Pour la première fois depuis huit ans, je j’ai écrit sur lui, Alex Halderman a quelque chose de positif à dire sur un système électoral. C’est généralement une personne joyeuse, jusqu’à ce que la conversation tourne aux cybermenaces de la démocratie, puis il devient le gars qui, il y a trois ans, s’est assis devant les États-Unis. « Je sais que les machines à voter américaines sont vulnérables parce que mes collègues et moi les avons piratées — à plusieurs reprises — dans le cadre d’une décennie de recherche étudiant la technologie qui opère les élections et apprenant à la rendre plus forte. »
Alors, quand je lui demande à quel point le swing-state Michigan est bien préparé alors que notre calendrier se précipite vers une élection présidentielle — au milieu d’une pandémie — qui met en vedette un titulaire qui déclare déjà les résultats entachés, je me prépare pour le genre d’évaluation apocalyptique habituelle de l’expert en sécurité informatique vedette de l’Université du Michigan.
Et puis la torsion: « Il se passe beaucoup de choses positives dans le Michigan. »
Hein ? Huh !
« Jusqu’à présent, l’État a résisté à l’envie d’autoriser le vote à distance par e-mail », explique Halderman, 39 ans, par téléphone depuis la maison de ses parents dans la banlieue de Pennsylvanie, où lui et sa femme sont accroupis au milieu de la pandémie. « Il continue d’offrir des bulletins de vote en papier et, contrairement aux États qui ont mis en place des dispositifs de marquage des bulletins de vote pour chaque électeur, la grande majorité des bulletins de vote au Michigan sont remplis à la main. Le Michigan a ajouté des applications de vote par correspondance en ligne et l’inscription des électeurs — ce qui nécessite une pratique de sécurité minutieuse pour bien les mettre en œuvre — mais contrairement au vote en ligne, c’est quelque chose que nous avons maintenant raisonnablement sécurisé. »
En outre, le Michigan est susceptible de mener un type spécial d’examen post-électoral connu sous le nom d’audit limitant les risques, ou RLA, de la course présidentielle de 2020 qui est conçu pour détecter tout écart majeur entre les bulletins de vote papier et le décompte automatique qui pourrait suggérer une fraude généralisée modifiant le vote. Halderman et d’autres poussent les États à le faire depuis des années, et maintenant, enfin, le Michigan est l’un des huit États qui prévoient une forme quelconque de RLA, selon la Conférence nationale des législatures des États. Quatre autres États, dont l’Ohio, ont rendu le RLA facultatif.
Il ne devrait peut—être pas être si surprenant que Halderman soit relativement satisfait — il a ce qu’il appelle des « mises en garde » auxquelles nous arriverons – avec où se trouve le Michigan en ce moment. Après tout, la secrétaire d’État Jocelyn Benson l’a nommé en mars 2019 coprésident de sa Commission de sécurité électorale, un panel de 18 personnes comprenant des responsables électoraux et d’autres informaticiens. Le groupe devait publier un rapport d’ici la fin de l’été; il a été retardé par la crise du coronavirus plus tôt cette année, mais les principales recommandations incluent la RLA, a déclaré le porte-parole de Benson, Jake Rollow.
La greffière du comté d’Ingham, Barb Byrum, membre de la commission, a déclaré que les réunions étaient l’occasion pour des experts en cybersécurité comme Halderman, qui se rendent souvent aux médias pour parler des problèmes qu’ils observent, de parler directement avec les responsables des élections qui ont en fait la responsabilité de sécuriser le vote. Souvent, dit-elle, Halderman et d’autres comme lui attireront l’attention du public sur des failles de sécurité basées sur des conditions de laboratoire dans lesquelles ils ont un accès illimité aux machines à voter ou aux tabulateurs, mais un tel accès est assez rare. Cela a peut-être aidé Halderman à mieux comprendre les risques, dit-elle.
« Nous sommes capables de nous parler, et beaucoup des idées préconçues sur les élections et la sécurité ou l’insécurité que nous étions ou serons ont été démystifiées », dit-elle. « Plutôt que de jeter des pierres, nous nous parlions. C’est la première étape pour rendre nos élections plus sûres. »
Motivé par l’an 2000
Dans les milieux de l’informatique, Halderman était une rock star bien avant qu’il ne se rende au Capitole pour effrayer les bejesus de tout le monde sur la fragilité de la démocratie américaine. En tant qu’étudiant diplômé de Princeton, lui et son mentor, le professeur Ed Felten, ont montré à quel point il était facile de vaincre les tentatives de Sony BMG pour prévenir le piratage.
Peu de temps après, Felten a attiré le jeune chercheur prometteur dans un projet qui allait éclairer une grande partie de la carrière de Halderman: la sécurité du vote électronique. Après la débâcle électorale de 2000 en Floride, avec tous ces chads suspendus et la confusion sur l’intention des électeurs sur les bulletins de vote papier, le Congrès a donné aux États plus de 3 milliards de dollars pour moderniser leur mécanisme de vote. Cela a conduit à un passage à grande échelle au scrutin à écran tactile et aux tableaux informatisés, mais peu d’États ou de fournisseurs d’équipement donneraient accès à des chercheurs indépendants pour évaluer la sécurité de ces machines. Ainsi, en 2006, Felten a pris contact avec un initié des élections prêt à lui glisser un modèle couramment utilisé.
