Microsoft ElectionGuard : interview de Tom Burt Corporate Vice President, Customer Security & Trust Juillet 2019



Vous trouverez ci-dessous une interview assez intéressante de Tom Burt – Corporate Vice President, Customer Security & Trust datée du 17 Juillet 2019 ou il évoque les programmes et les actions de Microsoft pour permettre la sécurisation des systèmes de vote électronique aux Etats Unis.

« À partir d’aujourd’hui, au Forum sur la sécurité d’Aspen, nous présentons le premier système de vote utilisant Microsoft ElectionGuard pour illustrer la manière dont ElectionGuard peut permettre une nouvelle ère de vote sécurisé et vérifiable. La démonstration montre comment il est également possible de rendre le vote plus accessible aux personnes handicapées et plus abordable pour les collectivités locales tout en augmentant la sécurité. Il n’a jamais été aussi important de trouver de nouveaux moyens de faire en sorte que les électeurs puissent avoir confiance dans le processus électoral. Les démocraties du monde entier sont toujours attaquées, comme le montrent clairement les nouvelles données que nous partageons aujourd’hui. ElectionGuard et la gamme d’offres du programme Defending Democracy de Microsoft, ainsi que les outils d’autres acteurs du secteur technologique et du monde universitaire sont plus que jamais nécessaires pour aider à défendre la démocratie.

Commençons par un bref aperçu des dernières données dont nous disposons. Au cours de l’année écoulée, Microsoft a informé près de 10 000 clients qu’ils avaient été ciblés ou compromis par des attaques d’États nations. Environ 84 % de ces attaques ont visé nos entreprises clientes et environ 16 % ont visé les comptes de messagerie personnels des consommateurs. Bien que nombre de ces attaques n’aient aucun lien avec le processus démocratique, ces données montrent à quel point les États-nations continuent de s’appuyer sur les cyberattaques comme outil pour obtenir des renseignements, influencer la géopolitique ou atteindre d’autres objectifs.

La majorité des activités des États-nations au cours de cette période provenaient d’acteurs de trois pays : l’Iran, la Corée du Nord et la Russie. Nous avons vu une activité importante des acteurs que nous appelons Holmium et Mercure opérant depuis l’Iran, Thallium opérant depuis la Corée du Nord, et deux acteurs opérant depuis la Russie que nous appelons Yttrium et Strontium. Ces données ont été compilées par le Centre de renseignements sur les menaces de Microsoft qui travaille chaque jour pour suivre ces menaces mondiales. Nous intégrons ces renseignements dans nos produits de sécurité pour protéger nos clients et les utilisons pour soutenir nos efforts visant à perturber les activités des acteurs de la menace par des actions en justice directes ou en collaboration avec les services répressifs. Mais soyons clairs : les cyberattaques restent un outil et une arme importants dans le cyberespace. Dans certains cas, ces attaques semblent être liées aux efforts en cours pour s’attaquer au processus démocratique.

Depuis le lancement de Microsoft AccountGuard en août dernier, nous avons découvert des attaques visant spécifiquement des organisations qui sont fondamentales pour la démocratie. Nous avons progressivement étendu AccountGuard, notre service de notification des menaces pour les campagnes politiques, les partis et les organisations non gouvernementales (ONG) axées sur la démocratie, à 26 pays sur quatre continents. Bien que ce service soit relativement nouveau, nous avons déjà effectué 781 notifications d’attaques d’État-nation visant des organisations participant à AccountGuard. Ces données montrent que les organisations axées sur la démocratie aux États-Unis devraient être particulièrement concernées, car 95 % de ces attaques ont visé des organisations basées aux États-Unis. Par nature, ces organisations sont essentielles à la société mais disposent de moins de ressources pour se protéger contre les cyberattaques que les grandes entreprises.

