Bij een man in the middle-attack wordt informatie tussen twee partijen onderschept zonder dat die partijen daar weet van hebben. Om dat te voorkomen wordt informatie doorgaans versleuteld, waarbij enkel de ontvanger over een geheime sleutel beschikt om ze te ontcijferen. Meestal zit die geheime sleutel opgeslagen in een bestand waar enkel de ontvanger toegang toe heeft, en is die beveiligd met een wachtwoord.

Dat blijkt ook het geval bij de software die gebruikt wordt om de stemmen uit te lezen van de USB-sticks en door te sturen naar www.vlaanderenkiest.be. Alleen is dat bestand door iedereen te downloaden op diezelfde website. Bovendien zit het wachtwoord om de geheime sleutel te bemachtigen in tekstformaat in de code van dat bestand opgeslagen, waarschuwt de ethische hacker @MisterCh0c op Twitter.

"Het is gewoon een java-bestand, waarvan de broncode gemakkelijk te bekijken is. Daarin zit het wachtwoord gecodeerd. Als je dit wachtwoord hebt, kan je ook toegang tot de geheime sleutel krijgen. Dit betekent dat iemand via het certificaat mogelijk een man-in-the-middle-attack kan uitvoeren", vertelt @MisterCh0c aan Data News.

"Het klopt dat de communicatie verloopt via een certificaat waarvan de geheime sleutel in de broncode staat, maar die communicatie is enkel geldig als die lokaal verloopt", reageert Jeroen Baert, computerwetenschapper aan de KU Leuven. "Om echt te kunnen tussenkomen zou je op voorhand al toegang moeten gehad hebben tot de computers die gebruikt worden voor het samentellen van de stemmen of zou je diegene die de software installeert om de tuin moeten leiden. Het is een leuke vondst, maar ik denk niet dat het onmiddellijk uitbuitbaar is."

Software niet gecertificeerd

Het bestand om de inleessoftware te downloaden mankeert een digitale handtekening

Het bestand om de inleessoftware te downloaden mankeert een digitale handtekening © .

"Het probleem in dit verhaal is vooral dat een setup-bestand kan gedownload worden zonder dat het digitaal ondertekend werd", zegt Pieter Maes, die de code onderzocht heeft. "Het certificaat leek gevaarlijk, maar bij nadere inspectie valt het mee. Het risico bestaat er vooral in dat iemand inbreekt in vlaanderenkiest.be en dat bestand aanpast. Niemand zou het merken."

De twee wijzen erop dat dit alles professioneler kon aangepakt worden. "Dit soort dingen hoort niet thuis in publiek leesbare broncode, ook al is het voor lokaal gebruik", zegt Baert. "De software op zich zag er heel professioneel geschreven uit, maar de afwerking is niet correct gebeurd", vult Maes aan.