Le vote électronique menace la démocratie

---

Les élections sont un moment essentiel de la vie démocratique d’un pays. Mais pour qu’elles soient légitimes, leur transparence et la possibilité offerte aux citoyens d’en contrôler le processus doivent être garantis. Ce ne sera pas le cas aux prochaines législatives.

Aux élections législatives de 2012, les citoyens français expatriés se verront proposer une nouvelle modalité de vote : le vote par internet. Même s’il ne s’agit que d’une minorité d’électeurs, le processus électoral doit être irréprochable. Il ne le sera pas.

Le document suivant se propose de synthétiser les différents points qui conduisent à mettre en cause le vote par internet prévu en mai et juin prochain.

COMMENT ÇA MARCHE ?

Le fonctionnement du logiciel de vote étant un secret industriel, nous nous baserons sur les documents 1, 2 et 4 pour définir le fonctionnement du dispositif électoral sur internet (1). Aucune documentation technique détaillée relative à ce dispositif électoral ne figure cependant sur les sites gouvernementaux français.

Le déroulement du vote par internet (dispositif Pnyx) sera le suivant :

Les électeurs qui en ont fait la demande auprès de leur consulat recevront par courrier leur identifiant ainsi qu’un mot de passe qui y est associé.
Ils pourront, durant une semaine pour chaque tour, voter par internet sur le site web.

Ils consulteront la page depuis le navigateur internet, celle-ci est hébergée dans le data-centre de la société Scytl en Espagne. La mise en place et l’administration du système de vote électronique sont en effet réalisées par une entreprise privée basée à Barcelone qui n’a pas de bureau en France. Les serveurs web qui accueilleront les électeurs sont eux-mêmes en Espagne. C’est la première fois qu’une élection est ainsi partiellement sous-traitée et même délocalisée.

À l’aide d’une application Java lancée automatiquement sur l’ordinateur de l’utilisateur, l’électeur renseignera ses identifiants, effectuera son choix de vote et confirmera. Il recevra ensuite un reçu.

L’application Java effectuera une signature électronique et un chiffrement du bulletin de vote et l’enverra vers le data-centre de scytl. Seul le gouvernement français disposera des clés cryptographiques nécessaires au déchiffrement du bulletin de vote.

Une fois la période de vote close, le gouvernement récupèrera l’ensemble des bulletins de vote électroniques par internet et procédera à leur déchiffrement et au comptage des voix de manière automatisée.

Une fois les élections terminées, les électeurs pourront vérifier à partir de leur reçu que leur vote a bien été pris en compte à l’aide d’une page web gouvernementale prévue à cet effet.

AUCUNE PREUVE D’UN DÉCOMPTE HONNÊTE DES VOTES

Le vote électronique pose un problème de transparence évident pour plusieurs raisons :

Il n’existe aucune preuve que le gouvernement a procédé au comptage des voix de manière honnête

Les modalités de fonctionnement du dispositif sont des secrets industriels détenus par une entreprise privée.

Une très petite part de la population a les capacités nécessaires pour auditer un tel système. Son fonctionnement restera donc incompris par la plupart des électeurs.

PROBLÈMES DE CONCEPTION : DES RISQUES À TOUTES LES ÉTAPES

Le dispositif Pnyx présente à nos yeux certaines faiblesses de conception. On entend par « faiblesse de conception » une faiblesse présente même si les spécifications techniques de la solution ont été implémentée de manière optimale.

Les ordinateurs des électeurs sont piratables

L’ordinateur de l’électeur est un élément central du mécanisme de vote par internet. Un utilisateur malveillant qui aurait un accès en tant qu’administrateur à l’ordinateur pourrait, de manière discrète, modifier le comportement des applications exécutées par l’électeur, notamment du navigateur internet ou de la machine virtuelle Java qui exécute l’application de vote. D’où une perte de confidentialité possible du vote et surtout le risque d’une modification malveillante du vote lui-même. La manipulation pourrait être indétectable par les services gouvernementaux et par Scytl car elle aurait lieu uniquement sur l’ordinateur de l’électeur.