Un grand nombre des attaques axées sur la démocratie que nous avons vues récemment visent des ONG et des groupes de réflexion, et reflètent un schéma que nous avons également observé au début de certaines élections précédentes. Dans ce contexte, la multiplication des attaques contre les ONG et les groupes de réflexion qui travaillent en étroite collaboration avec les candidats et les partis politiques, ou qui s’intéressent à des questions essentielles pour leur campagne, est un signe avant-coureur d’attaques directes contre les campagnes et les systèmes électoraux eux-mêmes. Nous avons vu de telles attaques lors de l’élection présidentielle américaine de 2016 et lors de la dernière élection présidentielle française. En 2018, nous avons annoncé des attaques visant, entre autres, les principaux candidats aux élections sénatoriales américaines et les groupes de réflexion associés aux questions clés de l’époque. Plus tôt cette année, nous avons vu des attaques visant des ONG axées sur la démocratie en Europe à l’approche des élections européennes. À l’approche des élections de 2020, étant donné à la fois la large dépendance des États-nations aux cyberattaques et l’utilisation de celles-ci pour cibler spécifiquement les processus démocratiques, nous prévoyons que nous verrons des attaques visant les systèmes électoraux américains, les campagnes politiques ou les ONG qui travaillent en étroite collaboration avec les campagnes.

Le problème est donc bien réel et ne connaît pas de répit. Il est temps de trouver des solutions. Les gouvernements et la société civile ont un rôle important à jouer, mais l’industrie technologique a également la responsabilité d’aider à défendre la démocratie. Dans le cadre de notre contribution à Microsoft, nous pensons qu’ElectionGuard sera un outil important pour protéger le processus de vote et pour garantir que tous les électeurs puissent avoir confiance dans l’issue d’élections démocratiques libres. Nous sommes ravis que les participants au Forum sur la sécurité d’Aspen puissent essayer notre démo d’ElectionGuard. Bien qu’ElectionGuard puisse fonctionner sur toute une gamme de systèmes de vote nouveaux ou existants utilisant du matériel provenant de divers fabricants, la démo que nous présentons cette semaine a été réalisée à l’aide d’une tablette Microsoft Surface en mode kiosque, d’un contrôleur adaptatif Xbox comme périphérique d’entrée accessible en option et d’une imprimante standard.

Notre démo d’ElectionGuard présentera trois caractéristiques principales.

Premièrement, les gens pourront voter directement sur l’écran de la tablette Microsoft Surface ou en utilisant le Xbox Adaptive Controller, que Microsoft a initialement construit en partenariat étroit avec des organisations comme la Cerebral Palsy Foundation pour répondre aux besoins des joueurs à mobilité réduite. Nous espérons que cela permettra de montrer à la communauté comment le matériel d’accessibilité peut être intégré de manière sûre et peu coûteuse dans les principaux systèmes de vote et ne nécessite plus de machines de vote séparées pour répondre aux besoins des personnes handicapées, ce qui, en fin de compte, permettra à un plus grand nombre de personnes de voter plus facilement.

Ensuite, les personnes utilisant la démo recevront un code de suivi qui, une fois le vote terminé, leur permettra d’entrer dans un site web pour confirmer que leur vote a été compté et n’a pas été modifié ; le site web n’affichera pas leurs votes réels. Dans le kit de développement logiciel (SDK) ElectionGuard, cette fonction de vérification sera activée par un cryptage homomorphe, qui permet d’effectuer des procédures mathématiques – comme le comptage des votes – tout en conservant les données des votes réels des personnes entièrement cryptées. L’utilisation du cryptage homomorphe dans les systèmes électoraux a été lancée par Microsoft Research sous la direction du cryptographe principal Josh Benaloh. Ce code de suivi est une caractéristique essentielle de la technologie ElectionGuard. Pour la première fois, les électeurs pourront vérifier de manière indépendante et avec certitude que leur vote a été compté et n’a pas été altéré. Il est important de noter que dans sa forme finale, le SDK ElectionGuard permettra également aux responsables du scrutin, aux médias ou à toute autre partie tierce d’utiliser une application de « vérification » pour confirmer de la même manière que le vote crypté a été correctement compté et n’a pas été altéré.

