Comment protéger le processus électoral des fake news et des cyberattaques ?

"La propagande a toujours existé mais aujourd'hui elle a changé. Déjà elle est en ligne donc elle est accessible à énormément de personnes. Il suffit d'avoir un ordinateur ou un smartphone pour produire ce type de contenu, sans qu'il ne soit nécessairement professionnel", déclare Lisa-Maria Neudert, doctorante spécialiste de la propagande et de la manipulation de masse à l'université d'Oxford en Angleterre, rencontrée par L'Usine Digitale.

Enrayer la propagande numérique

Elle fait partie d'une équipe de chercheurs en sciences sociales, politiques et informatiques qui a lancé le "Computational Propaganda Project" pour étudier l'interaction des algorithmes et de l'automatisation avec la politique. Son but est de comprendre comment ces systèmes manipulent l'opinion publique.

Deux étapes du processus démocratique sont particulièrement exposées à cette manipulation : le moment des campagnes électorales sur internet et le jour du vote lorsque ce dernier est électronique. Comment enrayer la propagation des fausses informations qui vont jusqu'à influencer le résultat d'un scrutin ?

Une fausse information se propage beaucoup plus vite qu'une vraie

Les études sur le sujet se multiplient et concluent toutes sur le fait qu'une "fake news" se propage beaucoup plus vite qu'une information véridique. Dans la revue Science, le 8 mars 2018, des chercheurs du MIT ont démontré qu'une vraie information met six fois plus de temps à parvenir à 1500 personnes sur Twitter que si elle était fausse. Mais pourquoi ? "Nous avons constaté que les fausses informations sont plus originales que les vraies, ce qui suggère que les gens sont plus enclins à partager des infos inédites", répond l'étude. Durant deux ans, les scientifiques ont étudié le comportement de 126 000 rumeurs diffusées entre 2006 et 2017 sur le réseau social par trois millions de personnes et partagés plus de 4,5 millions de fois.

De l'état de santé d'Hilary Clinton à la "ferme à trolls"

La campagne électorale américaine de 2016 en a particulièrement fait les frais. Parmi les fausses informations les plus tenaces, on trouve l'état de santé d'Hilary Clinton, propagé par la chaine Fox News et par la sphère d'extrême droite américaine sur les réseaux sociaux. Après sa défaite en 2017, la candidate déclarait que "les fake news peuvent avoir des conséquences mondiales" et appelait "les dirigeants des secteurs public et privé à s'engager pour protéger la démocratie et les vies innocentes".

Mais cela ne s'arrête pas là. Des accusations sur une hypothétique ingérence russe ont rapidement émergé. Après la mise en cause de 13 ressortissants et trois entités russes par le ministère de la Justice américain, des spécialistes de la propagande sur Internet, supervisés par la société New Knowledge et un laboratoire de l’université d’Oxford, ont conclu à une stratégie politique particulièrement élaborée. Les chercheurs se sont focalisés sur "une ferme à trolls" russes – un organisme privé appelé I'Internet Research Agency (IRA) – située à Saint-Pétersbourg et qui appartient à Evgueni Prigogine, un proche de Vladimir Poutine.

L'étude publiée le 17 décembre 2018 est claire : l'objectif était d'évincer Hillary Clinton. Les trolls russes ont œuvré sur Twitter, Facebook, Youtube mais surtout sur Instagram où les messages ont représenté 187 millions d'interactions. Les scientifiques révèlent également comment les publications de l'IRA ont instrumentalisé les communautés afro-américaines et LGBT auxquelles s'intéressait particulièrement la candidate.

les géants du numérique misent sur des solutions techniques

"Pour lutter contre les campagnes de désinformation, il faut des solutions techniques", avance la chercheuse. Les géants du numérique américains semblent être du même avis, et plusieurs d'entre eux proposent désormais des solutions. Pour les élections européennes du 23 au 26 mai 2019, Facebook a mis en place une "war room", soit une cellule de vérification installée au sein de ses bureaux irlandais. Elle a pour objectif de veiller à ce que la propagation de fausses informations, de faux comptes ou de possibles ingérences étrangères n'est pas d'impact sur le scrutin. Une quarantaine de personnes sont chargées de vérifier, en temps réel, les abus signalés sur le site par des logiciels de modération ou directement par des utilisateurs.

Cet outil avait été inauguré en septembre 2018 avant les élections de mi-mandat aux Etats-Unis et la présidentielle au Brésil. La firme de Mark Zuckerberg affirmait avoir été capable de supprimer 45 000 messages problématiques dont le but était de décourager les citoyens américains à voter pendant les midterm. Cela étant dit, ce n'est pas pour rien que Facebook a beaucoup communiqué sur les solutions qu'il a mises en place. La plate-forme a été accusée de ne pas avoir agi face aux ingérences russes pendant les élections de 2016.

