in

ES&S, le plus grand fournisseur d’équipement de vote américain, publie une politique de divulgation de vulnérabilité

Election Systems & Software, le plus grand fournisseur d’équipement de vote américain, a annoncé mercredi une politique visant à travailler plus étroitement avec les chercheurs en sécurité pour trouver des bogues logiciels dans les réseaux informatiques et les sites Web de l’entreprise.

«Les pirates vont pirater, les chercheurs vont rechercher si une politique est en place ou non», a déclaré Chris Wlaschin, vice-président de la sécurité des systèmes d’ES & S. «Nous pensons qu’il est important de disposer de cette clause refuge pour définir les attentes.»

La politique permet aux chercheurs de sonder les systèmes d’entreprise et les sites Web publics d’ES & S, mais pas les systèmes électoraux en place dans les juridictions du pays, qui sont soumis à différents régimes de test. La politique ES&S donne à l’entreprise 90 jours pour corriger les vulnérabilités avant que les chercheurs puissent en rendre compte publiquement.

Pour ES&S, la politique marque une autre étape dans la collaboration avec une communauté de piratage au chapeau blanc avec laquelle elle s’est déjà affrontée. Le fabricant de machines à voter basé à Omaha, dans le Nebraska, a été l’un des nombreux fournisseurs en 2018 à critiquer le village de vote, un site de la conférence de piratage DEF CON où les chercheurs ont examiné l’équipement comme irréaliste et sensationnel.

Depuis lors, les vendeurs de matériel de vote ont progressivement adopté le piratage au chapeau blanc et un examen plus public de leurs systèmes. L’automne dernier, les fournisseurs ont lancé une demande d’idées pour la mise en place d’un programme de divulgation des vulnérabilités à l’échelle de l’industrie.

Wlaschin a annoncé la nouvelle politique mercredi à Black Hat, l’une des plus grandes conférences sur la sécurité au monde.

Jack Cable, un hacker au chapeau blanc qui avait précédemment trouvé un bogue dans le produit de réseau privé virtuel d’entreprise d’ES & S, a salué la politique.

«La politique constitue un bon moyen terme d’autoriser les tests pour les systèmes sous le contrôle d’ES & S tout en acceptant les rapports pour les systèmes pour lesquels ils ne peuvent pas autoriser les tests», a déclaré Cable à CyberScoop. «La prochaine étape consiste à établir des partenariats entre les vendeurs, les responsables électoraux et des groupes comme le village électoral pour avoir des évaluations publiques à part entière.»

«J’espère que d’autres fournisseurs emboîtent le pas et accueillent les pirates à bras ouverts», a déclaré Cable.

Les porte-parole de Dominion Voting Systems et Hart InterCivic, les deux autres grandes entreprises de matériel de vote aux États-Unis, n’ont pas immédiatement répondu à une demande de commentaires.

Kevin Skoglund, un autre chercheur en sécurité qui a travaillé avec ES&S, a crédité la nouvelle politique pour avoir inclus «des dispositions raisonnables pour la sphère de sécurité, la portée et la divulgation. Il fait même allusion à un programme d’accès à l’équipement. » Lui aussi a déclaré qu’il espérait que d’autres fournisseurs publieraient une politique.

L’annonce d’ES & S fait suite à la publication la semaine dernière par l’Agence de cybersécurité et de sécurité des infrastructures du ministère de la Sécurité intérieure d’un guider pour les fonctionnaires électoraux intéressés à établir leurs propres programmes de divulgation de la vulnérabilité

Le travail visant à sécuriser l’infrastructure liée aux élections intervient alors que les responsables américains continuent d’avertir que les élections de 2020 entraîneront des tentatives d’ingérence étrangère.

Mercredi, lors de la conférence virtuelle Black Hat, le directeur de la CISA, Chris Krebs, a exhorté les électeurs à être vigilants face aux campagnes de désinformation et à attendre que les votes soient comptés. «La dernière mesure de résilience dans les élections de 2020 sera un électeur informé et patient», a-t-il déclaré.



Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Sept façons de prendre des décisions éclairées pour votre entreprise

Microsoft vise à acheter toute l’activité mondiale de TikTok, selon des rapports