Cela a mis en place une scène qui rappelle un roman d’espionnage, avec Halderman, alors âgé de 25 ans, rencontrant dans une ruelle un homme en trench-coat qui lui tend une grande mallette en cuir contenant la machine à voter de contrebande. Quelques mois plus tard, l’équipe a mis en ligne une vidéo montrant la machine piratée lors d’une élection fictive au cours de laquelle Benedict Arnold remporte la présidence malgré le choix clair des électeurs de George Washington.
Cette sorte d’antic effronté est devenue une caractéristique des efforts de Halderman pour alerter le public sur les insécurités technologiques. En 2010, le district de Columbia prévoyait notamment de permettre aux résidents de voter via Internet lors des élections municipales. Le vote en ligne est, pour Halderman, une idée particulièrement terrible et contre laquelle il a travaillé en exposant les failles de sécurité des systèmes utilisés en Australie, en Estonie et en Norvège.
Pour démontrer et tester le système du district au public, la ville a organisé une simulation d’élection quelques semaines avant le jour du scrutin. Halderman – alors dans sa deuxième année à U—M – a vu cela comme « une opportunité fantastique de tester des attaques dans un système en direct mais pas une élection réelle. »Son équipe s’est facilement introduite, modifiant les votes sans détection. En fait, la seule raison pour laquelle quelqu’un a remarqué la brèche était la musique sur la page « merci d’avoir voté »: Ses élèves avaient configuré le système pour jouer « The Victors. »Les responsables de DC ont abandonné l’idée de vote en ligne et n’y sont jamais revenus.
En juin, Halderman y était à nouveau alors que le Delaware tentait de permettre aux électeurs de télécharger des bulletins de vote, de les marquer électroniquement, puis de les envoyer par courrier électronique pour la primaire du 7 juillet de l’État. Le logiciel de marquage des bulletins de vote, largement utilisé pour aider les personnes handicapées physiques à remplir leur bulletin de vote à la maison, peut être manipulé par un logiciel pour modifier les votes lorsque les bulletins de vote sont transmis via Internet à leur destination. Ce problème est généralement évité par l’électeur imprimant le bulletin de vote et l’envoyant par la poste, mais le Delaware voulait laisser les gens sauter cette étape.
Après que Halderman a coécrit un article du 7 juin décrivant les vulnérabilités du système, le Delaware a fait une pause sur l’option e-mail. « Mon équipe et moi avons fait l’analyse de la sécurité et, fondamentalement, il n’y a pas de magie », explique Halderman. « C’est juste un autre portail en ligne pour télécharger ou envoyer des fichiers PDF. Cela signifie qu’il n’y a aucun moyen pour les fonctionnaires électoraux, l’électeur ou l’entreprise qui fabrique le système de s’assurer que le bulletin de vote rempli par les électeurs est le même que ce que les fonctionnaires électoraux reçoivent et comptent. »
Halderman est particulièrement satisfait de l’accent mis sur les bulletins de vote papier dans le Michigan et des inquiétudes renouvelées sur la façon dont ils sont gérés. En 2016, il a dirigé un grand groupe d’informaticiens qui a exhorté la démocrate Hillary Clinton, qui a refusé, puis la candidate du Parti vert Jill Stein à exiger le recomptage des votes exprimés dans plusieurs États pour s’assurer que les résultats rapportés — des victoires étroites pour Donald Trump — étaient exacts. Cela a conduit à des semaines de drame qui ont saigné après Thanksgiving et ont inclus un recomptage complet dans le Wisconsin et un dépouillement partiel dans le Michigan avant que les tribunaux de l’État ne l’arrêtent.
Dans le Michigan, les recomptages dans de nombreuses circonscriptions de Detroit étaient impossibles parce que les agents de scrutin n’avaient pas stocké les bulletins de vote papier et que le tabulateur comptait correctement. Depuis lors, dit Rollow, l’Assemblée législative a fourni des fonds de contrepartie aux juridictions cherchant à remplacer les tabulateurs plus anciens et plus vulnérables, et le bureau de Benson a mis l’accent sur la formation sur la façon de gérer le matériel électoral après le jour du scrutin.
De plus, le RLA attendu est un gros problème. Un audit limitant les risques est un processus par lequel un certain nombre de bulletins de vote sont sélectionnés au hasard pour une vérification manuelle. Si les résultats se situent dans une petite marge d’erreur par rapport aux résultats rapportés par le nombre de machines, les statisticiens déterminent que le nombre de machines est exact et qu’il n’y a aucune preuve de fraude généralisée. Si les résultats sont décalés, plus de bulletins sont comptés à la main au hasard jusqu’à ce que les résultats correspondent au résultat de la machine ou jusqu’à ce que tous les bulletins soient comptés à la main. Un tel audit est moins coûteux et plus rapide que d’aller directement à un recomptage complet.