La plupart des citoyens ont des compétences très limitées en sécurité informatique. Ils sont donc très vulnérables à une éventuelle prise de contrôle de leur ordinateur à distance et à leur insu. Il existe plusieurs moyens d’obtenir un accès à distance, en tant qu’administrateur, de n’importe quel ordinateur. Certains faits montrent que la menace de compromissions des ordinateurs personnels est une réalité. Par exemple :

Le virus informatique Stuxnet, l’un des plus perfectionnés jamais découverts, utilisait 4 failles de sécurité différentes, toutes inconnues jusqu’à la découverte du virus. Les spécialistes estiment que le virus a été développé en quelques mois par une équipe de 5 à 10 personnes. Il était totalement indétectable par les logiciels anti-virus et est parvenu à arriver jusqu’au cœur de centres nucléaires iraniens qu’il a en parti détruits.

En 2008, des pirates informatiques ont vendu l’accès à un mouchard présent sur 40 000 à 100 000 ordinateurs à 25 000 € à un tiers, soit moins de 1 € par ordinateur contrôlé.

Un grand nombre de « maillons » de la chaîne de production des différents composants matériels et logiciels d’un ordinateur peuvent potentiellement installer une « porte dérobée », c’est-à-dire un mécanisme discret permettant la prise de contrôle à distance de l’ordinateur. Cette menace est actuellement prise très au sérieux par les États-Unis au sujet du matériel « made in China ».

Le réseau Internet est loin d’être « blindé »

On sait que pour aller d’un point à un autre sur internet, une information passe généralement par plusieurs dizaines de machines reliées entre elles par divers supports (wifi, câble cuivre, fibre optique etc.). Chacune de ces machines connaît la source et la destination de l’information qu’elle transmet. Certaines personnes ont des accès « administrateur » sur ces machines. Ces accès peuvent être légitimes dans le cas d’un technicien de maintenance, d’un administrateur du réseau d’un Fournisseur d’Accès Internet (FAI) ou d’un service gouvernemental par exemple. Ils n’en demeurent pas moins vulnérables à la corruption, à la malveillance, etc. Ils peuvent être illégitimes dans le cas de pirates.

Toute personne ayant un accès administrateur sur une des machines peut altérer ou rediriger de façon ciblée des informations, afin, par exemple, de faire utiliser aux électeurs une fausse application Java de vote qui enregistre un choix différent de celui voulu par l’électeur ou qui compromet la confidentialité du bulletin de vote électronique. Enfin, on ne peut pas exclure le risque d’une coupure malveillante de l’accès au site pour tel ou tel électeur, par exemple par zones géographiques.

La structure d’internet fait qu’il n’est parfois même pas nécessaire d’avoir un accès administrateur sur l’une des machines qui relaient l’information pour pouvoir la détourner ou l’empêcher d’arriver à destination. En 2008, le Pakistan a voulu bloquer l’accès au site Youtube depuis son territoire. Une erreur de configuration a coupé l’accès au site depuis l’Europe et une partie de l’Asie. Plus grave, en 2010, les connexions vers des sites gouvernementaux des États-Unis ont été détournées vers des serveurs en Chine avant d’être finalement amenées à destination de manière transparente. Des informations hautement confidentielles ont ainsi transité par les serveurs chinois et ont très probablement été enregistrées.

Ces exemples montrent qu’aujourd’hui, aucun gouvernement ne peut contrôler entièrement le chemin emprunté par les informations qui transitent sur internet, ni par conséquent empêcher leur altération.

La signature de l’application Java ne protégera pas contre l’altération de l’application durant son transit par internet car il est relativement facile de faire signer n’importe quelle application. L’utilisation d’un protocole sécurisé pour accéder à la page web (HTTPS) n’apporte qu’une protection limitée car il est possible d’utiliser des astuces liées aux spécificités du web (comme le montre le logiciel SSLStrip) pour contourner la protection. Il est également possible, bien que relativement difficile, de fabriquer un faux certificat en compromettant l’infrastructure de Scytl ou une autorité de certification électronique et ainsi mener une attaque « propre ». Des compromissions d’autorités de certification ont été observées ces dernières années. Le virus Stuxnet utilisait ainsi de faux certificats.

Quoi qu’on en dise, la page actuelle du dispositif prévu pour les législatives n’utilise pas le protocole sécurisé HTTPS mais le protocole non-sécurisé HTTP.

La société Scytl : notre vote est-il entre de bonnes mains ?

