l’absence de transparence du vote par internet


article de la rubrique démocratie
date de publication : mardi 29 mai 2012
version imprimable : imprimer


L’informatique intervenant désormais dans quasiment tous les domaines de la vie courante, il a pu sembler naturel à certains d’envisager son utilisation pour les élections.

Le pas vient d’être franchi pour les Français de l’étranger à l’occasion des élections législatives de ce printemps 2012. Les opérations électorales ne sont pas achevées que déjà plusieurs bugs ont été mis en évidence, confirmant que le vote par internet est moins fiable que le “vote papier” car sa complexité introduit de multiples failles de sécurité. En effet le processus électoral, à la base de la vie démocratique, présente des caractéristiques tout à fait particulières [1] :

  • confidentialité : chaque électeur peut effectuer son choix en secret,
  • anonymat : il doit être impossible de faire un lien entre un bulletin et l’électeur qui l’a choisi,
  • sincérité : les résultats du scrutin doivent fidèlement refléter les choix des électeurs – alors qu’il y a toujours eu des tentatives de fraude ...

Mais, à supposer que tous les bugs soient réparés – rêvons ! – , il reste le point essentiel : le manque de transparence inhérent à l’outil informatique rendant impossible le contrôle effectif par les électeurs de toutes les étapes du scrutin entraînera inéluctablement des doutes sur la sincérité des élections.


Inquiétudes autour du vote par Internet des expatriés

par Chloé Woitier, Le Figaro, publié le 22 mai 2012, mis à jour le 23


Les Français de l’étranger pourront voter dès mercredi par Internet pour élire leurs députés à l’Assemblée nationale. Mais des voix s’élèvent contre un mode de scrutin jugé peu sûr.

À partir de mercredi, et jusqu’au 29 mai, les Français établis à l’étranger auront la possibilité pour la première fois d’élire leur député sur Internet. Cette solution, qui s’offre en plus du vote à l’urne dans un bureau traditionnel ou du vote par courrier, a été développée pour permettre aux expatriés vivant loin d’un bureau de vote (généralement installés dans les ambassades et consulats) de pouvoir participer en masse aux élections législatives. De fait, le ministère des Affaires étrangères estime que sur les 1,1 million de Français inscrits sur les listes électorales consulaires, 700.000 devraient opter pour le vote électronique.

Ces derniers ont reçu par courrier ou par SMS un identifiant, et par email un mot de passe. Ces derniers permettent d’accéder à une page Internet spéciale permettant de voter. Un nouveau mot de passe sera envoyé pour le second tour, prévu du 6 au 12 juin.

Si cette innovation technologique semble de prime abord positive, des spécialistes de l’informatique ont tiré ces derniers jours la sonnette d’alarme. Selon eux, le vote par Internet est loin de présenter les mêmes gages de transparence que le vote traditionnel papier. Le Parti pirate, qui dénonce l’opacité du vote, a mis en place un site Internet pour recueillir des témoignages d’électeurs.

Les dysfonctionnements des élections prud’homales par Internet en 2008 sont cités en exemple. Logiciel de vote non expertisé dans son intégralité, intervention technique sur « l’urne virtuelle », impossibilité de valider son vote sous le navigateur Firefox, listes d’émargements non télétransmises suite à un bug, et transportée par clé USB sans « qu’aucune garantie ne soit apportée sur l’origine du fichier » ... la liste des problèmes soulevés par la Cnil est longue et, pour les détracteurs du vote par Internet, ne prête guère à la confiance pour le scrutin de cette semaine. Leur critique s’est concentrée sur les points suivants :

Un scrutin opaque

Dans un scrutin classique, des assesseurs, des représentants des partis politiques et même de simples citoyens vérifient que le vote se déroule selon les règles de la démocratie et qu’il n’y a aucune fraude. Le bon déroulement du vote des 700.000 Français de l’étranger sera lui surveillé par une seule personne. Un arrêté publié le 8 mai 2012 au Journal officiel stipule que l’expertise indépendante, « destinée à vérifier le respect du secret du vote, de la sincérité du scrutin et de l’accessibilité du suffrage », sera conduite par « un informaticien spécialisé dans la sécurité » et « n’ayant pas d’intérêt financier dans la société qui a créé le dispositif de vote ».

Si les candidats aux législatives ont le droit de désigner un « délégué habilité à contrôler les opérations de vote par voie électronique », seuls le Parti pirate et le Parti de Gauche ont saisi cette opportunité. Mais leur demande d’examiner le code-source du logiciel de vote a été rejetée, secret industriel oblige. [...]

Un scrutin sous-traité dans le privé et délocalisé

Pour mettre en œuvre ce scrutin par Internet, l’État français a choisi le prestataire espagnol Scytl. Ce dernier a créé le logiciel de vote et héberge dans ses serveurs la page permettant aux expatriés de voter. En clair, la partie cruciale du vote (recueil des bulletins, scellement et descellement de l’urne virtuelle) est déléguée à une entreprise privée et non française. Or, en 2010, la Cnil estimait « hautement souhaitable que les serveurs et les autres moyens informatiques centraux du système de vote électronique soient localisés sur le territoire national afin de permettre un contrôle effectif de ces opérations par les membres du bureau de vote ».

Comme évoqué plus haut, il a été refusé au citoyen de s’assurer que la solution logicielle de Scytl est parfaitement sûre (pas de bourrage d’urne, de rejet de certains votes, d’intrusion externe ...), sauf à violer le secret industriel.

