Législatives : des menaces de fraudes sur le vote par internet pour un million d'électeurs

Publié le par dan29000

Législatives : de graves menaces de fraudes planent sur le vote par Internet

Par Agnès Rousseaux (14 mai 2012)


Pour la première fois en France, le vote par Internet sera expérimenté lors des prochaines législatives. Un million d’électeurs français « de l’étranger » sont concernés. Plusieurs failles de sécurité ont déjà été pointées. L’intégrité et la confidentialité du vote ne sont pas garanties, comme l’attestent les informaticiens interrogés par Basta !. Surtout, l’ensemble du processus électoral est laissé entre les mains d’entreprises privées qui cultivent opacité et conflits d’intérêts. Le vote par Internet, ou comment déposséder le citoyen de son droit démocratique. Enquête.

 

Lors des prochaines élections législatives de juin, plus d’un million d’électeurs pourront ne pas se rendre dans l’isoloir et voter par Internet. À la suite de la réforme constitutionnelle de 2008 voulue par Nicolas Sarkozy, le vote par Internet sera proposé aux « Français établis hors de France » qui éliront pour la première fois onze députés. Bugs, risques de piratages et de fraudes, sécurité et confidentialité non garanties, sous-traitance à des entreprises privées et délocalisation à l’étranger : le vote par Internet est bien loin d’être infaillible. L’ancien gouvernement est pourtant passé outre. La Commission nationale de l’informatique et des libertés (Cnil) avait exprimé ses réserves en 2010, estimant « que les systèmes de vote existants ne fournissaient pas encore toutes les garanties exigées par les textes légaux ». Elle a rappelé en début d’année les « risques particuliers que ces traitements peuvent présenter pour les personnes, notamment la divulgation de leurs opinions politiques, la manipulation de leur droit de vote ». Rien que ça.

Ces mises en garde ont été ignorées. Le vote du premier tour sera ouvert sur Internet à partir du 23 mai, et durera une semaine sur le site www.votezaletranger.gouv.fr. Le principe ? L’électeur se connecte avec des identifiants qui lui sont transmis par courrier postal et par SMS, et avec un mot de passe reçu par messagerie électronique. Le vote, crypté, est transmis à une urne électronique. Seul l’État français dispose des clés cryptographiques nécessaires au dépouillement. Un reçu est délivré à l’électeur, confirmant que son vote a bien été enregistré. Un système qui présente de nombreuses failles, pointées par « HardKor », un informaticien qui a analysé ce système avec le collectif des Désobéissants et le mouvement Telecomix. « Les ordinateurs des particuliers sont le point le plus vulnérable du dispositif, estime-t-il. Un utilisateur malveillant pourrait prendre le contrôle à distance de l’ordinateur et modifier le comportement des applications exécutées par l’électeur. » Résultat : une perte de confidentialité ou une modification à distance du vote émis. Comme si l’isoloir était ouvert ou le vote échangé au moment de l’introduction dans l’urne. Une modification indétectable « car elle aurait lieu uniquement sur l’ordinateur de l’électeur », souligne HardKor.

Un risque de fraudes assumé par le gouvernement

Autre faille : le réseau Internet lui-même. Le trafic vers les serveurs de collecte des bulletins peut être intercepté. La Cnil a recommandé d’interdire le vote électronique si le protocole sécurisé (https) n’est pas disponible dans le pays. Là encore, l’ancien gouvernement Fillon est passé outre. Si le protocole https n’est pas utilisé, les électeurs seront seulement « informés » que « le secret et l’intégrité de leur vote ne pourront être garantis » [1] ! Imaginez une affiche « fraude possible » et « vote à bulletin pas forcément secret » à l’entrée de votre bureau de vote ! Quant au centre de dépouillement, il n’est normalement pas accessible par Internet. « Mais même avec des observateurs devant l’écran de contrôle, on ne voit pas à l’œil nu ce que fait l’unité centrale de l’ordinateur, explique HardKor. C’est un système centralisé : quelqu’un qui pirate le serveur central peut changer un vote comme en changer un million. » Comme si quelqu’un pouvait glisser ses mains dans l’urne avant le dépouillement.

Autres points faibles : le logiciel utilisé, qui se lance dans le navigateur de l’électeur. Là aussi, l’opacité est totale. Faire l’analyse de ce logiciel est considéré comme une violation du secret industriel. Il demeure la propriété d’une entreprise espagnole, Scytl, dont le siège se trouve à Barcelone. « La page de vote est aussi hébergée dans le data-centre (lieu de stockage de serveurs) de la société en Espagne », explique HardKor. Une partie du processus électoral est donc à la fois sous-traité à une entreprise privée et délocalisé dans un pays étranger ! En 2010, la Cnil estimait pourtant « hautement souhaitable que les serveurs et les autres moyens informatiques centraux du système de vote électronique soient localisés sur le territoire national afin de permettre un contrôle effectif de ces opérations par les membres du bureau de vote et les délégués ainsi que l’intervention, le cas échéant, des autorités nationales compétentes ».

Le secret du vote accessible aux entreprises impliquées

« Société nº 1 sur le marché du logiciel électoral », Scytl a développé pour le secteur public, une « solution de vote par Internet » (Pnyx.Government), qui permet de réaliser « élections, consultations, sondages, référendums »… Parmi ses autres produits, Pnyx.Corporate, logiciel qui permet aux sociétés cotées en Bourse d’offrir à leurs actionnaires la possibilité de voter en ligne, et Pnyx.Labour, pour les élections professionnelles. L’e-démocratie™ accessible à tous… au sens littéral ! « Vu la spécialité de Scytl, il y a une énorme probabilité qu’elle soit soumise à des piratages, et sous le feu nourri d’attaques informatiques », estime encore HardKor. L’entreprise est financée par trois fonds de capital-risque : Nauta Capital, Spinnaker SCR et Balderton Capital [2].

