Un bug dans le système de sondage blockchain de Moscou pourrait révéler le vote des utilisateurs.

Une vulnérabilité dans un système basé sur la blockchain utilisé lors du récent sondage en Russie a permis de décrypter les votes des utilisateurs, ont découvert des journalistes.

Mercredi, dernier jour du vote sur les amendements constitutionnels, le média russe Meduzapubliédes recherches montrant que les clés de décryptage des votes pourraient être récupérées en utilisant le code HTML du bulletin de vote électronique.

Au cours de la semaine dernière, le pays a voté pour approuver ou rejeter les modifications apportées à la constitution russe, dont la plus frappantea supprimé la restriction de deux mandatspour les présidents en exercice, permettant ainsi à Vladimir Poutine de se présenter à la réélection jusqu’en 2036.

Dans deux régions du pays, Moscou et la région de Nijni Novgorod, les citoyens avaient la possibilité de voter électroniquement. Leurs votes étaient enregistrés sur Exonum.système blockchaincréé par le Département des technologies de l’information de Moscou avec l’aide de Kaspersky Lab.

Selon les conclusions de Meduza, les votes ont été chiffrés à l'aide de la bibliothèque cryptographique TweetNaCl.js. Celle-ci fournit un algorithme déterministe : avec des données d'entrée similaires, le système génère la même clé cryptographique, utilisée pour chiffrer et décoder le vote.

Meduza a ainsi déclaré avoir trouvé les deux clés universellement utilisées pour encoder les votes « oui » et « non ». Cela a permis à son équipe de décoder les données de vote, qui étaient en cours de traitement.publiédans des fichiers CSV par le Département des technologies de l'information au fur et à mesure du déroulement du vote.

Voir aussi :Un pirate informatique tente de perturber le système de vote russe basé sur la blockchain

Cette transparence a pour but d’aider les observateurs indépendants à vérifier l’exactitude du décompte des voix, mais peut également être utilisée pour vérifier comment certaines personnes ont voté – ce qui entraîne la menace qu’elles soient contraintes de voter d’une certaine manière lors des prochains sondages, a écrit Meduza.

La BBC a déjàsignaléque les entreprises municipales de Moscou obligeaient leurs employés à s'inscrire au vote électronique et même à partager les identifiants de leurs comptes avec leurs supérieurs.

Le représentant du Département des technologies de l'information, Artyom KostyrkocommentéMercredi, le rapport de Meduza a indiqué que les utilisateurs ne pouvaient décoder leurs votes que sur leurs propres appareils. Cela contredit le rapport de Meduza, qui affirmait qu'il était possible de décoder n'importe quel vote en utilisant les mêmes clés cryptographiques.

Le service de presse du département n'a pas répondu à la Request de commentaires de CoinDesk au moment de la mise sous presse.

La représentante de presse de Kaspersky Lab, Olga Bogolyubskay, a déclaré à CoinDesk que la société n'avait rien à ajouter au commentaire officiel du département, mais a déclaré qu'elle fournissait un « soutien expert au département des Technologies de l'information de Moscou », ainsi qu'à d'autres sociétés.

Voir aussi :Le ministère russe de la Justice critique le projet d'interdiction des Crypto

« Nous disposons d'une expertise et d'une expérience significative pour garantir la sécurité et la transparence du vote en ligne de masse en utilisant les technologies blockchain via notre plateforme Polys », a ajouté Bogolyubskay.

Le rapport de Meduza n'est que la dernière préoccupation en date concernant la sécurité du système de vote. Le Département des technologies de l'information a signalé vendredi qu'un « nœud d'observation » avait été détecté.attaquéPendant le vote constitutionnel, cependant, selon des observateurs électoraux indépendants en Russie, il n'existe aucun moyen technique de se connecter à la blockchain depuis l'extérieur, car elle fonctionne entièrement sur les serveurs du ministère.