Troisièmement, la démo montrera comment ElectionGuard peut permettre pour la première fois des élections vérifiables de bout en bout tout en conservant la familiarité et la certitude des bulletins de vote sur papier. La démo fournira aux électeurs un enregistrement imprimé de leur vote, qu’ils pourront vérifier et placer dans une urne physique, la vérification par le biais du portail web servant de couche supplémentaire de sécurité et de vérifiabilité.

ElectionGuard est gratuit et open-source et sera disponible sur GitHub en tant que SDK plus tard cet été. La démo de cette semaine n’est qu’un échantillon des nombreuses façons dont ElectionGuard peut être utilisé pour améliorer le vote, et le SDK final permettra également des fonctionnalités telles que les audits de limitation des risques pour comparer les bulletins de vote avec le décompte des voix et d’autres audits post-électoraux.

Nous ne distribuerons pas de systèmes de vote commerciaux comme celui que nous démontons cette semaine, mais nous nous associons à la communauté des fournisseurs de technologies électorales qui servent déjà les gouvernements des États et des collectivités locales. Nous avons déjà annoncé que nous avons des partenariats avec des fournisseurs qui construisent et vendent plus de la moitié des systèmes de vote utilisés aux États-Unis aujourd’hui. Aujourd’hui, nous sommes ravis d’annoncer que nous nous associons également à Smartmatic et Clear Ballot, deux des principaux fournisseurs de technologies de vote, et que Dominion Voting Systems étudie activement l’inclusion d’ElectionGuard dans son offre.

Dans les prochains mois, nous annoncerons également de nouveaux détails sur notre partenariat avec les Columbia World Projects de l’université de Columbia. Les professeurs de Columbia en statistiques, sciences politiques, informatique et affaires internationales et publiques s’associeront à Microsoft pour donner vie à ElectionGuard en pilotant cette technologie lors des élections de 2020.

Aucune solution ne peut à elle seule faire face aux cyberattaques des États-nations. Comme nous l’avons vu, les attaquants prendront n’importe quelle voie pour obtenir des renseignements et perturber le processus démocratique. C’est pourquoi le programme Defending Democracy de Microsoft a également proposé Microsoft 365 for Campaigns et AccountGuard pour protéger les campagnes politiques, les partis et les ONG axées sur la démocratie, et c’est pourquoi nous nous sommes associés à NewsGuard pour nous défendre contre la désinformation.

Dans le même temps, aucune entreprise ne peut à elle seule s’attaquer à ces problèmes, et la nécessité de protéger la démocratie est plus importante que la concurrence des entreprises. Nous saluons les contributions similaires d’entreprises comme Twitter, Facebook et Google ; c’est également la raison pour laquelle le programme Defending Democracy de Microsoft soutient les efforts d’entreprises comme le Belfer Center de la Kennedy School of Government de Harvard, les Columbia World Projects de l’université de Columbia, les recherches en cours à l’université de Princeton et le Computational Propaganda Project de l’Oxford Internet Institute.

Lors du forum sur la sécurité d’Aspen et dans les mois à venir, nous devons avoir une conversation honnête sur les menaces, mais surtout sur tous les nouveaux outils disponibles pour les arrêter. Microsoft et notre programme « Defending Democracy » s’engagent à assumer leur responsabilité envers les États-Unis et les autres démocraties du monde en fournissant des outils et des technologies pour combattre ces menaces. En lisant ce billet et en participant aux discussions du Forum sur la sécurité d’Aspen en personne ou par le biais des médias sociaux, j’espère que vous réfléchirez de la même manière aux problèmes et aux solutions. »

Article original : https://blogs.microsoft.com/on-the-issues/2019/07/17/new-cyberthreats-require-new-ways-to-protect-democracy/

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s