L’entreprise Scytl assure le bon déroulement de l’élection par internet et héberge le site web de l’élection ansi que l’application Java et le système de collecte de votes. L’entreprise (ou certains de ses employés, avec ou sans l’accord de la direction) peut donc, par exemple, modifier l’application Java afin de ne pas respecter le choix des électeurs ou la confidentialité des bulletins de vote. L’entreprise peut aussi ne pas prendre en compte les votes de certaines personnes sélectionnées d’après certains critères comme par exemple la localisation géographique.

La possibilité que quelqu’un d’extérieur à l’entreprise puisse administrer le serveur, à l’aide d’un piratage informatique ou d’une autre forme de compromission (corruption, abus de faiblesse afin d’obtenir un accès illégitime…) doit être prise en compte étant donnée l’importance des enjeux.

L’État français contrôle peut-être, mais qui contrôle l’état français ?

Une action de malveillance de la part du groupe de fonctionnaires chargés du dépouillement constituerait la compromission ultime du système de vote par Internet. Le gouvernement (ou ses agents) est capable, avec ce système, de modifier les résultats d’une élection de manière totalement indétectable (sauf fuites ou résultats aberrants). Le document 2 précise d’ailleurs que le système n’offre aucune protection contre un ennemi venu de l’intérieur.

IMPLÉMENTATION DOUTEUSE

Le document 2 comporte une part importante d’analyse détaillée de la réalisation du projet et du résultat obtenu, il pointe notamment les éléments suivants :

Un manque de documentation sur le cycle de développement de l’application et ses spécifications détaillées.

Certaines parties de la solution sont écrites en C++. D’après l’équipe qui a rédigé ce document ce choix n’est pas justifié, d’autant plus que de nombreuses fonctions « à risque » (d’un point de vue sécuritaire) sont utilisées.

Un manque d’analyse statique et de tests.

Du laxisme dans le versionnage, modifications sans changement du numéro de version.

Des bugs, dont certains entraînent des risques de sécurité.

Des faiblesses et des imprécisions en matière de cryptographie.
Pour plus de détails sur ces éléments je vous encourage à consulter le document 2.

Cette courte énumération montre un manque de rigueur de la part de Scytl dans le développement de Pnyx.

CONCLUSION

Du fait de sa conception, le système de vote par Internet utilisé pour les législatives 2012 présente de multiples vulnérabilités. Des faits récents montrent qu’elles ont déjà été exploitées dans d’autres contextes. Même si dans certains cas d’attaques il serait en théorie possible de détecter l’anomalie (avec l’aide d’experts en sécurité informatique), l’attaque peut dans tous les cas être particulièrement discrète aux yeux d’un utilisateur moyen et ciblée sur des populations dont les compétences en sécurité informatique sont statistiquement moindres (zones rurales, personnes âgées, etc.). Enfin, il existe des scénarios dans lesquels l’attaque serait totalement indétectable ou largement indétectable, et passerait dans ce dernier cas pour une simple erreur si elle venait à être détectée.

L’opacité du système, qui empêche le citoyen de vérifier avec un degré de certitude élevé qu’il n’y a pas eu de fraude est le premier et le plus évident des problèmes posés par ce système. Pour la première fois dans l’histoire de la V^e République, on exigera de l’électeur une confiance aveugle, car privée de regard envers le gouvernement chargé de l’organisation du scrutin.

À supposer même que le gouvernement et son prestataire privé Scytl puissent être de bonne foi, eux-mêmes ne peuvent absolument pas garantir une protection totale de nos votes contre les failles relevées. Les résultats pourront donc être faussés, et il est possible que nul de s’en aperçoive.
Tous ces éléments doivent mettre en garde les citoyens français et leur élus afin qu’ils s’opposent à la mise en pratique d’un tel système de vote. Si un tel système était mis en place la légitimité du processus électoral français pourrait être remise en question et la confiance des Français dans ce système pourrait être affaiblie. Nous demandons le retrait de ces machines et nous vous invitons à faire tout ce qui sera nécessaire pour démontrer la possibilité de fraude.

...................

Note (1) : Cette analyse s’appuie sur les documents suivants :

-  1 : Plaquette de présentation du dispositif « Pnyx Government »

-  2 : L’analyse du système Pnyx par l’université d’État de Floride

-  3 : Un rapport présenté au Congrès des États-Unis par l’U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION

-  4 : Une page web expliquant le déroulement des élections professionnelles 2011 de l’Éducation Nationale qui utilisaient la même technologie.

-  5 : Une lettre du Directeur des Français de l’étranger et de l’administration consulaire au Ministère des Affaires étrangères.

---