CNN : L’état de Géorgie ne mettra pas à jour le logiciel vulnérable de Dominion avant les élections de 2024

Les responsables électoraux de l’état de Géorgie sont au courant des vulnérabilités existantes dans le logiciel de vote de l’État depuis plus de deux ans, mais continuent d’insister sur le fait que le système est sûr et qu’il ne sera pas mis à jour avant après 2024, selon un rapport qui a été dévoilé cette semaine dans le cadre d’une affaire judiciaire controversée en Géorgie.

Les conclusions du rapport se concentrent sur les faiblesses du logiciel de certaines machines de vote Dominion ℹ️. Ces faiblesses ont été précédemment vérifiées par des responsables fédéraux de la cybersécurité, qui ont exhorté les responsables électoraux de tout le pays à mettre à jour leurs systèmes.

L’avocat du principal responsable des élections en Géorgie, le secrétaire d’État républicain Brad Raffensperger ℹ️, a récemment déclaré à un tribunal fédéral que les autorités renonceraient à installer les correctifs de sécurité de Dominion jusqu’à la fin de l’élection présidentielle de 2024.

Les responsables électoraux de Géorgie insistent sur le fait qu’il est très peu probable que les vulnérabilités soient exploitées dans le cadre d’attaques réelles. Ces responsables affirment également qu’ils ont déjà mis en œuvre un certain nombre de recommandations de sécurité sans avoir à mettre à jour le logiciel du système.

“La mise à jour du système sera une entreprise de grande envergure, et nos responsables électoraux évaluent l’ampleur du projet et le temps nécessaire à sa réalisation”, a déclaré Mike Hassinger, porte-parole du bureau du secrétaire d’État de Géorgie, à CNN, lorsqu’il a été interrogé sur le retard.

Alors que les autorités fédérales et de l’État ont laissé entendre qu’il était peu probable que ces vulnérabilités puissent être exploitées, le rapport récemment publié souligne que la Géorgie est beaucoup plus dépendante de ce logiciel particulier de Dominion que n’importe quel autre État, ce qui pourrait miner la confiance dans sa capacité à organiser des élections en toute sécurité.

Les autorités géorgiennes ont rejeté la possibilité que ces faiblesses soient exploitées.

“Il est extrêmement improbable qu’un acteur malveillant soit en mesure d’exploiter nos systèmes de vote dans le monde réel. Le système est sûr”, a déclaré Gabriel Sterling, haut responsable des élections au bureau du secrétaire d’État de Géorgie, dans un communiqué de presse publié au début du mois, ajoutant que des mesures de protection sont déjà en place pour “éviter que ces scénarios hypothétiques ne se produisent”.

L’année dernière, Dominion Voting Systems a mis à jour son logiciel en réponse aux scénarios d’attaque décrits par l’auteur du rapport, un informaticien de l’université du Michigan nommé J. Alex Halderman.

Mais la Géorgie n’a pas mis en œuvre le correctif de sécurité recommandé et les responsables de l’État ont déclaré qu’ils attendaient après 2024 pour le faire.

Retarder l’application des correctifs de sécurité jusqu’en 2025 est “pire que de ne rien faire”, a averti M. Halderman, “car cela permet aux adversaires du monde entier de savoir que l’État organisera l’élection présidentielle avec cette version particulière d’un logiciel dont les vulnérabilités sont connues, ce qui leur donne près de 18 mois pour préparer et déployer des attaques”.

Le bureau du secrétaire d’État de Géorgie maintient que les scénarios d’attaque décrits dans le rapport de M. Halderman sont irréalistes, compte tenu de l’accès étendu qui lui a été accordé au matériel de vote et des contrôles de sécurité effectués dans les bureaux de vote le jour de l’élection.

Le rapport publié mercredi a été rédigé il y a deux ans à la demande d’une coalition de défenseurs de l’intégrité des élections qui, depuis des années, intentent un procès au bureau du secrétaire d’État de Géorgie au sujet de sa dépendance à l’égard des systèmes de vote électronique de Dominion.

Le rapport a été placé sous scellés par un juge “compte tenu des graves problèmes de sécurité électorale” soulevés par sa publication potentielle, selon les documents du tribunal.

Au début du mois, cependant, le juge a décidé que le rapport pouvait être levé, estimant que les expurgations proposées par le plaignant “géraient de manière appropriée le risque pour la sécurité des élections tout en faisant progresser la sécurité grâce à la transparence”, selon les documents du tribunal.

Le rapport a été déposé au greffe mercredi, le rendant ainsi accessible au public pour la première fois.

Un rapport distinct commandé par Dominion et réalisé par Mitre Corp ℹ️, un laboratoire de recherche à but non lucratif, a révélé que cinq des scénarios d’attaque de Halderman étaient “non extensibles”, ce qui signifie qu’ils auraient “un impact sur un nombre statistiquement insignifiant de votes sur un seul appareil à la fois”.

Le sixième scénario d’attaque a été compensé par les contrôles d’accès aux bureaux de vote, selon le rapport.

Ce rapport supplémentaire, précédemment sous scellé, sera également mis à la disposition du public.

Un porte-parole de Dominion a renvoyé CNN au rapport Mitre, en particulier à sa conclusion selon laquelle les attaques de Halderman sont “infaisables d’un point de vue opérationnel”.