header-logo

Communication marketing basée sur l'intelligence artificielle

Avis de non-responsabilité : le texte affiché ci-dessous a été traduit automatiquement à partir d'une autre langue à l'aide d'un outil de traduction tiers.


L’application de vote Blockchain est dangereusement vulnérable, disent les chercheurs

Feb 23, 2020 11:51 PM ET

Une nouvelle recherche d’une équipe d’ingénieurs du MIT a trouvé une série alarmante de vulnérabilités dans un système de vote blockchain de premier plan appelé Voatz. Après avoir inversé l’application Android de Voatz, les chercheurs ont conclu qu’un attaquant qui compromettait le téléphone d’un électeur serait capable d’observer, de supprimer et de modifier les votes presque à volonté. Les attaques réseau pourraient également révéler où un utilisateur donné votait et potentiellement supprimer les votes dans le processus, affirme le journal.

Plus troublant, les chercheurs disent qu’un attaquant qui a compromis les serveurs qui gèrent l’API Voatz pourrait même être en mesure de modifier les bulletins de vote à leur arrivée, une menace alarmante que les registres distribués devraient théoriquement protéger contre.

“Compte tenu de la gravité des défaillances discutées dans ce document, du manque de transparence, des risques pour la vie privée des électeurs et de la nature triviale des attaques, nous suggérons d’abandonner tout projet d’utilisation de cette application pour des élections à enjeux élevés”, ont déclaré les chercheurs. Conclure.

Conçu pour remplacer les bulletins de vote des absents, le projet de vote de Voatz basé sur la blockchain a été accueilli avec scepticisme par les chercheurs en sécurité, mais l’enthousiasme de nombreux dans le monde de la technologie, recevant plus de 9 millions de dollars en financement de risque. Dans le cadre du système Voatz, les utilisateurs votaient à distance via une application, les identités vérifiées par les systèmes de reconnaissance faciale du téléphone.

Voatz a déjà été utilisé dans un certain nombre d’élections mineures aux États-Unis, recueillant plus de 150 voix aux élections générales de 2018 en Virginie-Occidentale.

Une enquête sur les attaques potentielles sur le système Voatz, comme l’ont résumé les chercheurs du MIT.

Voatz a contesté les conclusions du MIT dans un billet de blog, qualifiant les méthodes de recherche d’«erronées». La principale plainte de l’entreprise est que les chercheurs testaient une version désuète du logiciel client Voatz et n’ont pas tenté de se connecter au serveur Voatz lui-même.

“Cette approche imparfaite invalide toutes les allégations sur leur capacité à compromettre le système global,” le blog peut lire.

Lors d’un appel avec des journalistes, les dirigeants de Voatz ont fait valoir que les protections côté serveur empêcheraient les appareils compromis de s’authentifier au système plus large. “Toutes leurs revendications sont basées sur l’idée que, parce qu’ils étaient en mesure de compromettre l’appareil, ils seraient en mesure de compromettre le serveur”, a déclaré le PDG de Voatz Nimit Sawhney. “Et cette hypothèse est complète ment viciée.”

Le Verge a partagé cette critique avec les chercheurs du MIT qui n’ont pas immédiatement répondu.

Voatz a également mis l’accent sur les mesures qui permettent aux électeurs et aux responsables électoraux de vérifier leurs votes après coup. « Chaque bulletin de vote soumis à l’aide de Voatz produit un bulletin de vote papier », a déclaré Hilary Braseth, chef de produit, « et chaque électeur utilisant Voatz reçoit un reçu de vote une fois qu’ils se soumettent. »

Jusqu’à présent, les experts en sécurité n’ont pas été impressionnés par ces explications. “L’appareil envoie juste des votes à un serveur,” Johns Hopkins cryptographe Matthew Green observé sur Twitter. “Le serveur peut les mettre sur une blockchain, mais cela n’aide pas si l’appareil ou le serveur est compromis. Voatz doit expliquer comment ils font face à cela.

Dans le post, Voatz souligne également son programme de primes bug en cours et des examens réguliers du code comme preuve de la sécurité robuste de l’application – mais certains chercheurs pourraient ne pas être d’accord. En Octobre, la société a été sous le feu des critiques pour avoir fait une référence du FBI sur un incident que les sources ont dit CNN a été originaire d’un cours de sécurité électorale de l’Université du Michigan. D’autres ont critiqué le programme de primes de Voatz comme étant onéreux et hostile aux chercheurs, ce qui pourrait expliquer pourquoi les chercheurs du MIT n’y ont pas participé.

Pourtant, ce n’est pas la première fois que des préoccupations en matière de sécurité sont soulevées au sujet du vote Voatz ou de la blockchain, en général. En novembre, le sénateur Ron Wyden (D-OR) a écrit au Pentagone pour lui faire part de ses préoccupations au sujet de la sécurité de Voatz et demander un audit complet de l’application. La demande a finalement été reportée au département de la Sécurité intérieure.

En réponse au rapport du MIT, Wyden a formulé des critiques sévères. « Les experts en cybersécurité ont clairement indiqué que le vote par Internet n’est pas sûr », a-t-il déclaré dans un communiqué. « Il est grand temps pour les républicains de mettre fin à leur embargo sur la sécurité électorale et de laisser le Congrès adopter des normes de sécurité obligatoires pour l’ensemble du système électoral. »

Contact Information:

Russel Brandom
Tags:   French, United States, Wire