Une entreprise privée maîtrise donc la totalité du processus électoral. Les votes, le chiffrage, la vérification et le décompte se font via son logiciel. Elle n’est pas seule à intervenir dans le processus. Le rapport de la Cnil, qui vient d’être publié, recense les différents acteurs impliqués. En plus du ministère des Affaires étrangères, pas moins de cinq entreprises privées interviennent dans le processus ! Elles reçoivent différentes données : liste des électeurs, coordonnées, identifiants, mots de passe [3]…

 

Une situation qui n’est pas sans poser problème, comme le souligne la Cnil : un des prestataires, la société Gedicom, est chargé d’envoyer les identifiants par SMS et les mots de passe (authentifiants) par courriel. Une fois muni de ces données, il ne reste plus qu’à répondre à une question, ultime authentification pour valider le vote. Ce "défi/réponse" n’est autre que l’année de naissance de l’électeur ! Une information que l’on peut aisément trouver, d’autant qu’elle figure sur la liste électorale [4]. Celle-ci peut être communiquée à tout électeur, candidat, parti ou groupement politique qui en fait la demande (art. L 330-4 du code électoral)...

Un vote électronique hébergé par… Thierry Breton

La Cnil a donc recommandé de faire appel à un prestataire supplémentaire, ou de mettre en place une procédure permettant la destruction des identifiants (et des copies éventuelles…) avant de livrer au prestataire les authentifiants des électeurs. C’est cette dernière solution qu’a finalement choisi le ministère en mars… Sans garantie que cette précaution sera mise en œuvre ! Car « les procédures de destruction des données et de traçabilité mises en œuvre par les prestataires techniques ne sont pas précisées à ce jour », relevait la Cnil en mars [5] ! L’adresse postale utilisée pour communiquer l’identifiant, l’adresse électronique à laquelle est envoyé le mot de passe et l’année de naissance sont par ailleurs des informations figurant sur la liste électorale [6] !

Qui sont les entreprises impliquées dans le processus ? La société Atos Origin est en charge de piloter le projet et d’« héberger la solution » de vote électronique. L’entreprise est dirigée par Thierry Breton, ancien ministre de l’Économie, des Finances et de l’Industrie, ancien PDG de France Télécom et de Thomson. L’entreprise, présente dans 48 pays, est administrée par la crème des patrons de multinationales. Dans son conseil d’administration : Nicolas Bazire, membre du conseil de surveillance de la Banque Rothschild, directeur général du Groupe Arnault, administrateur du groupe LVMH, de Suez Environnement et de Carrefour, directeur de cabinet d’Édouard Balladur, mis en examen dans le cadre de « l’affaire Karachi »... et témoin de Nicolas Sarkozy lors de son mariage avec Carla Bruni. À la tête d’Atos Origin, on trouve aussi Jean-Philippe Thierry, président d’AGF et d’Allianz Holding France, nommé par le gouvernement vice-président de l’Autorité de contrôle prudentiel, l’autorité de supervision des risques dans l’ensemble du secteur financier des banques et des assurances. Rien à voir, donc, avec des spécialistes des processus démocratiques.

Plantages en série et conflits d’intérêt

Le système de vote par Internet n’en est pas à ses premiers déboires. Atos Origin était en charge en octobre 2011 des élections professionnelles dans l’Éducation nationale, pour lesquelles elle a essuyé de vives critiques [7]. De multiples dysfonctionnements ont remis en cause le bon déroulement du scrutin. Juste avant les élections, un des syndicats a eu accès pendant dix jours aux listes électorales de ses concurrents. Il suffisait de remplacer le nom du syndicat par un autre pour avoir accès à ces données, pourtant censées être sécurisées ! Les serveurs permettant aux électeurs de récupérer leur mot de passe et de vérifier leur inscription ont été indisponibles pendant trois jours, pour cause d’affluence. « Depuis les identifiants jamais arrivés dans les établissements car les cartons se sont perdus, jusqu’à l’attribution de deux identifiants et deux mots de passe qui ne fonctionnent ni l’un ni l’autre, en passant par l’impossibilité de récupérer le mot de passe ou d’accéder au site du ministère pour cause de logiciel "Java" non compatible, et beaucoup d’autres problèmes, c’est à un véritable parcours du combattant qu’ont été confrontés les personnels voulant voter ! », a dénoncé la Fédération de l’éducation de la recherche et de la culture de la CGT. Un plantage pour le moins gênant, pour le dernier test en date.

Autres entreprises impliquées dans le processus de vote des législatives : la société Koba, en charge des travaux « d’éditique », gérera l’impression et la mise sous pli postal des identifiants. Et l’entreprise Gedicom, désignée pour envoyer par SMS les identifiants et par courriels les authentifiants. Son argument de vente ? « On gagne du temps dans l’organisation du scrutin. » Si pour Gedicom, « il est indispensable comme dans un scrutin classique de dresser et de vérifier les listes électorales », il est tout aussi inutile « de trouver une salle et des urnes, d’imprimer des bulletins de vote, de mobiliser des personnes pour dépouiller, compter, recompter » (sic) ! « Un de nos clients estimait (…) que l’on gagne 35 à 40 % de temps sur la préparation électorale, et 75 % le jour de l’élection », vante la société. Ou comment, après les coûts du travail, réduire les coûts de la démocratie.

Un « expert indépendant » financé par les banques françaises

 

 

Source : SUITE ET FIN SUR BASTAMAG

Publié dans écrans

Commenter cet article