Danger pour les systèmes de vote électronique

A l'ère de l'information, les données sont depuis longtemps devenues des marchandises. Gr?ce à des offres publicitaires ciblées, les entreprises financent leurs "offres gratuites". Mais les données ne sont pas les seules à valoir de l'argent sur Internet. Les interactions numériques permettent également de gagner de l'argent. Aujourd'hui déjà, les entreprises paient les utilisateurs pour qu'ils effectuent certaines t?ches sur la toile. Les possibilités vont des posts payés sur les plateformes de médias sociaux aux commentaires en passant par les évaluations de produits ou de clients payées mais non identifiables comme telles. En langage technique, ce domaine d'activité est appelé crowdturfing.

?tant donné qu'avec le crowdturfing, ce sont des profils de vraies personnes qui se cachent derrière les commentaires, ceux-ci paraissent authentiques aux yeux de tiers et sont difficilement identifiables comme étant des contrefa?ons par les exploitants de la plateforme concernée. Il y a toutefois aussi des inconvénients : Les utilisateurs achetés doivent être instruits, payés et l'exécution de l'action payée doit être surveillée. Le paiement, quant à lui, expose plus ou moins la relation entre l'acheteur et le vendeur. Avec leur projet appelé TEEvil, les doctorants de l'ETH Ivan Puddu, Daniele Lain, Moritz Schneider et Sinisa Matetic ont maintenant développé un procédé qui compense ces inconvénients en combinant deux technologies existantes.

Espace de données protégé

L'une des technologies utilisées est TEE ou Trusted Execution Environment. TEE met à disposition un environnement d'exécution plus s?r (conteneur) pour les applications dans des processeurs usuels de date récente, les données dans le conteneur étant protégées contre tout accès. Ainsi, les personnes pourraient par exemple rendre leurs données de santé accessibles à des tiers sans que celles-ci ne quittent leur propre ordinateur. En outre, ils peuvent déterminer quelles données peuvent être utilisées par qui et pendant combien de temps - une caractéristique positive de TEE. L'idée des doctorants était maintenant de combiner TEE avec des cryptomonnaies afin de garantir l'anonymat dans les deux sens. Cela permet de réaliser des transactions entièrement secrètes, dont on ne peut déduire ni l'expéditeur ni le destinataire. Même le montant de la transaction reste secret.

Identité louée

Le système développé par les doctorants de l'ETH permet désormais de louer certaines actions sur certaines plateformes, comme les posts Facebook ou, beaucoup plus grave, les votes émis sur une plateforme d'e-voting. L'action est certes réalisée par une tierce personne, mais elle a lieu sur l'ordinateur du vendeur. "Dans ce cas, le vendeur loue quasiment son identité numérique, c'est pourquoi nous parlons d'Identity Lease", explique Schneider. Le plus insidieux est que l'exploitant de la plate-forme ne peut pas savoir si l'utilisateur effectue lui-même l'action ou si son compte a été loué. S'ajoute à cela le fait que le bailleur peut compter sur le fait que le locataire ne peut effectuer que les manipulations définies au préalable.

Vulnérable aux abus

Avec leur travail, les doctorants veulent non seulement mettre en évidence les opportunités, mais aussi et surtout les risques liés à l'association d'un conteneur de données personnelles sécurisé à une cryptomonnaie. "Il y a par exemple le risque que ces technologies soient utilisées pour diffuser des fake news, manipuler des opinions ou influencer des résultats de vote", met en garde Moritz Schneider. Il est donc important que les exploitants de réseaux sociaux ou de plateformes de vote électronique sachent que - à condition que l'énergie criminelle soit suffisante - la technologie qu'ils mettent à disposition peut être transformée en instrument de manipulation avec relativement peu d'efforts. "Les exploitants de plateformes sociales ont fait de grands progrès dans l'identification et la mise hors service de bots - c'est-à-dire d'acteurs non humains. Mais ces systèmes ne sont pas préparés à des comptes authentiques, mais achetés", fait remarquer Schneider.

"Chaque nouvelle technologie a le potentiel d'apporter des avantages et de causer des dommages", avertit le professeur de l'ETH Srdjan Capkun. Il dirige le System Security Group, dont font également partie les deux doctorants. TEE et les cryptomonnaies peuvent être combinées de manière à créer des places de marché numériques anonymes sur lesquelles les votes numériques peuvent être négociés de la même manière que les likes Facebook. Avec un système tel que TEEvil, il serait en outre quasiment impossible, même en cas de soup?ons fondés, de prouver une interaction illégale de manière juridiquement s?re. "Nous devons absolument garder un ?il sur TEE en tant que porte d'entrée possible pour des intentions manipulatrices", déclare Capkun. "Nous considérons TEEvil comme un modèle qui montre de manière frappante où nous avons, avec la technologie actuelle, un problème qui doit être résolu".