Dans un communiqué de presse, le CNRS explique que l’un de ses chercheurs a découvert une faille de sécurité dans le système de vote en ligne du parlement à Moscou.
Le 8 septembre, les Moscovites éliront le nouveau parlement de la capitale russe. Ils auront accès au vote électronique. Conscientes des risques en termes de cybersécurité, les autorités locales ont lancé un concours. Elles publient chaque jour des données chiffrées correspondant à des votes factices et une clé publique. Ainsi, les hackers et les spécialistes peuvent tester la qualité du chiffrement.
Dans un communiqué de presse, l’université de Lorraine et le CNRS ont assuré qu’un cryptographe français, Pierrick Gaudry, chercheur du CNRS au sein du Laboratoire lorrain de recherche en informatique et ses applications, a découvert une faille de sécurité dans ce système de vote.
Selon le spécialiste du CNRS, l’objectif était de déchiffrer les données en moins de 12 heures, le temps que durera l’élection en septembre prochain. Pour protéger les bulletins électroniques, les autorités moscovites ont utilisé une variante du cryptosystème ElGamal associée à une blockchain inspirée de l’Ethereum.
Le chercheur du CNRS pirate le système de vote en ligne en 20 minutes
Pierrick Gaudry estime que les clés de chiffrement employées, d’une longueur de 256 bits, sont trop petites. Selon lui, il suffit de 20 minutes à l’aide d’un ordinateur classique et d’un logiciel libre pour venir à bout de la clé privée. Le chercheur affirme qu’un hacker pourrait le faire en 10 minutes seulement. De la sorte, un pirate informatique “aurait été en mesure de suivre les résultats de l’élection russe en direct”, selon le communiqué de presse du CNRS. Le compte de vote en direct est illégal. Il faut attendre la fin de l’élection.
Avant de publier la conclusion de ses recherches le 8 août dernier, le cryptographe a prévenu les responsables du concours. Les autorités moscovites l’ont contacté pour lui indiquer qu’il recevra une récompense de 13 500 euros pour ses travaux. Elles ont reconnu que les clés de chiffrement publiques étaient trop courtes et les ont mises à jour en 1024 bits.
Un système qui a subit trop de changements pour être sécuriser à la date butoire
Cela ne suffirait pas selon Pierrick Gaudry. Le système développé par le Département des technologies de l’information de Moscou aurait besoin de clés d’une longueur d’au moins 2048 bits pour être protégé. De plus, le 22 août dernier, le chercheur affirme que le déchiffrement ne repose plus sur un contrat intelligent opéré dans la blockchain. Le 24 août, Alexander Golovnev, cryptographe à l’université d’Harvard, a publié un article expliquant que le système reste vulnérable puisqu’il a trouvé une nouvelle faille dans ce dernier.
Le spécialiste lorrain considère qu’il y a eu trop de changement dans le code à quelques semaines des élections. Il conseille tout simplement de ne pas utiliser le vote électronique dans sa version actuelle.
- Partager l'article :