« L'écran d'une urne électronique n'est pas une urne »

René Magritte v.2 184
Par
le mardi 29 mai 2012 à 11:56
Marc Rees
Sur les 700 000 Français de l’étranger en âge de voter, 100 000 ont déjà choisi le vote par Internet. Le scrutin s’achève aujourd’hui à midi. Après le second tour, 11 députés, issus d’autant de circonscriptions étrangères, seront pour la première fois élus.

Selon le ministère des Affaires étrangères, tout est pour le mieux dans le meilleur des mondes : « cette option de vote électronique vise à faciliter l’exercice du droit de vote de nos compatriotes établis à l’étranger parfois très loin des bureaux de vote. Elle s’ajoute à la possibilité de vote à l’urne, par correspondance ou par procuration ». La période de vote s’achèvera aujourd’hui à midi pour le premier tour. Pour le second tour, les internautes pourront s’exprimer entre du mercredi 6 juin (12h00) au mardi 12 juin (12h00), heures de Paris.

vote circonscription étranger

Pour les technomarketeux, le rendez-vous est le signe éclatant d’une démocratie moderne sachant profiter et s’enorgueillir des moyens d’aujourd’hui pour insuffler la démocratie au travers des octets.

Cependant, le vote électronique pose plus de problèmes qu’il tente d’en résoudre.

"AndTheWinnerIs"

Pour revenir aux fondamentaux, il faut se replonger dans les excellentes publications du chercheur Roberto di Cosmo qui résumait les problématiques depuis des siècles (en temps informatique). Par exemple, en 2004, l’universitaire décrivait l’enjeu : « un e-citoyen que l’on a bien e-duqué à l’informatique se posera la question de savoir comment il peut bien s’assurer que le logiciel embarqué dans le joli terminal d’e-vote enregistre bien les choix que l’on vient d’y déposer (et dont notre e-citoyen doté d’e-sens critique s’inquiète de n’avoir vu aucune trace physique) : il est soudainement saisi par le doute qu’un programmeur malchanceux aurait pu introduire dans ce code la déclaration d’une constante AndTheWinnerIs, initialisée, à l’insu de son plein gré, avec le nom d’un des candidats » .

Il concluait sans difficulté qu’« il est nécessaire de (…) faire redécouvrir qu’il existe des choses qu’un ordinateur ne peut pas faire, qu’il y a des systèmes de vote qu’aucune avancée scientifique ne pourra rendre sûrs, que notre monde pullule de systèmes informatiques mal conçus qui ne tiennent que par des bouts de ficelles. »

En 2007, alors que l’incendie du vote électronique se poursuivait, le pompier Di Cosmo répétait ses critiques. « Si le vote est purement électronique, le bulletin est dématérialisé au moment du vote, et il devient très difficile (si encore on y arrive vraiment) de garantir ensemble anonymat et vérifiabilité indépendante (c'est à dire, sans faire confiance à des tiers), du moins dans l'état de l'art actuel ». Cette année là, nous évoquions cette proposition de loi d'un sénateur qui rêvait de faire interdire les machines de vote.

Le logiciel libre, un préalable, une illusion

Et à ceux qui voient dans le logiciel libre la solution à tous ces maux, ils s’enfoncent la souris dans l’œil jusqu’à la prise USB : si le libre est un préalable évident à ces opérations, il ne change pas la donne. « L'électeur qui utilise un ordinateur de vote n'a pas fabriqué lui-même entièrement ce code, et ne peut pas lui faire confiance. Peu importe si les sources sont publiées sur internet... peu importe si l'ordinateur affiche un checksum... ces données nous sont présentées par une interface homme-machine, et donc sont une "représentation" de l'intérieur de la machine, qui peut-être faussée. »

Consubstantiellement, dès lors que le processus implique de faire confiance à un tiers, plus qu’à une urne transparente. « Ce tiers peut manipuler le résultat ». Et avec le vote électronique, le train de tiers est un long convoi : « une longue chaîne d'acteurs qui vont des fabricants, aux techniciens, au personnel des mairies, aux ministères concernés ». Et Di Cosmo d’ajouter dans un billet encore de 2007 « le vote citoyen est trop important pour que la moindre trace de doute puisse planer sur son déroulement ».

