Vote électronique et CNIL : droit de réponse d'Election-Europe

Vote électronique et CNIL : droit de réponse d’Election-Europe

Total épinglé pour des défauts de sécurité (suite)

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

20/05/2013 4 minutes
11

Vote électronique et CNIL : droit de réponse d'Election-Europe

Jeudi dernier, nous vous expliquions pourquoi la CNIL avait sanctionné la société Total Raffinage Marketing suite à des opérations de vote électronique. Suite à notre article intitulé « Vote électronique : Total épinglé par la CNIL pour des défauts de sécurité », la société Election-Europe a souhaité nous faire parvenir un droit de réponse. Nous le publions aujourd’hui ci-dessous à sa demande, accompagnée d'un communiqué de presse (lien).

election-europe

 

« Sur les 3 griefs exposés par la CNIL, je vous précise donc nos réponses en complément du communiqué ci-joint et de l’annonce de presse que nous avions faite le mois dernier.

 

1/ Sur le rapport d’audit : Les opérations électorales de TOTAL devaient être conduites en septembre/octobre 2012, nous avions mandaté un cabinet d’expert reconnu pour effectuer un nouvel audit complet de notre solution à l’été 2012 permettant de mettre à jour les rapports précédents. Leurs conclusions ont été parfaitement explicites et ont confirmé que notre système de vote respectait tous les principes du droit électoral et notamment la sincérité du vote, le secret du vote, la sécurité du scrutin, l’unicité du vote, la non-répudiation, la liberté de choix du votant et le contrôle effectif par les membres des bureaux de vote. Le fait que ce travail ait nécessité 3 mois d’expertise et se soit terminé en cours de scrutin pour TOTAL ne remet absolument pas en cause les constats de conformité opérés par cette expertise.

 

2/ Sur la transmission des identifiants de vote : Il a été reproché à notre client de nous avoir fait envoyer les codes de vote par voie postale ou messagerie électronique. Nous pouvions effectivement utiliser des courriers recommandés pour ce type d’envoi ou des envois séparés mais cela remettait en cause totalement l’économie du scrutin et surtout aurait impacté fortement la participation, alors qu’aucun cas de détournement de codes et d’usurpation d’identité n’a été constaté. Ce grief s’applique d’ailleurs à tous les acteurs du vote électronique mais aussi du vote par correspondance.

 

3/ Sur la méthode de chiffrement : La CNIL souhaite que le système de chiffrement soit effectué uniquement sur le poste du votant et que le bulletin chiffré sur le poste du votant soit transmis en l’état sur le serveur de vote.

 

Notre solution est effectivement différente car elle utilise une triple mécanisme de chiffrement et de signature électronique du bulletin, nous avions estimé il y a plus de dix ans que faire reposer toute la sécurité du vote sur un logiciel téléchargé sur le poste du votant pouvait être dangereux car c’est le seul maillon de la chaîne de traitement du vote que nous ne pouvons sécuriser.

 

La réalité des cyber-attaques massives via applets « java » constatées en ce début d’année 2013 nous ont donné raison et le rapport ci-joint émis par l’ANSSI le 19 avril 2013 conclut dans sa dernière recommandation :

 

« Lorsque cela s’avère réalisable simplement, remplacer les applications légères Java par des applications alternatives. Ne plus nécessiter les modules complémentaires Java dans les navigateurs Web des postes utilisateurs permet de réduire notablement leur surface d’attaque.

 

Attention toutefois à ne pas remplacer un environnement d’exécution Java au profit d’une autre technologie nécessitant des modules complémentaires apportant potentiellement d’autres vulnérabilités. »

 

La recommandation CNIL d’utiliser un logiciel téléchargé qu’il soit donc une applet java ou un code javascript pour assurer des fonctions de sécurité dans une application web est donc aujourd’hui clairement proscrit par l’ANSSI comme par tous les spécialistes de sécurité du monde l’internet. »

 

Election Europe.

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (11)


Pauvre Total que l’utilisation de courier plus cher aurait pû ruiner …


Quelles solutions existe-t-il pour remplacer java côté client ?








Z-os a écrit :



Quelles solutions existe-t-il pour remplacer java côté client ?







ça dépend vraiment du besoin mais pour une application comme celle-ci, j’imagine qu’on peut utiliser des technologies standard du web (HTML + JS côté client) et utiliser une connexion SSL entre le client et le serveur. Ces éléments sont extrêmement solides et performants aujourd’hui (sauf peut-être pour l’affichage de très nombreuses données en temps réel, comme le rafraichissement de données d’origine boursière par exemple).



Reste à sécuriser l’environnement (navigateur, OS, réseau) mais là aussi des solutions existent (vérification de la chaîne SSL, certificats clients, protections anti-XSS/CSRF, etc.).










levhieu a écrit :



Pauvre Total que l’utilisation de courier plus cher aurait pû ruiner …







  • 1 <img data-src=" />









Z-os a écrit :



Quelles solutions existe-t-il pour remplacer java côté client ?





Flash <img data-src=" />









levhieu a écrit :



Pauvre Total que l’utilisation de courier plus cher aurait pû ruiner …







(Sans prendre partie sur le fond de tout le dossier)



Non, c’est idiot :) : les frais feraient partie du contrat et seraient payés par la communauté, donc cette remarque ironique ne tient pas.



