Démocratie ?

Législatives : de graves menaces de fraudes planent sur le vote par Internet

Démocratie ?

par Agnès Rousseaux

Pour la première fois en France, le vote par Internet sera expérimenté lors des prochaines législatives. Un million d’électeurs français « de l’étranger » sont concernés. Plusieurs failles de sécurité ont déjà été pointées. L’intégrité et la confidentialité du vote ne sont pas garanties, comme l’attestent les informaticiens interrogés par Basta!. Surtout, l’ensemble du processus électoral est laissé entre les mains d’entreprises privées qui cultivent opacité et conflits d’intérêts. Le vote par Internet, ou comment déposséder le citoyen de son droit démocratique. Enquête.

Lors des prochaines élections législatives de juin, plus d’un million d’électeurs pourront ne pas se rendre dans l’isoloir et voter par Internet. À la suite de la réforme constitutionnelle de 2008 voulue par Nicolas Sarkozy, le vote par Internet sera proposé aux « Français établis hors de France » qui éliront pour la première fois onze députés. Bugs, risques de piratages et de fraudes, sécurité et confidentialité non garanties, sous-traitance à des entreprises privées et délocalisation à l’étranger : le vote par Internet est bien loin d’être infaillible. L’ancien gouvernement est pourtant passé outre. La Commission nationale de l’informatique et des libertés (Cnil) avait exprimé ses réserves en 2010, estimant « que les systèmes de vote existants ne fournissaient pas encore toutes les garanties exigées par les textes légaux ». Elle a rappelé en début d’année les « risques particuliers que ces traitements peuvent présenter pour les personnes, notamment la divulgation de leurs opinions politiques, la manipulation de leur droit de vote ». Rien que ça.

Ces mises en garde ont été ignorées. Le vote du premier tour sera ouvert sur Internet à partir du 23 mai, et durera une semaine sur le site www.votezaletranger.gouv.fr. Le principe ? L’électeur se connecte avec des identifiants qui lui sont transmis par courrier postal et par SMS, et avec un mot de passe reçu par messagerie électronique. Le vote, crypté, est transmis à une urne électronique. Seul l’État français dispose des clés cryptographiques nécessaires au dépouillement. Un reçu est délivré à l’électeur, confirmant que son vote a bien été enregistré. Un système qui présente de nombreuses failles, pointées par « HardKor », un informaticien qui a analysé ce système avec le collectif des Désobéissants et le mouvement Telecomix. « Les ordinateurs des particuliers sont le point le plus vulnérable du dispositif, estime-t-il. Un utilisateur malveillant pourrait prendre le contrôle à distance de l’ordinateur et modifier le comportement des applications exécutées par l’électeur. » Résultat : une perte de confidentialité ou une modification à distance du vote émis. Comme si l’isoloir était ouvert ou le vote échangé au moment de l’introduction dans l’urne. Une modification indétectable « car elle aurait lieu uniquement sur l’ordinateur de l’électeur », souligne HardKor.

Un risque de fraudes assumé par le gouvernement

Autre faille : le réseau Internet lui-même. Le trafic vers les serveurs de collecte des bulletins peut être intercepté. La Cnil a recommandé d’interdire le vote électronique si le protocole sécurisé (https) n’est pas disponible dans le pays. Là encore, l’ancien gouvernement Fillon est passé outre. Si le protocole https n’est pas utilisé, les électeurs seront seulement « informés » que « le secret et l’intégrité de leur vote ne pourront être garantis » [1] ! Imaginez une affiche « fraude possible » et « vote à bulletin pas forcément secret » à l’entrée de votre bureau de vote ! Quant au centre de dépouillement, il n’est normalement pas accessible par Internet. « Mais même avec des observateurs devant l’écran de contrôle, on ne voit pas à l’œil nu ce que fait l’unité centrale de l’ordinateur, explique HardKor. C’est un système centralisé : quelqu’un qui pirate le serveur central peut changer un vote comme en changer un million. » Comme si quelqu’un pouvait glisser ses mains dans l’urne avant le dépouillement.

Autres points faibles : le logiciel utilisé, qui se lance dans le navigateur de l’électeur. Là aussi, l’opacité est totale. Faire l’analyse de ce logiciel est considéré comme une violation du secret industriel. Il demeure la propriété d’une entreprise espagnole, Scytl, dont le siège se trouve à Barcelone. « La page de vote est aussi hébergée dans le data-centre (lieu de stockage de serveurs) de la société en Espagne », explique HardKor. Une partie du processus électoral est donc à la fois sous-traité à une entreprise privée et délocalisé dans un pays étranger ! En 2010, la Cnil estimait pourtant « hautement souhaitable que les serveurs et les autres moyens informatiques centraux du système de vote électronique soient localisés sur le territoire national afin de permettre un contrôle effectif de ces opérations par les membres du bureau de vote et les délégués ainsi que l’intervention, le cas échéant, des autorités nationales compétentes ».

