Français de l’étranger, je suis aussi cofondateur d’EmailAngel, une société spécialisée dans la surveillance des piratages informatiques.
D’habitude, nous nous spécialisons sur la détection de piratages informatiques (nous en découvrons une soixantaine par jour, et avons à notre actif notamment la détection de piratages de grands groupes industriels, de l’UMP, l’ONU, la Nasa, etc)
Mais pour les législatives, nous avons décidé de profiter de notre chercheur en cryptographie et de notre ingénieur en systèmes d’information pour tester pour vous le vote par Internet.
En théorie, il semble présenter de nombreux avantages:
- La rapidité et la facilité, donc un vrai outil pour faire baisser le taux d’abstention,
- L'amélioration de la qualité de vote pour les personnes à mobilité réduite,
- Plus besoin pour les élus locaux de mendier des scrutateurs pour dépouiller les votes.
Mais creusons bien. Prenons le processus numérique dans l’ordre et comparons-le à la bonne vieille méthode du vote papier.
1/ Derrière votre écran, qui sait que vous êtes seul?
Derrière votre écran vous n’êtes pas dans un isoloir. Qu’est-ce qui prouve que vous votez sans subir des pressions extérieures? Dans l'isoloir vous êtes seul avec votre vote, comme exigé par le code électoral, et personne ne peut exercer de pression sur vous. De telles pressions, soit des menaces, soit une incitation financière pour revendre son vote, sont tout à fait envisageables à grande échelle dans ce contexte.
Ensuite, vous votez avec votre ordinateur personnel, ou de bureau, ou d’un cyber-café. Qu’est-ce qui prouve que l’ordinateur sur lequel vous votez n’est pas infecté par un virus ou autre logiciel malveillant qui pourrait vous espionner?
Selon l’Insee, 1 ordinateur sur 3 serait infecté. Par exemple, EmailAngel détecte le piratage de 15.000 comptes emails en moyenne chaque jour, cette menace n’est pas anecdotique, elle est même particulièrement répandue.
Avec le vote électronique, se pose le problème de la confiance dans le matériel utilisé et, concernant les risques de fuite, il est plus facile de faire confiance à une enveloppe en papier qu'à son ordinateur personnel.
Enfin petite anecdote de taille, toute la procédure de vote se passe dans une application Java, mais impossible de voter si vous possédez un ordinateur à jour avec la dernière version (version 7) de Java. Vous ne pourrez pas voter si vous n'installez pas une version antérieure et donc dégradée de Java (contenant probablement des failles de sécurité).
2/ L’envoi du vote, est-il vraiment chiffré?
Une fois la touche «a voté» appuyée, les données partent de votre ordinateur vers celui du gouvernement qui collecte les votes. Le saviez-vous, la loi autorise le transfert de l’information en clair sur internet (en protocole http et non httpS pour les initiés).
Il semblerait que l'application Java se charge de chiffrer la communication dans tous les cas, mais qu'est-ce qui le garantit? L'utilisateur doit-il lui même vérifier que les données que sa machine envoie ont effectivement été chiffrées?
Si aucun chiffrement n'est utilisé, certaines informations seront accessibles à votre fournisseur d'accès internet (FAI), ou à l'administrateur de n'importe quel routeur entre votre ordinateur et le serveur qui collecte les votes (en particulier, votre infrastructure internet est gérée par le gouvernement de votre pays de résidence auquel vous ne faites pas forcément confiance). Parmi ces informations se trouvent:
- le contenu de votre vote,
- votre identifiant pour le vote,
- l’adresse internet (adresse IP) de votre ordinateur.
Plus de détails pour nos lecteurs les plus geeks en cliquant sur le (+)
3/ La gestion de votre vote sur le serveur, mystérieuse
Une fois votre vote arrivé sur le serveur qui traite et stocke les votes, sachez que le gouvernement n’a pas voulu communiquer sur ce sujet en ne révélant pas officiellement le prestataire, même si on sait, notamment parce qu’elle l’indique sur son site, que l’entreprise Scytl fournit une partie de ces solutions, et qu’elle se charge aussi du service d’aide aux électeurs.
D’après Le Figaro, ce prestataire espagnol a créé le logiciel de vote et héberge dans ses serveurs la page permettant aux expatriés de voter, là où la Cnil avait conseillé de prendre un prestataire français pour permettre «un contrôle effectif de ces opérations par les membres du bureau de vote».
Selon les experts d’EmailAngel.org en cryptographie et en sécurité informatique, même si le code du logiciel a été vérifié, certifié, il serait illusoire de croire qu’il n’y ait pas de faille ou qu’il est impossible d’introduire une backdoor (porte dérobée dans un logiciel). Peut-on faire confiance aux développeurs du logiciel alors qu'on ne connaît même pas leur identité?
De plus, pour que l'anonymat soit garanti, il faudrait que le protocole utilise deux serveurs distincts: l'un collectant les votes mais ne pouvant pas connaître leur contenu, l'autre dépouillant les votes, mais les recevant «mélangés», de façon à ce qu'il soit impossible de les lier à une identité quelconque. C'est peut-être le cas, mais encore une fois, aucune information n'est disponible sur le sujet.
4/ Le dépouillement et sa preuve qui ne prouve rien
Dans le protocole actuel, après avoir voté sur internet, on reçoit une «preuve» qui permet après dépouillement de vérifier que son vote a bien été pris en compte. Ceci est très important dans les protocoles de vote électronique car c'est le seul moyen pour chacun de vérifier qu'au moins un vote (le sien) a bien été compté comme il faut.
Il suffit qu'une toute petite fraction des votants vérifie son vote pour être certain qu'aucune fraude massive n'a pu être faite sans être détectée. Tout cela semble donc parfait, mais qu'est-ce qui prouve que la vérification de la «preuve» se fait bien comme il faut? Le logiciel pourrait simplement toujours dire que la preuve est valide sans rien vérifier.
A nouveau il manque simplement une communication de la part de l’organisateur du vote pour expliquer le protocole utilisé et une vérification de la part d’expert tiers afin de s’assurer que tout a été mis en œuvre comme promis.
Une opacité nuisible
Communiquer sur la méthodologie de chiffrage et des protocoles utilisés n’aurait en rien nuit à la sécurité de ce vote, bien au contraire, cela aurait donné une plus grande confiance aux potentiels votants et experts entourant celui-ci, en revanche l’opacité qui entoure le sujet nous laisse circonspects, et crée un doute commun à tous les spécialistes s’étant penchés sur le sujet se résumant en cette question:
«En quoi ce protocole de vote garantit l'anonymat et la bonne prise en compte des votes?»
Enfin la solidité d’une chaîne est égale à celle du maillon le plus faible, or, avec le vote électronique on rajoute de nombreux maillons (matériels, logiciel, société de développement informatique) et nous n’avons aucun moyen de savoir s’ils sont au moins aussi solides qu’une urne de vote en plastique transparent.
A l’heure actuelle, et de la façon dont ce premier vote par Internet a été mis en œuvre, il nous semble que les inconvénients prennent le pas sur les avantages. C’est pour cela que l’équipe d’EmailAngel.org s’abstiendra de voter par internet pour ces élections.
Eric Valatini
pour l'équipe de EmailAngel
