Le Ministre de l’Intérieur néerlandais a annoncé que le comptage des bulletins de vote de l’élection législative prévue au Pays-Bas le 15 mars se ferait de manière manuelle, par crainte de piratage informatique.
Pour les logiciels tels que celui utilisé pour le décompte des votes de l’élection législative des Pays-Bas, la problématique est toujours la même : les éditeurs investissent sur le développement lorsque les outils sont utilisés massivement. Un outil développé pour une occasion particulière va rarement être maintenu comme il se doit.
Les éditeurs dépensent peu d’argent sur la recherche de failles et autres vulnérabilités, et attendent généralement d’avoir des retours de la part de la communauté (cyber-chercheurs, société d’audits, pen-testeurs, etc.). A l’approche des élections, d’autres personnes bien plus mal intentionnées peuvent chercher des failles, pour les exploiter au moment le plus fatidique, juste avant le scrutin.
Il y a quelques années les logiciels étaient très liés aux systèmes d’exploitation. Aujourd’hui on dissocie de plus en plus l’application du socle sur laquelle elle tourne. Ça permet d’apporter plus de sécurité, plus facilement. Les sociétés utilisant des applications « old-fashioned » doivent absolument les faire évoluer avec une approche DevSecOps, ou bien les arrêter lorsque c’est possible. Il existe des solutions de protection pour ces applications, mais elles sont généralement coûteuses, et ne vont être qu’un petit pansement sur une blessure bien profonde.
On retrouve encore beaucoup d’applications qui tournent sur Windows XP, qui n’est plus supportés depuis quelques années. Distributeurs de billets, réservation de train, affichage dans les aéroports, automates de parking, etc. sont autant de failles potentielles pour les entreprises qui les exploitent ».