Cours d'insécurité informatique

2012. Quelques années plus tard, la problématique reste intacte. Le vote par internet suscite un flot d’inquiétudes sur la fiabilité du scrutin. Et ce n’est pas le déroulement et les découvertes techniques qui vont contenir l’incendie. Au contraire, ils y déversent de l’essence par bidon.

Déjà, il est apparu que les ordinateurs doivent posséder une application Java de génération antérieure (1.6) à celle en vigueur (1.7). Un problème qui dépasse l’agacement. C’est elle qui prend en main signature électronique et le chiffrement du bulletin. Vous avez le malheur de posséder une machine à jour ? « Si votre ordinateur est équipé de la dernière version majeure de Java, 1.7, publiée il y a quelques jours, vous ne pourrez pas l'utiliser pour voter » dixit le site officiel destiné à 1) expliquer le vote électronique et 2) rassurer l’électeur internaute. 

Ce premier bug a du coup contraint les autorités à donner un petit cours d’insécurité informatique visant à « installer Java 1.6 (mise à jour 32), puis désactivez Java 1.7 » .

Java insécurité

Mais dans cette longue épopée, d’autres problèmes ont été dénoncés. Paul Da Silva pointera une vulnérabilité d’injection SQL. Le hacker signale aussi que lors du vote, le site vérifie de façon très sommaire « si l’utilisateur n’essaye pas d’accéder au système via un terminal mobile dont la sécurité est assumée comme plus faible (le réseau 3G est potentiellement plus simple à sniffer) ». Problème, « ces vérifications sont en fait cosmétiques et il est possible d’accéder à l’application sans passer par ses vérifications dès lors que l’on connaît le lien à utiliser… Il devient possible de voter depuis n’importe quel terminal, n’importe quel OS, n’importe quelle version de Java… ». Et pour enfoncer un autre gros clou dans le cercueil, Laurent Grégoire a lui publié pour sa part une vidéo illustrant une attaque de type homme du milieu, où le candidat choisi est finalement remplacé par celui d’un autre parti.
 

 
Lundi 21 mai, le Parti Pirate envoyait trois délégués contrôler une partie du dispositif avec des conclusions peu réjouissantes : « Nous avons pu constater une totale séparation des compétences et des observations : les trois élus du Bureau de Vote ont observé les éléments visibles lors de la cérémonie. Mais ils ne peuvent en rien attester des processus dématérialisés, dont la fiabilité repose totalement sur la parole des prestataires, techniciens venant d’entreprises privées. » Craignant plusieurs gros bugs, ils demandent l’accès au code source des programmes permettant le vote électronique, mais l’accès leur sera refusé. « Nous avons assisté à un cérémonial mis en scène pour donner une impression de sécurité et rassurer les officiels, alors qu’il y a une opacité totale des points clefs. »

Vote électronique, faute électronique

Structurellement, comme souligné par Hardkor, les pages sont hébergées dans un data center de la socié Scytl en Espagne. De fait, à chacune de ces strates, de ces étapes, de ces routes, il n’est pas possible pour l’électeur de s’assurer de la fiabilité du dispositif. Son ordinateur peut être vérolé, des tiers peuvent même en prendre contrôle du fait de logiciels non mis à jour. De plus, une fois le vote exprimé, tout se passe dans une boîte noire, soit aux antipodes de notre bonne vieille urne transparente.

Bref, tout ceci n'est que l'exacte application de ce que disait Di Cosmo en 2007, citant Andrew Appel « l'écran d'une urne électronique n'est pas une urne ».