Microsoft peut lutter contre les attaques par phishing

Microsoft a pris le même tournant en annonçant début mai 2019 l'instauration de Microsoft 365 CampaignGuard. C'est un outil similaire à celui qu'il propose aux grandes entreprises (AccountGuard) et qui permet d'offrir une protection de haut niveau, mais il a été simplifié et optimisé pour les campagnes électorales. Il s'agit de déjouer les attaques par phishing, qui représentent 90 % du point d'entrée des malfaiteurs dans les campagnes, d'après la firme américaine. L'offre a été lancée en juin mais n'est pour l'instant réservée qu'aux instances fédérales des Etats-Unis.

Main dans la main contre les deepfakes

Plus récemment, le 5 septembre 2019, à l'horizon des prochaines élections américaines, Facebook, Microsoft et plusieurs universités prestigieuses se sont rassemblés pour lancer une initiative contre les deepfakes, ces trucages vidéos plus vrais que nature. Ils vont commissionner la création d'un set de données qui sera mis à la disposition de chercheurs puis lancer un challenge de détection avec 10 millions de dollars à la clé.

L'IA, clé de la réussite ?

La difficulté principale est justement de détecter les fake news étant donné l'énorme masse d'informations qui circule. Alors quoi de mieux que de déléguer cette tâche à des systèmes automatisés ? Mais ce n'est évidemment pas si simple dans les faits. Les scientifiques sont face à un problème de classification entre les messages où l'information est vérifiée et ceux qui sont faux. Parfois la partie fausse est incorporée de façon subtile dans l'information.

Si l'être humain a lui-même à distinguer le vrai du faux, comment peut-il entraîner un modèle à le faire automatiquement ? C'est impossible. "Les géants du numériques placent beaucoup d'espoir dans l'intelligence artificielle pour tout régler", énonce Lisa-Maria Neudert, avant d'ajouter, "je pense que ça va très difficile et très long car certaines choses sont même difficiles à détecter par un humain". Pour cette chercheuse, l'intelligence artificielle est un outil promoteur, mais elle s'inquiète du temps que les progrès prendront.

Les Etats contre-attaquent

Les Etats, de leur côté, tentent d'instaurer des règles. Comme c'est le cas en France avec la loi du 22 décembre 2018 relative à la manipulation de l'information. Elle crée une nouvelle procédure par voie de référé (procédure d'urgence) visant à faire cesser la diffusion de fausses informations durant les trois mois précédant un scrutin national. Quand il est saisi, le juge des référés doit apprécier, sous 48 heures, si ces fausses informations sont diffusées "de manière artificielle ou automatisée" et "massive". Le Conseil Constitutionnel a précisé le contenu de ce contrôle dans sa décision du 20 décembre 2018. Il a spécifié que le juge ne pouvait faire cesser la diffusion d'une information que si le caractère inexact ou trompeur de l'information était manifeste et que le risque d'altération de la sincérité du scrutin était évident. Mais une réglementation sur le seul territoire national ne suffit pas.

Une coopération internationale ?

"Il faut une coopération entre les Etats, les géants du numériques et la société civile. La lutte contre ces phénomènes est dans l'intérêt de tous", affirme Lisa-Maria Neudert. Un sentiment louable mais très compliqué à mettre en œuvre. Déjà parce que la culture de chaque Etat est différente en fonction de leur passé, leur niveau de développement… Alors comment instaurer un socle de règles en commun ? Un exemple est particulièrement significatif : la vision de la liberté d'expression de la France et des Etats-Unis.

Le Premier amendement de la Constitution américaine (1787) garantit cette liberté sans presque aucune limite. Ainsi, des discours injurieux peuvent être tenus sans être punis. De l'autre côté de l'Atlantique, c'est l'article 11 de la Déclaration des droits de l'homme et du citoyen (1789) qui garantit cette liberté. Une série de lois vient ensuite restreindre ce droit comme la loi Pleven (1972) qui interdit toute "provocation à la discrimination, à la haine ou à la violence". La France est au final beaucoup plus restrictive.

Le vote électronique, une fausse bonne idée ?

Une fois la campagne électorale passée vient le jour du scrutin. Le 8 septembre 2019 se sont tenues les élections locales en Russie. Comme de nombreux Etats aujourd'hui, le Kremlin a décidé d'utiliser le vote électronique. Le vote électronique peut être défini comme une méthode de vote dématérialisée, à comptage automatisé à l'aide de systèmes informatique. Ce terme couvre plusieurs situations : des ordinateurs placés dans des bureaux de vote qui enregistrent les votes et les dépouilles mais également le vote à distance depuis n'importe quelle machine connectée à internet.

S'il peut sembler une voie de modernisation évidente en 2019, le vote électronique n'est en réalité pas une solution idéale. Dans le cas des élections russes, il n'a pas fallu très longtemps pour qu'un Français ne démontre une faille dans le système, quelques jours avant début du scrutin. Pierrick Gaudry, chercheur au Laboratoire lorrain de recherche en informatique et ses applications, a démontré qu'un pirate informatique pouvait, en 10 minutes seulement, être en mesure de suivre les résultats du scrutin en direct et peut-être même de savoir qui avait voté pour qui.

