L'entreprise basée dans le Massachusetts, Voatz, la blockchain des risques de sécurité de l'application électorale américaine, a récemment été découverte et suscite la chaleur de toutes parts.
Voatz a fait la promotion d'une application de vote mobile blockchain qui a fait l'objet d'une enquête pour avoir de nombreuses failles de sécurité et a donc suscité de nombreuses critiques du public, et les failles de sécurité sont particulièrement graves en ce qui concerne la sécurité des données.
L'importance de contrôler ces questions de sécurité est d'autant plus importante que la semaine des élections approche aux États-Unis. Le rapport d'audit sur la sécurité de l'application électorale américaine comprend un examen de la sécurité de 122 pages avec 78 pages supplémentaires mettant en évidence les considérations de modélisation des menaces.
Risques pour la sécurité des applications électorales américaines : Voatz n'a pas besoin de blockchain ?
La blockchain utilisée par Voatz ne s'étend pas au client mobile, ce qui crée des risques de sécurité pour les applications électorales américaines.
L' trac de cette application blockchain est qu'elle n'oblige pas les électeurs à faire confiance à qui que ce soit car il s'agit d'un système décentralisé ; cependant, Voatz ne l'étend pas au public. Voatz utilise une blockchain Hyperledger comme journal d'audit. Ce n'est pas une technologie de blockchain de pointe, car cela peut facilement être fait par une base de données avec un journal d'audit.
Le rapport d'audit a révélé que le système Voatz n'offre aucun allégement pour anonymiser les électeurs en fonction de la période pendant laquelle leur vote a été exprimé dans l'application. Voatz affirme qu'il existe un "mixnet" qui dépose les informations sur la blockchain après leur anonymisation.
Risques pour la sécurité des applications électorales aux États-Unis : les conclusions du MIT confirmées
Massachusetts Insitute of Technology - Les chercheurs du MIT ont publié un rapport le 13 février affirmant que la blockchain de Voatz présentait des problèmes de sécurité majeurs auxquels Voatz a répondu plus tard le même jour et a réfuté les affirmations du MIT.
Il s'avère que la réponse de Voatz a été rédigée trois jours après que la piste de Bits a vérifié les vulnérabilités de sécurité d'ubiquité au MIT après avoir reçu un résumé des problèmes par la sécurité intérieure des États-Unis.
Les projets précédents sur les risques de sécurité des applications électorales américaines n'étaient pas terminés ?
Il s'agissait du premier rapport qui menait une enquête en boîte blanche qui conduisait à ces conclusions ; avant cela, de nombreux rapports avaient été réalisés mais n'étaient pas assez complets. Trail of Bits a résumé les rapports précédents comme suit.
Un examen de sécurité a été effectué en 2019 par NCC, mais comme il était privé, il n'y avait pas d'emploi d'experts techniques en sécurité.
En octobre 2018, ShiftState a procédé à un examen approfondi de l'hygiène de l'architecture de la blockchain, du flux de données et des décisions d'atténuation des menaces ; cependant, cet examen n'a pas compté pour la recherche de bogues dans l'application elle-même.
Le dernier examen de sécurité a été effectué en octobre 2019, qui a simplement évalué les ressources cloud et si l'application était piratable ou non. Les rapports précédents n'incluaient pas d'évaluations des problèmes de sécurité du serveur et du back-end, ce qui rendait les rapports précédents incomplets.
D'une part, différents États américains envisagent un vote basé sur la blockchain. Alors que d'un autre côté, le rapport Trail of Bits indique que ces rapports n'étaient que des documents techniques, et l'oubli de ces lacunes d'évaluation soulève la question de savoir si les élus sont suffisamment qualifiés pour lire ces documents.
