Au cours d'une simulation de l'élection présidentielle américaine organisée par la société de cybersécurité Cybereason et repérée par le site Quartz, des hackers ont réussi à prendre le contrôle de certains médias et à détourner le système des véhicules autonomes d'une ville fictive, imaginée pour l'occasion. Provoquant, au passage, des dizaines de morts et des centaines de blessés...
Et si l'élection présidentielle américaine provoquait des dizaines de morts et des centaines de blessés ? Si l'on en croit une simulation menée le 5 novembre dernier par une société de cybersécurité américaine et repérée par le média Quartz, ce scénario catastrophe pourrait théoriquement se produire dès l'année prochaine, en 2020. On est loin des simulations très ludiques du site 270towin.com, où l'internaute peut constituer son propre résultat de l'élection en coloriant les cases de chaque État...
« Operation Blackout »
Désigné par le terme légèrement anxiogène d'« Operation Blackout » (sous-titre : « Protect the Vote »), l'exercice fictif était organisé à Washington par la société de cybersécurité Cybereason. D'un côté, une équipe d'officiels américains en costume-cravate venus de divers horizons (services secrets, FBI, département de la sécurité intérieure et services de police de la ville d'Arlington, en Virginie) ; de l'autre, sept « hackers éthiques » et « professionnels de la sécurité » (tous de sexe masculin) réunis pour bouleverser le déroulement de cette « fausse journée » de l'élection présidentielle, prévue le 3 novembre 2020 outre-Atlantique. L'idée ? Anticiper les risques sécuritaires que posera, comme tous les 4 ans, l'organisation d'un tel évènement.
Circonscrit à la ville fictive d'Adversaria (ici intégrée à un « swing state », ces États américains qui font traditionnellement basculer le résultat du vote final), le dispositif mettait donc en confrontation les deux équipes (rouge pour les hackers, bleu pour les représentants de l'État), en interdisant aux premiers de pirater directement le matériel électoral (urnes, listes, etc.) des seconds. Une contrainte qui les a forcés à se concentrer sur des techniques de manipulation indirecte, en agissant sur des facteurs externes au processus de l'élection lui-même.
Les médias et les voitures autonomes ciblés
Première cible des hackers : les médias. En prenant le contrôle du site de Fox News, du compte Twitter de CNN et des réseaux sociaux de la mairie, les « perturbateurs » sont parvenus à diffuser des fausses informations sur un hypothétique piratage des urnes électroniques, ce qui contraint les forces de l'ordre à déployer leurs unités dans toute la ville. Quelques instants plus tard, l'équipe rouge a pris le contrôle de 50 voitures et de 5 bus autonomes, ainsi que du système de feux de circulation d'Adversaria. De quoi provoquer, conformément à certains risques de cybersécurité que pose déjà la technologie 5G, des accidents en cascade.
Emeutes urbaines, hôpitaux surchargés, réseaux de télécommunication locaux hors-service... Les évènements s'enchaînent et la situation s'envenime. Plus tard, les hackers parviennent à simuler la voix des agents de l'État responsables des bureaux de vote pour persuader, par téléphone, leurs collègues de réinitialiser toutes les urnes électroniques. Pour détourner l'attention des citoyens, l'équipe rouge va jusqu'à faire croire que l'Etat islamique revendique toutes ces perturbations en diffusant une fausse vidéo sur les réseaux sociaux.
« Au milieu de cette pagaille, les élections sont annulées et on demande aux gens de rentrer chez eux, résume Quartz. Le gouvernement déclare l'état d'urgence et met en place la loi martiale. Les leaders du groupe, une cellule anarchiste fictive, sont finalement identifiés et arrêtés. » Bilan définitif : 32 morts, 200 blessés. Suite aux événements, « la peur de la menace terroriste s'accroît » et « des rumeurs circulent à propos de la complicité du gouvernement américain, bien qu'aucune enquête ne permette de le prouver. »
Impossible d'anticiper tous les scénarios
Quelles conclusions tirer de cet exercice de simulation ? Si un tel récit peut sembler quelque peu apocalyptique, le rapport de Cybereason note que l'équipe rouge a manqué son objectif premier, à savoir « déstabiliser » l'organisation du vote : « Au lieu de saper l'élection, [l'équipe rouge] a forcé l'équipe bleue à annuler l'élection et a provoqué une attaque terroriste. (...) La seule chose qu'aurait pu faire l'équipe bleue plus rapidement, c'était de s'occuper du système de véhicules autonomes plus tôt dans la journée, mais globalement elle a affiché une performance solide et a vite réagi aux actions de l'équipe rouge. »
Des déductions étonnantes sur le fond comme sur la forme, au vu des pertes humaines provoquées par cette simulation, mais que Cybereason justifie un peu plus loin dans son texte, en avançant qu'il est de toute façon impossible d'anticiper « tous les scénarios ». Selon l'entreprise, mieux vaut, pour l'État américain, avoir conscience de ses propres limites et multiplier les exercices du même type. Avec cinq règles d'or en ligne de mire : « Collaborer avec les autres agences gouvernementales », « élaborer des cahiers de stratégie », « prendre en compte le contexte local », « envisager des scénarios non-conventionnels » et « déployer [ses dispositifs] le plus tôt possible ».
L'expérience a en tout cas le mérite de rappeler à quel point l'élection présidentielle américaine, prévue le 3 novembre 2020, sera un rendez-vous stratégique décisif pour le futur des États-Unis comme du reste du monde. Dans un article publié le 8 novembre sur le site de The Atlantic, la professeure de droit américaine Rosa Brooks affirme ainsi que les douze prochains mois devraient déterminer l'avenir-même de « l'expérience américaine ». Au-delà des menaces de piratage, la juriste craint surtout la réaction de Donald Trump à l'élection... quel que soit son résultat : « Si Trump perd les élections de 2020, va-t-il se retirer ou affirmer qu'il s'agit d'une "fake news" ? (...) Et s'il gagne, utilisera-t-il davantage encore les instruments de gouvernance à sa disposition pour harceler et persécuter ses opposants politiques ? Les évènements de l'année à venir nous diront si ces scénarios catastrophiques sont plus ou moins probables. »
Image à la Une : Donald Trump à Fountain Hills, dans l'Arizona, avant la primaire républicaine, en mars 2016. Crédits : Gage Skidmore (CC BY-SA 2.0).