Un risque non négligeable de piratage

[...] L’article 8 de l’arrêté du 27 avril 2012 stipule « qu’à défaut d’utiliser le protocole sécurisé HTTPS », l’électeur devra être informé que « le secret et l’intégrité de leur vote ne pourront être garantis ». En clair, il pourra voter, mais rien ne dit que son bulletin ne pourra pas être lu ou changé à son insu. La Cnil avait pourtant recommandé que le vote électronique soit impossible sans connexion HTTPS.


Bugs en série pour le vote par Internet des expatriés

par Chloé Woitier, Le Figaro, le 24 mai 2012


Une mise à jour de Java, logiciel indispensable pour le vote par Internet des expatriés, sème la pagaille dans le scrutin. Pour pouvoir voter, les internautes bloqués devront utiliser un autre ordinateur.

Suite à la publication de notre article sur les craintes autour de la fiabilité du vote par Internet, de nombreux lecteurs du Figaro.fr établis à l’étranger nous ont signalé leurs difficultés pour réussir à voter sur le site des élections législatives. 700.000 des 1,1 million d’expatriés inscrits sur les listes électorales consulaires ont en effet la possibilité d’élire leur député à l’Assemblée nationale en utilisant un site Internet dédié, mais la tâche se révèle plus ardue que prévu.

Le message de l’internaute « Vue d’Espagne » résume à lui seul les difficultés que rencontrent les expatriés. « J’ai essayé une douzaine de fois entre 15h et 16h [mercredi, jour de l’ouverture du vote par Internet]. La configuration de mon ordinateur est acceptée, j’accède à l’écran où on demande l’identifiant et le mot de passe, je les mets et là, à chaque fois, j’ai le même message d’erreur : “Les certificats fournits ne forment pas une chaine de certificats” (l’erreur orthographique dans le message d’erreur est authentique) », explique cette internaute. « J’ai appelé le numéro de téléphone d’aide, je tombe sur un répondeur qui me dit de rappeler plus tard parce que toutes les lignes sont occupées. J’en déduis que je ne suis pas la seule dans ce cas. J’ai écrit un message sur le formulaire d’aide en ligne, j’attends la réponse. »

D’autres internautes (Yadesbugs en Angleterre, Joel Borie en Arizona), confirment eux aussi avoir eu le message d’erreur. L’appel à témoignages du Parti pirate est également truffé de récits similaires. La raison de ce bug est surprenante : la page Internet permettant de voter n’est pas compatible avec la toute dernière version (1.7) de Java, logiciel indispensable pour pouvoir exprimer son choix.

« Désactiver momentanément l’antivirus »

L’éditeur de Java a en effet mis en ligne il y a quelques jours la dernière version de son logiciel. Bien souvent, ces mises à jour sont faites automatiquement. Or, cette version 1.7 n’est pas compatible avec le logiciel de vote développé par la société espagnole Scytl. Le ministère des Affaires étrangères le reconnaît sur son site d’aide : « Si votre ordinateur est équipé de la dernière version majeure de Java, 1.7, publiée il y a quelques jours, vous ne pourrez pas l’utiliser pour voter. Dans ce cas, nous vous recommandons de voter depuis un autre ordinateur équipé d’une version de Java 1.6 (version 1.6.0_18 à version 1.6.0_32). » Or, si l’internaute n’a jamais installé Java, c’est la version 1.7 qui lui sera proposée.

Traduction : un expatrié ne peut pas voter avec un ordinateur parfaitement mis à jour. Il devra donc voter sur un autre ordinateur ayant une version inférieure de Java, ou bien désinstaller la version 1.7 pour mettre la version 1.6, opération compliquée pour les non-férus d’informatique.

Autre surprise sur le site d’aide du vote en ligne. Ce dernier conseille de « désactiver momentanément l’antivirus » de l’internaute si ce dernier n’arrive pas à afficher la fameuse page de test de configuration. Pour voter, le citoyen expatrié doit donc prendre le risque de voir son ordinateur corrompu.

Hotline au coût d’un appel vers la France

Le problème de mise à jour de Java affecte également les utilisateurs du navigateur Firefox. [...]

Couacs dans l’envoi des identifiants et mots de passe

Pour pouvoir voter, les expatriés ont reçu par courrier ou SMS un identifiant, puis par mail leur mot de passe. Sur le site du Parti pirate, un internaute affirme que le courrier « n’est pas parvenu à beaucoup de personnes en Égypte, Gabon et Maroc. Les SMS ne parviennent pas car souvent les forfaits locaux n’acceptent pas le SMS étranger ».

L’envoi du mot de passe par mail pose également problème. Ce courriel est en effet envoyé en clair, et non pas de manière chiffrée. « Quand un email circule, toutes les machines qui servent de relais peuvent en théorie lire l’email », rappelle au Figaro Maxime Rouquet, coprésident du Parti pirate. « Si une personne malintentionnée contrôle l’un de ses relais, elle pourrait avoir tous les mots de passe transitant par ce biais-là », explique-t-il. « C’est hallucinant de voir que l’État se permette d’organiser un vote électronique en envoyant en clair des mots de passe. »

P.-S.

Références :

Notes


Suivre la vie du site  RSS 2.0 | le site national de la LDH | SPIP