Le secret du vote accessible aux entreprises impliquées

« Société nº 1 sur le marché du logiciel électoral », Scytl a développé pour le secteur public, une « solution de vote par Internet » (Pnyx.Government), qui permet de réaliser « élections, consultations, sondages, référendums »… Parmi ses autres produits, Pnyx.Corporate, logiciel qui permet aux sociétés cotées en Bourse d’offrir à leurs actionnaires la possibilité de voter en ligne, et Pnyx.Labour, pour les élections professionnelles. L’e-démocratie™ accessible à tous… au sens littéral ! « Vu la spécialité de Scytl, il y a une énorme probabilité qu’elle soit soumise à des piratages, et sous le feu nourri d’attaques informatiques », estime encore HardKor. L’entreprise est financée par trois fonds de capital-risque : Nauta Capital, Spinnaker SCR et Balderton Capital [2].

Une entreprise privée maîtrise donc la totalité du processus électoral. Les votes, le chiffrage, la vérification et le décompte se font via son logiciel. Elle n’est pas seule à intervenir dans le processus. Le rapport de la Cnil, qui vient d’être publié, recense les différents acteurs impliqués. En plus du ministère des Affaires étrangères, pas moins de cinq entreprises privées interviennent dans le processus ! Elles reçoivent différentes données : liste des électeurs, coordonnées, identifiants, mots de passe [3]

Une situation qui n’est pas sans poser problème, comme le souligne la Cnil : un des prestataires, la société Gedicom, est chargé d’envoyer les identifiants par SMS et les mots de passe (authentifiants) par courriel. Une fois muni de ces données, il ne reste plus qu’à répondre à une question, ultime authentification pour valider le vote. Ce "défi/réponse" n’est autre que l’année de naissance de l’électeur ! Une information que l’on peut aisément trouver, d’autant qu’elle figure sur la liste électorale [4]. Celle-ci peut être communiquée à tout électeur, candidat, parti ou groupement politique qui en fait la demande (art. L 330-4 du code électoral)...

Un vote électronique hébergé par… Thierry Breton

La Cnil a donc recommandé de faire appel à un prestataire supplémentaire, ou de mettre en place une procédure permettant la destruction des identifiants (et des copies éventuelles…) avant de livrer au prestataire les authentifiants des électeurs. C’est cette dernière solution qu’a finalement choisi le ministère en mars… Sans garantie que cette précaution sera mise en œuvre ! Car « les procédures de destruction des données et de traçabilité mises en œuvre par les prestataires techniques ne sont pas précisées à ce jour », relevait la Cnil en mars [5] ! L’adresse postale utilisée pour communiquer l’identifiant, l’adresse électronique à laquelle est envoyé le mot de passe et l’année de naissance sont par ailleurs des informations figurant sur la liste électorale [6] !

Qui sont les entreprises impliquées dans le processus ? La société Atos Origin est en charge de piloter le projet et d’« héberger la solution » de vote électronique. L’entreprise est dirigée par Thierry Breton, ancien ministre de l’Économie, des Finances et de l’Industrie, ancien PDG de France Télécom et de Thomson. L’entreprise, présente dans 48 pays, est administrée par la crème des patrons de multinationales. Dans son conseil d’administration : Nicolas Bazire, membre du conseil de surveillance de la Banque Rothschild, directeur général du Groupe Arnault, administrateur du groupe LVMH, de Suez Environnement et de Carrefour, directeur de cabinet d’Édouard Balladur, mis en examen dans le cadre de « l’affaire Karachi »... et témoin de Nicolas Sarkozy lors de son mariage avec Carla Bruni. À la tête d’Atos Origin, on trouve aussi Jean-Philippe Thierry, président d’AGF et d’Allianz Holding France, nommé par le gouvernement vice-président de l’Autorité de contrôle prudentiel, l’autorité de supervision des risques dans l’ensemble du secteur financier des banques et des assurances. Rien à voir, donc, avec des spécialistes des processus démocratiques.