L'Estonie pionnière en la matière

C'est l'Estonie qui est pionnière en la matière. Le vote par internet y a été instauré en 2005. En France, c'est en 2012 que les citoyens français expatriés ont pu voter pour leurs députés par internet. De la même façon, l'UMP (Les Républicains aujourd'hui) a choisi ce système pour élire son président en 2014. Aux Etats-Unis, lors des élections de 2016, 27,5 millions de personnes ont fait leur choix via un écran électronique. Pour celles de 2020, seuls huit Etats utiliseront cette technologie (environ 16 millions d'Américains).

Car aujourd'hui, la plupart des institutions appellent au retour du vote papier. Dans le rapport "Securing the vote", publié en 2018, des chercheurs des Académies nationales des sciences, du génie et de la médecine ont confirmé cette nécessité en déclarant que le vote doit être "accessible, fiable et vérifiable". Le sénateur américain Ron Wyden a proposé un projet de loi pour rendre les bulletins papier obligatoires au niveau fédéral. Mais le texte a été bloqué par la majorité républicaine au Sénat.

Des primes pour pirater les machines de vote

"Je ne suis vraiment pas pour le vote électronique. Le bulletin papier, lui, est inviolable", nous confie Lisa-Maria Neudert. Alors quels arguments avancent les défendeurs de cet outil ? Certaines démocraties participatives, de l'Estonie à l'Inde, le considèrent comme un levier de participation. En effet, en rendant le vote plus accessible, il serait plus massif.

Alors, pour limiter les vulnérabilités de ces systèmes, les Etats multiplient des initiatives de bug bounty. Ce fut le cas en Suisse où 130 000 euros étaient promis aux hackers qui arriveraient à trouver une faille dans le système instauré pour les élections du 25 février au 24 mars 2019.

Le spectre d'une cyberattaque

En cas d'attaque, plusieurs situations pourraient considérablement affecter le scrutin : un seul individu pourrait enregistrer plusieurs votants et donc voter plusieurs fois, les identifiants d'un électeur pourraient être volés et quelqu'un autre pourrait voter à sa place ou des personnes pourraient être rayées des listes, ce qui les empêcherait de voter. Pour éviter tout risque, les Pays-Bas ont décidé, en 2017, quelques jours avant les élections législatives, de renoncer au vote électronique car certains sites gouvernementaux avaient été pris pour cible par des hackers russes.

La solution "ElectionGuard" par Microsoft

Là encore, les GAFAM y vont de leurs solutions technologiques. Microsoft a présenté, lors de sa conférence Build 2019, un kit de développement logiciel open source en partenariat avec la société américaine Galois. "ElectionGuard" peut être intégré dans les machines de vote pour garantir leur sécurité contre les intrusions et fournir une traçabilité. Concrètement, chaque électeur obtient un code unique qui lui permet de suivre une version chiffrée de son vote à travers un portail web mis en place par l'organisme en charge de l'élection. Mais attention, ElectionGuard n'est pas conçu pour permettre le vote sur internet mais pour compléter les bulletins papiers.

La CNIL révise ses recommandations

Les institutions prennent également des initiatives. Le Conseil de l'Europe a adopté une nouvelle recommandation le 14 juin 2017, qui révise la précédente développée pour s'assurer que le vote électronique respecte les principes des élections démocratiques. Elle est la seule norme internationale existante sur ce système.

Plus récemment, le 10 juillet 2019, la Commission nationale de l'informatique et des libertés (CNIL) a actualisé sa recommandation de 2010. Le gendarme de la vie privée propose ainsi une grille d'analyse (photo ci-dessous) qui a pour objectif d'aider les responsables de traitement à déterminer le niveau de sécurité que leur système doit atteindre. En fonction du score obtenu, l'organisme devra répondre à différents objectifs. La CNIL déclare également que "seule l'étude réalisée par les experts indépendants permettra d'assurer au responsable du traitement que l'objectif de sécurité énoncé est pleinement et correctement atteint."

La diplomatie du numérique

Au niveau international, c'est le Groupe d'experts gouvernementaux des Nations Unies sur les progrès de l'information et des télécommunications dans le contexte de la sécurité internationale (GGE) qui s'occupe de cette question. En 2018, un second groupe de travail a été créé. Ils ont ensemble introduit le principe selon lequel le droit international s'applique à l'espace numérique. Comme pour la lutte contre les fake news, difficile d'imaginer un consensus avec 193 pays. Pourtant il deviendra un jour indispensable pour instaurer un rempart contre les cyberattaques qui peuvent mettre à mal la démocratie qui, certains pays, n'est déjà pas en pleine forme.

Sélectionné pour vous

Quelles sont les entreprises qui achètent le plus de solutions technologiques souveraines ?

A la suite d'un ransomware, la ville de Betton voit ses données publiées

L'assurtech française Stoïk lève 10 millions d'euros pour séduire le marché allemand