Il s’agit des élections présidentielles américaines sur lesquelles est apparu un doute lié à des possibilités de hacking ou de diffusion de malwares dans les systèmes de vote électronique.

« Hâtez-vous lentement et, sans perdre courage, vingt fois sur le métier remettez votre ouvrage ». Cette maxime de Boileau, les organisateurs de l’élection présidentielle américaine devraient la mettre à exécution sans aller jusqu’à vingt fois mais au moins deux fois pour vérifier les résultats. Un groupe de professeurs d’informatique et d’avocats menés par Alex Halderman, directeur du centre sécurité informatique et société de l’Université du Michigan et l’avocat John Bonifaz pousse Hillary Clinton à demander un recomptage des voix, en particulier dans trois états (le Wisconsin, le Michigan et la Pennsylvanie) car ils n’excluent pas l’idée que les élections dans ces trois états aient été hackées ou manipulées.

La position d’Alex Halderman, un expert sur la sécurité reconnu, est simple (Want to Know if the Election was Hacked? Look at the Ballots) : les machines à voter présentent des failles de sécurité qui les exposent au hacking, Il n’y a pas d’évidence que les machines dans ces états aient été réellement hackées mais un doute existe et le meilleur moyen de le lever est de vérifier les résultats. Le problème que le recomptage ne sont pas automatiques ni prévus par la loi. Toutefois, la plupart des Etats autorise les candidats à demander un recomptage mais à leur frais lorsque l’écart dépasse un certain écart. Dans le Wisconsin par exemple, cet écart est fixé à 0,5 %.  La date limite pour engager une telle opération : vendredi 25 pour le Wisconsin, Lundi 28 pour la Pennsylvanie et mercredi 30 pour le Michigan. Hillary Clinton n’a pas encore indiqué ce qu’elle allait faire, en revanche la candidate verte Jill Stein a déclaré avoir récolté 2 millions de dollars pour l’initier.

Petit retour en arrière. Définies dans la Constitution américaine, les élections présidentielles sont indirectes. Les citoyens votent pour des grands électeurs par Etats. Chaque état se voit allouer un nombre de grands électeurs – sur un total de 538 – révisé après le recensement, également prévu tous les dix ans par la Constitution. Ainsi selon le dernier recensement, la Californie s’est vue attribuée 55 grands électeurs, le Delaware, le Vermont et le Wyoming trois. Chaque état – sauf le Maine et le Nebraska – utilise la règle du Winner takes All c’est-à-dire qu’une majorité de voix populaires dans un état conduit à donner la majorité des grands électeurs à un grand candidat. Pour être élu, il faut donc obtenir les voix d’au moins 270 grands électeurs (la majorité plus une, l’égalité parfaite est possible auquel cas c’est la chambre des représentants qui élit le président). Sachant que la tradition veut que les grands électeurs déposent le mandat pour lequel ils ont été élu mais ils n’y sont pas obligés. Cette situation est déjà intervenue. Pour la présente élection, 6 grands électeurs (ils sont baptisés faithless electors) ont prévenu qu’ils ne voteraient pas pour Donald Trump.  Le vote des grands électeurs est prévu le 19 décembre prochain.

Autre phénomène : certains états sont solidement ancrés d’un côté ou de l’autre des deux partis (démocrate ou républicain), d’autres oscillent selon les élections, c’est ce qu’on appelle les Swing States. De quelle sorte qu’une très légère majorité dans certains états peut donner les 270 grands électeurs. Une des faiblesses de ce système qui conduit les candidats à porter leur attention sur quelques états. Inutile  pour Hillary Clinton d’aller par exemple en Californie où elle a recueilli 62 % des voix ou à Donald Trump de labourer les terres de Virginie occidentale, il y a récolté 68 % des suffrages.  Ce système est aussi une grande faiblesse du point de vue de la cybersécurité car il permet aux hackers de concentrer leurs efforts sur ces mêmes états pour un résultat maximal.

C’est exactement ce qui est arrivé dans les trois états mentionnés par Alex Halderman où Donald Trump récupère les 46 grands électeurs pour un résultat final de 306 contre 232 alors qu’il n’a bénéficié que d’une très faible majorité : 10 000 voix dans le Michigan (4,8 millions d’électeurs), 22 000 voix dans le Wisconsin (2,9 millions d’électeurs) et 70 000 voix en Pennsylvanie (6 millions d’électeurs). Il n’est pas trop éloigné de la vérité d’affirmer que 100 000 électeurs sur 134 millions ont décidé du résultat. Le débat fait d’autant plus rage que dans les derniers comptages, Hillary Clinton aurait recueilli plus de 2 millions de plus que son opposant. Il s’inscrit aussi dans un contexte de présomption d’hacking par des puissances étrangères. La Russie est fortement suspectée d’avoir essayé de manipuler les élections d’Ukraine en 2014 ou d’avoir attaqué le système de messagerie électronique du parti démocrate pendant l’été.

24-elections-us1

Sur quoi se fondent les experts en sécurité pour étayer leur jugement ? Ils constatent certaines irrégularités statistiques dans ces états. Dans le Wisconsin par exemple, Hillary Clinton a recueilli 7 % de voix de moins dans les comtés utilisant des systèmes de votes électroniques que dans ceux qui font appel à des bulletins papiers ou des scanners optiques. Ces écarts doivent être étudiés précisément car de fortes variations sont possibles d’un comté à l’autre.

Ce questionnement intervient après le lamentable épisode de 2000 et de l’élection en Floride. De nombreux Etats ont investi dans des systèmes de vote électroniques, notamment des systèmes à écran tactile qui enregistrent les votes directement. Une grande erreur selon les spécialistes. En 2006, Alex Halderman faisait partie d’une équipe de chercheurs de l’université de Princeton qui ont montré combien il était facile de hacker ces machines pour produire des résultats non conformes. Suite à cette mise en garde, certains états se sont alors tourné vers des systèmes de lecture optique de bulletins papier. Ce qui ne résout par tout car au final le comptage des voix est réalisé par un ordinateur. Avec les systèmes électroniques, il est techniquement aussi facile de modifier le résultat de 0,3 % que de 3 %. Mais des aberrations importantes seraient évidemment plus faciles à détecter.

Les machines à voter ne sont pas connectées à Internet, elles ne peuvent pas être attaquées directement. Toutefois, explique Alex Halderman, juste avant le jour du vote, les organisateurs des élections copient le format du bulletin à partir d’un PC dans un bureau de l’administration avant de le stocker sur un média amovible (de type clé USB ou SD Card) pour le charger dans chaque machine à voter. Ce PC n’est certainement pas bien sécurisé et peut donc être la cible de possibles attaques et être infecté par un malware qui peut ensuite être transmis aux machines de vote électronique. La bonne nouvelle avec les machines à lecture optique, poursuit-il, est qu’il est possible d’opérer une vérification manuelle des résultats. Il n’est d’ailleurs pas impératif de les recompter tous, des analyses de lots peuvent suffire. Le comptage dans les états du Michigan et du Wisconsin serait facile dans la mesure où ils utilisent des machines à lecture optique de bulletins papier. La Pennsylvanie utilise un mix de systèmes manuels et électroniques.

Hillary Clinton va-t-elle engager un recours ? C’est loin d’être sûr car il alimenterait les théories complotistes et remettrait en cause les fondements de la démocratie. Les résultats des élections 2016 devraient, a minima, engager une réflexion sur les technologies utilisées pour les élections et sur ce système de vote indirect basé sur les grands électeurs.