Un groupe de journalistes a découvert une vulnérabilité dans le système basé sur la blockchain utilisé pour la récente enquête russe. En particulier, le bogue entraînerait le déchiffrement des notes des utilisateurs.
Le rapport des médias russes Meduza
Mercredi, dernier jour de vote sur les amendements constitutionnels, les médias russes Meduza ont publié des recherches montrant que les clés du déchiffrement des votes pouvaient être récupérées à l'aide du code HTML du vote électronique.
La semaine dernière, le pays a voté pour décider d'approuver ou de rejeter les modifications de la constitution russe, dont la plus frappante a levé la restriction de deux mandats pour les présidents en exercice, permettant effectivement à Vladimir Poutine de se présenter aux élections jusqu'à à 2036.
Dans deux parties du pays, Moscou et la région de Nijni Novgorod, les gens ont eu la possibilité de voter par voie électronique. Leurs marques ont été enregistrées sur le système de blockchain basé sur Exonum créé par le Département des technologies de l'information de Moscou avec l'aide de Kaspersky Lab.
Selon les conclusions de Meduza, les évaluations ont été cryptées à l'aide de la bibliothèque de cryptographie TweetNaCl.js. Cela fournit un algorithme déterministe, dans le sens où avec des données d'entrée similaires, le système génère la même clé de chiffrement qui est utilisée à la fois pour coder et pour décoder le vote.
Meduza affirme avoir trouvé indépendamment les deux clés universellement utilisées pour coder les votes "oui" et "non". Cela a permis à son équipe de décoder les données de vote, qui ont été publiées dans des fichiers CSV par le Département des technologies de l'information au fur et à mesure du déroulement du vote.
Cette transparence visait à aider les observateurs indépendants à vérifier l'exactitude du dépouillement des votes, mais pourrait également être utilisée pour vérifier la façon dont les gens ont voté, créant les conditions dans lesquelles certains se sont sentis obligés de voter dans un certain chemin dans l'enquête, a écrit Meduza.
Doutes de la BBC et attaque d'un pirate informatique lors du vote
La BBC avait précédemment rapporté que les sociétés d'État de Moscou avaient forcé leurs employés à s'inscrire au vote électronique et même à partager leurs informations d'identification de compte avec les superviseurs.
L'agente de presse de Kaspersky Lab, Olga Bogolyubskay, a déclaré que la société n'avait rien à ajouter au commentaire officiel du département, affirmant avoir fourni "un soutien spécialisé au département des technologies de l'information de Moscou" avec d'autres sociétés.
"Nous avons une expérience significative dans la garantie de la sécurité et de la transparence du vote de masse en ligne en utilisant les technologies de blockchain via notre plateforme Polys", a ajouté Bogolyubskay.
Le rapport de Meduza n'est que la dernière préoccupation concernant la question de la sécurité du système de vote. Le Département des technologies de l'information a rapporté vendredi qu'un "nœud d'observation" avait été falsifié pendant que le vote constitutionnel était en cours.
Cependant, selon des observateurs électoraux indépendants en Russie, il n'y a aucun moyen technique de se connecter à la blockchain de l'extérieur, car elle fonctionnait entièrement sur les serveurs du département. En bref, la blockchain est-elle vraiment sûre comme on dit? Et pour quoi utilisez-vous acheter des bitcoins en toute sécurité? Faites le nous savoir dans les commentaires!
