Cinq scénarios d'attaque susceptibles de perturber les élections américaines

Le 21 octobre 2020, le FBI a tenu une conférence de presse pour alerter les citoyens américains au sujet de nouveaux éléments faisant état de l'ingérence d'États-nations dans les prochaines élections américaines. En effet, des attaquants auraient obtenu l'accès à des données volées, relatives aux électeurs inscrits, et les utiliseraient pour semer la confusion et même potentiellement intimider ces derniers. Selon le directeur du renseignement national, John Ratcliffe, ces données peuvent être utilisées par des acteurs étrangers pour tenter de communiquer de fausses informations aux électeurs.

Les cyberattaques menées il y a quatre ans ont essentiellement pris la forme de campagnes de désinformation. Toutefois, cette volonté de perturbation et de chaos se manifestera avec une plus grande intensité en 2020 — et elle perdurera bien après le 3 novembre, jour de l’élection. En outre, l’absence persistante de réglementations cohérentes régissant le scrutin et la sécurité dans les États, les villes et même les bureaux de vote locaux, exacerbe ce problème. Sur la base d’une analyse des techniques d’attaque actuellement utilisées et des vulnérabilités inhérentes aux infrastructures gouvernementales et de vote, il existe cinq façons dont les attaquants pourraient chercher à perturber les élections de cette année, à la fois de manière directe et indirecte.

L’ingénierie sociale

Selon le rapport d’enquête de Verizon sur les atteintes à la protection des données, plus de 80% de l’ensemble des violations de données liées au piratage informatique impliquent le vol et l’utilisation d’identifiants dérobés. Les attaquants utilisent des attaques d’ingénierie sociale pour duper des individus dans l’espoir de leur voler leur accès aux systèmes et aux données. La récente attaque contre Twitter en est un excellent exemple : les attaquants ont ciblé un petit groupe d’employés au moyen d’une campagne coordonnée d’ingénierie sociale. Celle-ci a abouti à l’utilisation d’identifiants volés permettant d’obtenir un accès non autorisé à un outil administratif ; ce qui a entraîné la compromission de comptes de personnalités publiques, dont notamment le candidat démocrate à la présidence, Joe Biden. Les gouvernements des États et les collectivités locales chargés de la tenue et de la protection des élections seront par conséquent des cibles de choix. Il suffit d’un seul compte compromis pour qu’un attaquant puisse potentiellement pirater toute l’infrastructure d’une organisation.

Les bénévoles et le personnel de campagne

Les attaques axées sur l’identité seront très probablement utilisées contre les bénévoles engagés dans le processus électoral, y compris le personnel chargé du scrutin. Bien que l’équipe de campagne soit toujours la cible, il n’est pas nécessaire de la viser pour nuire à une élection. Chaque membre du personnel, chaque bénévole et chaque contractant lié à la campagne est susceptible de devenir une menace interne en fonction des données ou des applications auxquelles il a accès. Les cybercriminels en sont conscients et chercheront à exploiter les personnes ayant des accès importants – en ciblant ces individus au moyen d’attaques d’ingénierie sociale visant à leur voler leurs identifiants. Grâce à ces derniers, les attaquants peuvent récupérer des informations et des documents compromettants, utiliser leur droit d’accès pour diffuser des désinformations sur des canaux de confiance - comme les réseaux sociaux et les emails -, ou même bloquer les opérations de campagne en lançant des attaques ciblées par ransomware ou logiciels malveillants.

Les infrastructures critiques

Atlanta. Baltimore. La Nouvelle-Orléans. Des infrastructures de ces trois villes américaines ont été interrompues l’année dernière via des attaques massives par ransomware. Une action coordonnée de cette nature, programmée pour le jour du scrutin, pourrait provoquer un chaos généralisé : fermeture des transports publics rendant difficile pour les électeurs de se rendre aux urnes, panne des systèmes téléphoniques pour empêcher les électeurs de poser des questions ou les bénévoles de communiquer les résultats. Des attaques ciblées de ce type, axées sur les États clés, pourraient faire disparaître des votes critiques susceptibles de modifier le résultat même de l’élection. Les scénarios post-électoraux sont également inquiétants. Des attaques ciblées contre les agences étatiques et locales qui supervisent l’élection peuvent retarder la publication des résultats ou, pire encore, entamer la confiance à leur égard. Au vu de la nature controversée des élections américaines de cette année, les attaques contre les infrastructures critiques, comme le réseau énergétique ou les installations de traitement de l’eau, pourraient aggraver l’agitation sociale et provoquer un nouveau chaos au cours de la période de transition.