Le Michigan a mené sa première RLA à l’échelle de l’État — la plus grande jamais réalisée aux États—Unis – à titre d’expérience après les primaires présidentielles du 10 mars. Les représentants de l’État ont lancé les dés pour décider quels bulletins de vote 669 de 277 juridictions seraient échantillonnés au hasard et ont constaté que les résultats « reflétaient les résultats officiels des élections de l’État dans un intervalle de 1 point de pourcentage pour les principaux candidats à chaque primaire, suggérant que si un audit réel avait été effectué, le résultat de l’élection aurait probablement été confirmé », a annoncé un communiqué de presse. « Un ALR pour l’élection présidentielle de novembre serait une source supplémentaire majeure de légitimité et d’intégrité », a déclaré Halderman.
De nombreux risques subsistent
Cela ne veut pas dire que Halderman ne se préoccupe pas du Michigan. Un incident révélateur en juin 2019 est une raison importante.
Mon association de propriétaires dans le comté de Washtenaw a tenu sa réunion des membres dans la salle de réunion du canton Supérieur où, de manière choquante, les tabulateurs des bulletins de vote du canton étaient assis sans protection à l’arrière de la salle. Sentant un risque majeur pour la sécurité, j’ai envoyé un courriel à Halderman, et 15 minutes plus tard, lui et ses étudiants diplômés sont venus prendre des photos. Personne n’a touché les machines, mais Halderman dit qu’un attaquant aurait facilement pu infecter l’une des tabulatrices avec un virus indétectable modifiant le vote. De plus, lorsque ces tabulateurs se sont mis en ligne pour transférer les décomptes des votes au comté, s’ils avaient été piratés, un virus aurait pu entrer dans le système à l’échelle du comté, puis dans le système de l’État, dit-il.
« Cet équipement est censé être stocké en toute sécurité entre les élections, et si ce n’est pas le cas, il serait beaucoup plus facile pour un attaquant d’avoir ce type d’accès physique pour altérer la programmation à l’intérieur de la machine », explique Halderman. « Bien sûr, nous ne l’avons pas fait. Mais si les étudiants que j’ai amenés avec moi et moi étaient des agresseurs criminels, nous aurions pu reprogrammer ces machines pour qu’elles trichent lors des courses suivantes. Il serait très, très difficile pour les responsables électoraux de dire que cela s’est produit. »
Personne du canton de Superior n’a répondu aux appels pour commentaires.
L’incident reflète également pourquoi Halderman n’est pas tout à fait à l’aise avec le vote du Michigan. Le système électoral de l’État est tellement décentralisé que la défense de la démocratie en première ligne est laissée aux employés des cantons qui manquent souvent d’imagination pour comprendre comment une approche lacunaire dans leur bureau pourrait saper la confiance de toute une nation. Il y a souvent un « grand décalage entre la prise de conscience par les responsables électoraux que les élections sont confrontées à des risques de cybersécurité et leurs propres évaluations de la sécurité de leurs propres juridictions locales », explique Halderman.
Halderman est heureux que la sécurité électorale soit enfin prise plus au sérieux, bien que lui et d’autres soient troublés par les affirmations répétées et fausses du président Trump selon lesquelles les bulletins de vote par correspondance « sont très dangereux pour ce pays à cause des tricheurs. »Alors que Halderman note qu ‘ »une grande partie de tous les cas documentés de fraude électorale qui sont poursuivis aux États-Unis sont liés aux bulletins de vote par correspondance », il affirme que c’est parce que ces attaques sont exceptionnellement faciles à détecter et à déjouer.
Rollow accepte: » Il ne s’agit pas seulement d’avoir accès au courrier de quelqu’un et à tout cela, mais d’avoir accès à sa signature; il faut pouvoir le copier correctement. Le risque que quelqu’un prendrait pour faire cela et la difficulté qu’il aurait à divertir pour le faire à n’importe quelle échelle pour faire une différence dans une grande élection, cela ne se fait pas vraiment. C’est pourquoi il est si rarement tenté. »
Le plus gros problème du vote par courrier, Halderman et Byrum sont d’accord, est que les responsables des élections ne sont peut-être pas prêts à gérer la vague massive de bulletins de vote par correspondance attendue cette année. Byrum et d’autres ont demandé à la Législature du Michigan de permettre aux greffiers de comté de traiter les bulletins de vote — c’est—à-dire de les retirer de leurs enveloppes, de faire correspondre les signatures et de les préparer pour les tabulateurs – avant le jour du scrutin.
« Si la Législature n’agit pas, ce ne sera peut-être pas tard dans la nuit, mais tard le matin et peut-être tard l’après-midi », dit Byrum. « Les graines de doute peuvent facilement être semées plus il faut de temps pour que les résultats sortent. »
C’est exactement ce que Halderman a passé une carrière à s’inquiéter. S’il croit que les Michiganais peuvent avoir confiance que leurs votes électoraux iront au bon candidat à la présidence, il s’inquiète également.
« Nos systèmes électoraux ne sont toujours pas, dans l’ensemble, conçus pour produire des preuves que les gens peuvent examiner afin de gagner en confiance dans les résultats », dit-il. « Ce sera probablement un combat assez bruyant pour la confiance du public en novembre. »