L'entreprise Voatz, basée dans le Massachusetts, dont l'application blockchain pour les élections américaines présente des risques de sécurité, a récemment été mise au jour et suscite de vives critiques de toutes parts.
Voatz promeut une application de vote mobile basée sur la blockchain qui, selon des enquêtes, présente de nombreuses failles de sécurité et a donc suscité de nombreuses critiques publiques, notamment en ce qui concerne la sécurité des données.
Il est d'autant plus important de maîtriser ces problèmes de sécurité que la semaine des élections approche aux États-Unis. Le rapport d'audit sur la sécurité de l'application électorale américaine comprend une analyse de sécurité de 122 pages, complétée par 78 pages consacrées à la modélisation des menaces.
Risques de sécurité liés à l'application électorale américaine : Voatz n'a pas besoin de blockchain ?
La technologie blockchain utilisée par Voatz ne s'étend pas au client mobile, ce qui crée des risques pour la sécurité de l'application électorale américaine.
L' trac de cette application blockchain réside dans le fait qu'elle ne requiert aucune confiance de la part des électeurs, puisqu'il s'agit d'un système décentralisé ; cependant, Voatz n'étend pas ce principe au grand public. Voatz utilise une blockchain Hyperledger comme journal d'audit. Cette technologie blockchain n'est pas à la pointe du progrès, car une base de données dotée d'un journal d'audit peut tout aussi bien remplir cette fonction.
Le rapport d'audit a révélé que le système Voatz ne prévoit aucune solution pour démasquer les électeurs en fonction de la période durant laquelle leur vote a été exprimé via l'application. Voatz affirme utiliser un « mixnet » qui transfère les informations sur la blockchain après leur anonymisation.
Risques liés à la sécurité de l'application électorale américaine : les conclusions du MIT sont confirmées
du Massachusetts Institute of Technology (MIT) ont publié un rapport affirmant que la blockchain de Voatz présentait d'importants problèmes de sécurité. Voatz a répondu plus tard dans la journée et a réfuté les affirmations du MIT.
Il s'avère que la réponse de Voatz a été rédigée trois jours après que Bits a vérifié l'omniprésence des vulnérabilités de sécurité auprès du MIT, suite à la réception d'un résumé des problèmes par le département américain de la Sécurité intérieure.
Les projets précédents concernant les risques de sécurité des applications électorales américaines n'étaient-ils pas terminés ?
Il s'agissait du premier rapport à avoir mené une analyse approfondie du système, aboutissant à ces conclusions ; auparavant, de nombreux rapports avaient été réalisés, mais aucun n'était suffisamment exhaustif. Trail of Bits a résumé les rapports précédents comme suit.
Une analyse de sécurité a été menée en 2019 par la NCC, mais comme il s'agissait d'une étude privée, aucun expert technique en sécurité n'a été mobilisé.
En octobre 2018, ShiftState a mené un examen approfondi de l'architecture de la blockchain, du flux de données et des décisions relatives à l'atténuation des menaces ; cependant, cet examen ne comprenait pas la recherche de bogues dans l'application elle-même.
La dernière analyse de sécurité remonte à octobre 2019 et s'est limitée à l'évaluation des ressources cloud et de la vulnérabilité de l'application au piratage. Les rapports précédents, ne comportant pas d'évaluation de la sécurité des serveurs et du système dorsal, étaient donc incomplets.
D'une part, plusieurs États américains envisagent le vote par blockchain. D'autre part, le rapport Trail of Bits indique que ces rapports n'étaient que des documents techniques, et le fait d'avoir négligé ces failles d'évaluation soulève la question de savoir si les élus sont suffisamment compétents pour les interpréter.