Les bases de données électorales

Il s’est avéré que des attaquants avaient réussi à pirater les bases de données électorales de deux comtés de Floride en 2016. Les attaquants ont utilisé la méthode traditionnelle du phishing pour duper des travailleurs peu méfiants et leur voler l’accès aux réseaux. Les bases de données d’inscription des électeurs, qui rassemblent les dossiers des électeurs à l’échelle de l’État, constituent en effet une cible de choix pour les attaquants. Ces bases de données sont généralement connectées à des réseaux pour faciliter le partage de dossiers. Les attaquants peuvent alors chercher à s’y infiltrer afin de manipuler les données qu’elles contiennent. Ensuite, ils pourraient exécuter des opérations simples, comme modifier les informations d’inscription dans des districts ciblés pour rendre le vote plus compliqué. Et si les bulletins de vote par correspondance sont généralement considérés comme sûrs, la volonté de généraliser ce type de scrutin offre de nouvelles possibilités de fraude. Les opérations consistant à modifier les informations relatives aux électeurs peuvent avoir pour effet de modifier le lieu de remise des bulletins de vote, de retarder leur remise ou d’entraver d’une autre manière le processus.

L’émergence de nouveaux types de campagnes de désinformation

Les campagnes de désinformation menées en 2016 sur les réseaux sociaux ont été largement documentées et celles-ci devraient continuer à se multiplier à l’approche du vote en 2020. Ces tactiques sont susceptibles de cibler des sources de confiance, comme des personnalités politiques ou des journalistes, les candidats eux-mêmes ou leur personnel, ou même des responsables politiques et des élus locaux, afin de faire de la propagande. Les attaques axées sur l’identité, conçues pour voler l’accès aux profils de réseaux sociaux, pourraient alors être utilisées pour répandre de la désinformation au moment le plus inopportun. Si les fake news ciblant les candidats se révèlent plus facile à réfuter, les attaquants pourraient aussi diffuser des informations erronées, telles que les lieux et les heures de scrutin ou encore les résultats des élections avant la fermeture des bureaux de vote, ce qui aurait des répercussions sur tous les électeurs.

Si l’on combine ces attaques avec le recours croissant aux deepfakes – soient des images ou des vidéos existantes retouchées dans un but malveillant –, les possibilités de désinformation n’ont jamais été aussi grandes. Nous devons nous attendre à ce que les attaquants continuent à cibler les agences et les sites web gouvernementaux afin de diffuser de la désinformation. Des organisations pourraient être ciblées en vue de promouvoir de fausses actualités liées au Covid-19 le jour des élections, ou avant celui-ci. Les attaquants pourraient, par exemple, empêcher les votes en personne en diffusant de fausses informations sur les foyers de Covid dans les comtés ciblés, ou pousser l’opinion publique à se rallier à telle ou telle campagne en annonçant de faux vaccins, de faux clusters, par exemple. Les attaques pourraient également générer de fausses informations au sujet des votes par correspondance et en personne, ou encore publier des résultats électoraux erronés de manière anticipée pour empêcher la poursuite du vote.

Nombre des attaques mentionnées ci-dessus ont été simulées par des acteurs de la cybersécurité du secteur privé. L’étude de ces attaques nous a appris que l’obtention et l’exploitation d’identifiants à privilèges sont des priorités absolues pour les attaquants. L’accès à privilèges donne en effet aux attaquants la possibilité d’atteindre des systèmes critiques, de diffuser des logiciels de ransomware, de soutirer des informations sensibles, de compromettre les canaux sociaux et bien plus encore. La sécurisation des élections en 2020 et au-delà exige par conséquent l’adoption d’une approche globale qui renforce la sécurité des identités en s’appuyant sur une base solide en matière de gestion des accès à privilèges. Ces mesures permettront de consolider les défenses face à un périmètre d’attaque mouvant de se protéger contre l’évolution des vulnérabilités et de limiter la capacité des attaquants à exploiter les personnes associées aux campagnes.