D’autre part, en admettant que cela repose sur le prestataire de service seul (on ne voit pas pourquoi) sans compensation de le communauté, on ne sait pas quel est le “bénéfice / tête” pour la société. Probablement pas très élevé. Or un recommandé simple R1 en Métropole, Guadeloupe, Martinique (pas vérifié les autres tarifs), c’est 2,76 euros par tête, donc pas négligeable dans ce contexte.



Enfin, et sauf erreur de ma part, le vote par correspondance (pas le vote par procuration), dans les pays où il existe (Allemagne, Suisse,…), ne fait pas intervenir de recommandés non plus. (Et je ne dis pas que c’est bien ! )









millcaj a écrit :



(Sans prendre partie sur le fond de tout le dossier)



Non, c’est idiot :) : les frais feraient partie du contrat et seraient payés par la communauté, donc cette remarque ironique ne tient pas.



D’autre part, en admettant que cela repose sur le prestataire de service seul (on ne voit pas pourquoi) sans compensation de le communauté, on ne sait pas quel est le “bénéfice / tête” pour la société. Probablement pas très élevé. Or un recommandé simple R1 en Métropole, Guadeloupe, Martinique (pas vérifié les autres tarifs), c’est 2,76 euros par tête, donc pas négligeable dans ce contexte.



Enfin, et sauf erreur de ma part, le vote par correspondance (pas le vote par procuration), dans les pays où il existe (Allemagne, Suisse,…), ne fait pas intervenir de recommandés non plus. (Et je ne dis pas que c’est bien ! )







Moi non plus je ne prenais pas partie sur le fond du dossier.

Mais je maintiens ma remarque (qui cherche à faire au moins un peu sourire soit dit en passant), parce que je continue à trouver cet argument pitoyable quand on compare avec les montants habituellement en jeu dans le secteur professionel de Total.



Pour ceux qui se souviennent l’affaire des «avions renifleurs», j’ai eu droit à l’époque à la remarque suivante par un professionnel du pétrole que ça avait coûté à peine plus qu’un forage comme ceux qu’on fait en phase de prospection.





La réalité des cyber-attaques massives via applets « java » constatées en ce début d’année 2013 nous ont donné raison et le rapport ci-joint émis par l’ANSSI le 19 avril 2013 conclut dans sa dernière recommandation :



« Lorsque cela s’avère réalisable simplement, remplacer les applications légères Java par des applications alternatives. Ne plus nécessiter les modules complémentaires Java dans les navigateurs Web des postes utilisateurs permet de réduire notablement leur surface d’attaque.



Attention toutefois à ne pas remplacer un environnement d’exécution Java au profit d’une autre technologie nécessitant des modules complémentaires apportant potentiellement d’autres vulnérabilités. »



La recommandation CNIL d’utiliser un logiciel téléchargé qu’il soit donc une applet java ou un code javascript pour assurer des fonctions de sécurité dans une application web est donc aujourd’hui clairement proscrit par l’ANSSI comme par tous les spécialistes de sécurité du monde l’internet. »





Il est pas mal leur raisonnement, je propose de le pousser un peu plus loin. L’utilisation d’un système informatisé expose à une faille informatique. Donc il vaudrait mieux rester à un système de vote non informatisé pour réduire la surface d’attaque.



J’ai bon ?








yoda222 a écrit :



Il est pas mal leur raisonnement, je propose de le pousser un peu plus loin. L’utilisation d’un système informatisé expose à une faille informatique. Donc il vaudrait mieux rester à un système de vote non informatisé pour réduire la surface d’attaque.



J’ai bon ?





<img data-src=" /><img data-src=" />



D’accord pour faire des achats via l’internet, pas d’accord pour le vote. Il ne s’agit pas que de la sécurité de l’acte de vote mais aussi de celle du dépouillement. Dans le vote électronique où est le contrôle du dépouillement par les citoyen ?


Premier point, pourquoi pas, même si j’ai du mal a croire que l’on puisse réellement valider tout ces points pour un vote par internet (tout particulièrement la partie contrôle).



second point, là aussi pourquoi pas, même si pour un vote “classique”, le problème des votes par correspondance sera minoré par leur faible pourcentage (ça dépend de l’élection).



La réponse au 3éme point est par contre un pur scandale, et un étalage de mauvaise fois.

L’avis de sécurité sur Java concerne la sécurité du poste de l’utilisateur, pas la sécurité d’un vote. Ou alors ils sous-entendent que leur applet fournie par leur site de vote pourrait être malveillant, s’ils avaient utilisé ce (cette? ;-) ) mécanisme?

Et le ponpon, ils enchaînent avec un amalgame “Java”/“Javascript”, ben! Bien sur! C’est pareil, il ferraient bien de ne pas utiliser le html, et le https non-plus, c’est ce fichue plug-in que l’on appel navigateur qui le gère (sans parler de l’OS, du pilote vidéo qui peut afficher un nom et en envoyer un autre).

Du Javascript permettrait a l’utilisateur de vérifier que le code qui chiffre son vote est bien celui validé (maigre consolation).



Le vote par internet (comme le vote électronique) ne peut pas a l’heure qu’il est être une vraie solution de vote démocratique, pour une élection avec un vrai enjeu, en tout cas.