Élections : quels cyber-risques nous guettent?

40 000, c’est le nombre d’électeurs ayant été touchés par le piratage de la Commission électorale du Royaume-Uni cet été. Les cyberattaquants, qui ont pénétré les serveurs de l’agence pour la première fois en août 2021, auraient profité pendant deux ans d’un accès au système de messagerie courriel, aux systèmes de contrôle et à des copies des listes électorales.

La longévité de l’intrusion et l’absence de revendications de ses perpétrateurs laissent croire qu’il s’agirait d’une campagne de cyber espionnage visant à recueillir des données sur les électeurs britanniques. Bien que l’agence ait indiqué que les électeurs affectés ne courent aucun risque personnel, des experts ont souligné le risque que les données piratées soient utilisées à des fins de désinformation ciblée.

Toujours en août 2023, c’est l’agence électorale de l’Équateur – et nombre d’électeurs – qui payaient les frais de cyberattaques en provenance de sept pays différents. Empêchant plusieurs ressortissants équatoriens vivant à l’étranger de voter en ligne, l’incident a été décrié sur les réseaux sociaux et a même mené à une manifestation en Espagne.

Du côté canadien, Affaires mondiales Canada (ministère chargé de la gestion des relations diplomatiques au niveau fédéral) a signalé, début août 2023, avoir détecté une nouvelle campagne de désinformation visant le député conservateur Michael Chong sur le réseau social chinois WeChat. Fervent défenseur de la cause des Ouïghours, le député avait déjà été visé par une campagne d’intimidation en 2021, révélée en mai par le Globe and Mail.

Failles de sécurité et manque de transparence

Quelques semaines après avoir fait état du cyber incident, la Commission électorale du Royaume-Uni déclarait avoir échoué en 2021 le test Cyber Essentials, un programme volontaire servant à évaluer l’état de préparation d’une organisation face aux cyberattaques. Un échec vivement dénoncé par les experts interrogés par les médias.

« Le fait de ne pas respecter les exigences fondamentales en matière de correctifs indique assez clairement qu’il existe des problèmes plus profonds au niveau de la gestion et de l’investissement dans la sécurité de l’information », constate Steven Murdoch, professeur d’ingénierie de la sécurité à l’University College London.

Le gouvernement équatorien a révélé peu d’informations sur les cyberattaques subies en août 2023. Selon la présidente du conseil électoral Diana Atamaint, les cyberattaques venaient d’Inde, du Bangladesh, du Pakistan, de la Russie, de l’Ukraine, de l’Indonésie et de la Chine. La nature des cyberattaques et les vulnérabilités exploitées par les pirates informatiques n’ont, pour leur part, toujours pas été révélées.

Au Canada, les soupçons d’ingérence chinoise chamboulent la scène politique depuis plusieurs mois. Malgré l’expulsion du diplomate chinois accusé d’avoir orchestré la première campagne d’intimidation envers Michael Chong et sa famille à Hong Kong, plusieurs personnalités politiques et chercheurs ont accusé le Premier ministre canadien Justin Trudeau de laxisme dans cette affaire.

« Il y a beaucoup d’insatisfaction au sein du SCRS (Service canadien du renseignement de sécurité) devant le peu d’actions du gouvernement fédéral. Parce que cela fait plusieurs années qu’ils sonnent l’alarme », affirme Guy Saint-Jacques, ancien ambassadeur du Canada en Chine. Plus tôt ce mois-ci, le Canada a annoncé le lancement d’une enquête publique afin de déterminer si la Chine et d’autres pays ont interféré lors des dernières élections canadiennes.

La gestion des cyber-risques électoraux : une défense multifacette

Ces trois cas témoignent de la variété des cybermenaces pesant sur les institutions, les acteurs et les processus électoraux. Dans plusieurs pays, l’adoption d’outils de technologies de l’information permet d’optimiser les processus et de faciliter le traitement des votes. Cette dépendance croissante envers la technologie accroît toutefois les risques de vol, de sabotage et d’espionnage de données, dont des données sensibles sur les électeurs.

Les partis politiques, qui possèdent quantité de données personnelles d’électeurs dans leurs bases de données, représentent également une cible de choix pour les cyberattaquants désireux de mettre la main sur les informations personnelles des électeurs à des fins financières ou politiques.

Des vulnérabilités dans les systèmes supportant les portails de vote en ligne doivent également être mitigés le plus rapidement possible pour éviter d’empêcher les citoyens, dont ceux basés à l’étranger, d’exercer leur droit de vote.

Quant à l’ingérence étrangère, il s’agit d’un phénomène qui dépasse le cadre des périodes électorales et qui peut avoir des conséquences nuisibles sur la vision de l’intégrité électorale chez les électeurs. Selon plusieurs experts interrogés par Radio-Canada dans la foulée des révélations sur l’ingérence chinoise au pays, la réponse à l’ingérence doit contenir deux volets : des mesures fermes et punitives contre les fautifs, à l’image de celles entreprises par l’Australie après un scandale entourant le sénateur du Parti travailliste Sam Dastyari en 2017. Et la transparence auprès du public, qui devrait être informé rapidement de toute tentative d’ingérence mettant en danger l’intégrité du processus électoral.

Finalement, il serait difficile d’aborder les cyber-risques entourant les élections sans parler des risques accrus de désinformation, notamment les réseaux de bots et les contenus fallacieux propulsés et créés par l’intelligence artificielle. Plus difficilement détectables par les modérateurs des plateformes en ligne, la désinformation facilitée par l’IA risque de s’immiscer encore plus pernicieusement à travers les espaces de dialogue en ligne lors des périodes d’élections.