Pour entrer dans le fichier de programmation de boutons, il serait nécessaire de lever le mot de passe de presque tous les employés de l’entreprise, souvent en essayant simplement les mots de passe faciles à deviner que beaucoup de gens utilisent encore. Les pirates informatiques peuvent également envoyer un courrier électronique de phishing factice mais convaincant qui incite les destinataires à renoncer à leurs mots de passe. C’est exactement ce qui s’est passé dans le comté de Bucks en septembre dernier: un employé du comté aurait été incité à cliquer sur une pièce jointe infectée par un courrier électronique de phishing qui semblait provenir d’une agence de l’État de Pennsylvanie. L’ordinateur de l’employé a ensuite envoyé seul le courrier électronique malveillant et les pièces jointes à environ 700 fonctionnaires et employés du comté. Le comté a affirmé que le problème était maîtrisé, mais il n’ya aucun moyen de savoir quelles informations ou quels logiciels ont pu être compromis. Alternativement, un pirate informatique pourrait accéder à l’ordinateur de toute personne impliquée dans la création ou l’impression de l’affiche du bulletin de vote, en modifiant le fichier PDF contenant l’image de l’affiche et en le décalant. un ou plusieurs rectangles à aligner avec les mauvais boutons. Un hack de cartographie de boutons pourrait être réalisé entièrement depuis la Russie. Cela pourrait simplement consister à permuter les rectangles Shouptronic correspondant à deux candidats opposés le soir de l’élection, de sorte qu’un vote pour un candidat soit compté comme un vote pour l’autre. Ce serait un hack idéal dans une course où le candidat privilégié du hacker devrait perdre de justesse; la machine signalerait frauduleusement que le candidat avait gagné de justesse. Et dans une course serrée, il n’y aurait pas lieu d’insister pour dire qu’il y avait eu un jeu délicat – et il n’y avait absolument aucun moyen de faire un nouveau compte pour être sûr. Les pirates russes ont déjà documenté leur succès en pénétrant dans les ordinateurs de dizaines de bases de données d’enregistrement des électeurs et de systèmes de gestion des élections, du Comité national démocratique et du réseau électrique du pays. Par rapport à ces prouesses, un hack de mappage de boutons serait un jeu d’enfant. Les tests préalables au vote par un responsable ou un moniteur sur le lieu de vote pourraient attraper théoriquement un hack de mappage de boutons en cours. Malheureusement, de tels tests ne sont pas toujours effectués à fond, ni du tout. Par exemple, personne n’a remarqué la permutation de deux candidats lors d’une élection primaire dans le New Jersey en 2011, pour deux sièges du comité exécutif démocratique du comté de Cumberland. Selon Appel, qui a été consulté après cette élection, la seule raison pour laquelle l’échange a été remarquée était que le candidat qui s’attendait à gagner par un glissement de terrain a été perdu par un glissement de terrain. La divergence fut découverte seulement après que le candidat «perdant» eut obtenu un nombre écrasant d’affidavits des électeurs. Était-ce un piratage ou une erreur honnête? Avec Shouptronic, il n’ya aucun moyen de le savoir, car il ne laisse pas de trace papier qui puisse être vérifiée après coup. « Si le seul moyen de faire confiance à une élection est d’obtenir des déclarations sous serment de chaque électeur, nous avons des problèmes », déclare Appel. Il est possible que les Russes aient perfectionné leurs attaques contre les machines à voter électroniques l’élection de 2016 sans faire pencher la main. Aucune attaque de ce type n’a été documentée – mais là encore, personne n’a regardé. «Autant que je sache, aucune machine n’a été testée juridiquement après les élections», déclare Alex Halderman, expert en cybersécurité, professeur d’informatique et d’ingénierie à l’Université du Michigan. En d’autres termes, nous n’avons aucun moyen de savoir si les machines à voter du comté de Bucks et d’autres comtés vulnérables aux prises avec une course serrée aux sièges de la Chambre sont déjà prêtes à signaler les résultats factices ordonnés par des agents des services de renseignement russes.