Qu’est-ce qui vient de se passer? Le système électoral américain est la cible de pirates informatiques parrainés par des États étrangers depuis des années. Maintenant, une proposition bipartite tente d’introduire des exigences de sécurité plus strictes grâce à des procédures de test d’intrusion certifiées.
Un projet de loi présenté par les sénateurs Mark R. Warner (D-VA) et Susan Collins (R-ME) veut renforcer la cybersécurité de l’infrastructure numérique électorale américaine, en fournissant de nouvelles exigences de test pour les machines à voter passant par le processus de certification par l’élection Commission d’assistance (CAE).
Le projet de loi, qui porte le surnom de SECURE IT ou Strengthening Election Cybersecurity to Uphold Respect for Elections through Independent Testing, souhaite que les machines à voter soient soumises à une procédure de test de pénétration appropriée et certifiée.
La réglementation actuelle en vertu de la loi Help America Vote Act (HAVA) exige que l’EAC fournisse des tests et une certification, une décertification et une recertification du matériel et des logiciels du système de vote par l’intermédiaire de laboratoires accrédités, ont déclaré les deux sénateurs. Pourtant, HAVA n’exige toujours pas explicitement de procédures de pentest pour les systèmes de vote numérique.
Un contrôle de sécurité approfondi des configurations matérielles et logicielles utilisées dans les procédures de vote est essentiel pour rassurer les citoyens américains et les élus quant à l’intégrité du processus électoral, a déclaré le sénateur Collins. a dit. Après tout, les experts en sécurité et les hackers « chapeaux blancs » testent eux-mêmes les machines à voter depuis des années, découvrant des vulnérabilités dangereuses et identifiant les acteurs parrainés par l’État (de Russie, d’Iran ou d’ailleurs) qui travaillent activement pour saper les élections américaines.
Le projet de loi proposé modifierait la réglementation actuelle de la HAVA, en mettant en place un programme de divulgation volontaire des vulnérabilités (programme coordonné de divulgation des vulnérabilités) dans le cadre duquel les pirates et les chercheurs éthiques et «approuvés» auraient accès aux systèmes de vote commerciaux fournis par les fabricants. Les vulnérabilités trouvées dans les systèmes seraient divulguées auxdits fabricants et à l’EAC, gardant les failles secrètes pendant 180 jours pour donner aux développeurs suffisamment de temps pour résoudre les problèmes.
Selon le sénateur Warner, si les États-Unis veulent vaincre leurs adversaires, « nous devons être capables de penser comme eux ». Le SECURE IT Act permettrait aux chercheurs de se mettre à la place des cybercriminels en découvrant des vulnérabilités et des failles qui pourraient ne pas être trouvées autrement. Les menaces étrangères et nationales continuent de viser la démocratie américaine, a déclaré Warner, et une nouvelle législation à jour conçue pour exploiter la « pratique critique de cybersécurité » du pentesting white hat aidera le gouvernement fédéral à protéger l’infrastructure électorale américaine.