embuscades que les fauves tendent à leurs proies au bord des points d'eau, points de passage obligés.

Un danger pour le vote électronique ?

Dans le cas du e-voting, des attaquants pourraient avoir deux objectifs:

  1. savoir ce qu'une personne a voté,
  2. modifier un vote.

Le secret du vote peut-il être violé sur un PC, smartphone ou tablette ? oui, par un code malveillant, entre autres par les techniques mentionnées ici. Une perte massive de confidentialité est néanmoins peu probable, pour la raison suivante: le nombre important de canaux permettant le vote rend cette attaque coûteuse à un attaquant: il devrait attaquer en même temps des smartphones Android, iOS, des PC Windows, des Mac, cela fait beaucoup de travail, d'autant que les techniques ne sont pas les mêmes pour les différentes plateformes. Le secret n'est pas plus garanti quand nous votons par la Poste ou que nous déposons notre enveloppe dans la boite aux lettres de la commune. Rien n'empêche une interception de celle-ci.

Quant à l'intégrité du vote, il serait très difficile à un attaquant de modifier celui-ci sur le terminal utilisé, que ce soit un PC, une tablette ou un smartphone. Le protocole utilisé par un système avec vérifiabilité individuelle avec ses différents codes insérés à différentes étapes du vote rend le succès de l’attaque presque impossible. En tant qu'électeur, il est possible de détecter une manipulation du vote lors de son enregistrement dans l'urne en comparant les codes de vérification retournés par le serveur avec ceux imprimés sur la carte de vote. De plus, elle serait très coûteuse pour l'attaquant vu le besoin de s'attaquer à un nombre significatif de personnes pour avoir un impact sur les résultats de l'élection ou de la votation.

Pour éviter de se faire prendre

Quelles sont les règles pour éviter de se faire prendre lors d’un vote électronique:

  1. Bien utiliser les codes de vérification comme expliqué dans le blog sur le hameçonnage.
  2. Pour les smartphones et tablettes, ne pas télécharger d'applications depuis des appstores non officiels. La grande majorité des Chevaux de Troie pour ces machines sont trouvés sur des appstores non officiels.
  3. Pour les PC ou Mac, ne pas télécharger de programmes depuis des sites peu connus, aussi intéressants soient-ils.
  4. Pour toutes les machines, smartphones, tablettes, PC et Mac, toujours mettre à jour la machine rapidement lorsque des mises à jour de sécurité sont disponibles. En effet, les attaques de type « point d'eau » exploitent des vulnérabilités dans les logiciels, qu'ils soient les browsers ou les systèmes d'exploitation (OS).