Sur le continent Africain, en 2023, sept élections présidentielles ou législatives sont attendues. Les élections sont marquées par des défis de sécurité, stabilité et transparence. Avec l’importance de la place du numérique dans nos sociétés, un nouveau défi a émergé : la cybersécurité.
Les risques liés au numérique sont nombreux, tels que la des cyberattaques des systèmes électoraux, l’atteinte aux systèmes d’informations des candidats ou la désinformation.
Des techniques nouvelles qui doivent répondre à un haut niveau d’exigence
L’utilisation du vote électronique n’est pas encore généralisée, qu’il s’agisse de vote par internet ou par machine. Ces techniques nouvelles doivent répondre à un haut niveau d’exigence face aux 4 enjeux fondamentaux du numérique : Disponibilité, intégrité, authentification, confidentialité. Combinés et indissociables, Ils participent à établir et garantir la confiance dans les résultats.
De nombreux paramètres et acteurs participent au process de vote. Les occasions d’altérer les résultats sont tout aussi nombreuses : des bugs rencontrés à la conception des logiciels ou matériels, au moment de la saisie des votes ou encore lors de leur stockage et comptage.
L’identification puis l’authentification, un caractère essentiel
Les bonnes pratiques et respect des règles de l’art pour les opérateurs du processus électoral est donc primordial. Limiter les risques passe également par le respect du « privacy by design » et du « security by design » qui implique de suivre les bonnes pratiques et état de l’art tout au long du développement des solutions et des processus.
Dans les processus électoraux, l’identification puis l’authentification ont un caractère essentiel. Ils permettent de s’assurer que la personne qui donne sa voix est bien celle qu’elle prétend. Dans le monde réel, l’interaction humaine permet de déceler nombre de supercheries. Transposée au monde numérique, c’est un tout autre défi. L’industrie de la cyber sécurité porte une attention particulière à cet élément essentiel. Le MFA (Multi Facteur Authentication) est d’ailleurs recommandé pour protéger les accès aux ressources informatiques, tels que nos comptes en ligne ou applications. Il est fortement recommandé de l’activer pour tous ses comptes, sensibles ou non, comme les comptes de réseaux sociaux officiels ou les boites aux lettres. Car le risque numérique ne s’immisce pas uniquement dans les aspects techniques du processus électoral. Les partis ou protagoniste utilisent de nombreux moyens technologiques pour communiquer en amont et pendant les élections. Ordinateurs, smartphones ou encore logiciels et applicatifs sont plus que jamais soumis aux 4 principes énoncés ci-dessus.
Des attaques qui ont pour objectif de saturer les sites ou services
Disponibilité et confidentialité doivent être au cœur des préoccupations. Il est évident que le système d’information, au sens large du terme et incluant tous les équipements technologiques et numériques se doivent d’être accessibles. Les informations préalables, mise à disposition sur les sites des partis peuvent être la cible d’attaques par déni de service distribuées. Ces attaques ont pour objectif de saturer le site ou service de sa victime, le rendant indisponible aux visites légitimes. Les effets sont souvent ponctuels, mais symboliques. Les hacktivistes utilisent régulièrement cette technique pour toucher l’opinion publique. Ce fut le cas en France le 27 mars 2023 à l’encontre du site internet de l’Assemblée Nationale, rendu indisponible quelques heures.
Récolter puis diffuser des informations sensibles pour déstabiliser le processus électoral
L’intégrité et confidentialité des données concourent à la bonne marche des élections. Constatés en 2016 lors de l’élection présidentielle aux USA, puis en 2017 lors de l’élection présidentielle en France, des groupes d’attaquants ciblent les réseaux et ressources informatiques des candidats et partis. L’objectif est de récolter puis diffuser des informations sensibles pour déstabiliser le processus électoral.
Les techniques employées sont courantes : l’hameçonnage ciblé ou l’exploitation de vulnérabilités. La pression qui s’exerce sur les équipes de campagne est telle que les règles de vigilances élémentaires peuvent être oubliées. Ainsi, l’utilisation d’outils de protection fait sens pour tous les éléments qui composent le système d’information des partis. Mais il ne faut pas en oublier la surveillance humaine et automatisée. Car si les outils progressent et protègent contre les diverses menaces, il n’en reste pas moins essentiel de surveiller les activités des réseaux. C’est un atout pour déjouer les intrusions au plus tôt, et en limiter ainsi les chances de succès.
La diffusion de données internes peut être couplée ou non aux campagnes de désinformation visant un public indécis. Les réseaux sociaux sont de formidables caisses de résonnance. Le format propre aux contenus viraux, courts et répétitifs, participent à leur diffusion et n’invitent pas à la vérification des informations partagées.
Les risques liés à la cybersécurité sont un nouveau défi pour les élections présidentielles. Il est essentiel que chacun prenne des mesures pour atténuer ces risques, notamment en renforçant la sécurité des systèmes d’information et en formant les parties prenantes aux bonnes pratiques en termes de cybersécurité.