Plantages en série et conflits d’intérêt

Le système de vote par Internet n’en est pas à ses premiers déboires. Atos Origin était en charge en octobre 2011 des élections professionnelles dans l’Éducation nationale, pour lesquelles elle a essuyé de vives critiques [7]. De multiples dysfonctionnements ont remis en cause le bon déroulement du scrutin. Juste avant les élections, un des syndicats a eu accès pendant dix jours aux listes électorales de ses concurrents. Il suffisait de remplacer le nom du syndicat par un autre pour avoir accès à ces données, pourtant censées être sécurisées ! Les serveurs permettant aux électeurs de récupérer leur mot de passe et de vérifier leur inscription ont été indisponibles pendant trois jours, pour cause d’affluence. « Depuis les identifiants jamais arrivés dans les établissements car les cartons se sont perdus, jusqu’à l’attribution de deux identifiants et deux mots de passe qui ne fonctionnent ni l’un ni l’autre, en passant par l’impossibilité de récupérer le mot de passe ou d’accéder au site du ministère pour cause de logiciel "Java" non compatible, et beaucoup d’autres problèmes, c’est à un véritable parcours du combattant qu’ont été confrontés les personnels voulant voter ! », a dénoncé la Fédération de l’éducation de la recherche et de la culture de la CGT. Un plantage pour le moins gênant, pour le dernier test en date.

Autres entreprises impliquées dans le processus de vote des législatives : la société Koba, en charge des travaux « d’éditique », gérera l’impression et la mise sous pli postal des identifiants. Et l’entreprise Gedicom, désignée pour envoyer par SMS les identifiants et par courriels les authentifiants. Son argument de vente ? « On gagne du temps dans l’organisation du scrutin. » Si pour Gedicom, « il est indispensable comme dans un scrutin classique de dresser et de vérifier les listes électorales », il est tout aussi inutile « de trouver une salle et des urnes, d’imprimer des bulletins de vote, de mobiliser des personnes pour dépouiller, compter, recompter » (sic) ! « Un de nos clients estimait (…) que l’on gagne 35 à 40 % de temps sur la préparation électorale, et 75 % le jour de l’élection », vante la société. Ou comment, après les coûts du travail, réduire les coûts de la démocratie.

Un « expert indépendant » financé par les banques françaises

Gedicom, fervent défenseur de la sécurité et de la transparence, oublie cependant de publier sur son site les noms de ses dirigeants, ses sources de financement, ou les mentions légales. L’entreprise cite un unique « partenaire historique » qui l’accompagne dans une grande partie de ses activités : la société Connaissances, dirigée par Marc Teyssier d’Orfeuil, également PDG de Com’Publics, une entreprise spécialisée dans le lobbying « résolument décomplexé » auprès des pouvoirs publics [8]. Cet ancien élu de Paris (RPR) est également délégué général du Club des partenariats Public-Privé (PPP), et a été nommé par François Barouin en février 2012 au Comité de développement des PPP.

Dernière entreprise concernée : « l’expert indépendant » nommé pour contrôler tout ce processus électoral. À la demande de la Cnil, des critères d’indépendance ont été précisés : l’expertise doit être « conduite par un informaticien spécialisé dans la sécurité, n’ayant pas d’intérêt financier dans la société qui a créé le dispositif de vote à expertiser, possédant une expérience dans l’analyse des systèmes de vote et ayant participé à l’atelier organisé par la Commission nationale de l’informatique et des libertés dédié aux experts de vote électronique ». L’heureux lauréat est la société de Conseil & Ingénierie Alti. Celle-ci emploie 1 200 salariés, dans des domaines variés : la finance de marché, l’assurance, les nouvelles technologies, les outils décisionnels… Alti a récemment développé son activité auprès du secteur de la banque-assurance. Parmi ses clients : BNP Paribas, la Société générale, le Crédit agricole, AGF, Natexis Banque populaire…

En 2007, le CIC LBO Funds, un fonds du Crédit mutuel, est entré au capital d’Alti, via une holding, la « Financière Alti », qui détient 88 % du capital de l’entreprise. La filiale informatique du Crédit mutuel a subi en décembre dernier un contrôle de la Cnil à cause d’une probable faille qui a permis à des journalistes du groupe de presse Est Républicain (racheté par le Crédit mutuel) d’accéder involontairement à des données de clients de la banque. Espérons que ce n’est pas son « partenaire » Alti qui avait audité le système ! Sur son site, Alti précise qu’elle est « Gold Partner » (sic) et utilise les outils de Business Objects, « leader mondial des logiciels de business intelligence ». Le fondateur de cette entreprise, Bernard Liautaud, dirigeant de Cap Gemini, a rejoint la société de capital-risque londonienne Balderton, où il gère l’investissement de Balderton dans l’entreprise espagnole Scytl, celle-là même qui fournit la solution de vote électronique. Minuscule microcosme...

Le fiasco de précédents votes par Internet

Ces différents acteurs semblent considérer que le vote par Internet est totalement sécurisé. Pourtant, certaines expériences passées sont loin d’être concluantes. En 2008, l’expérimentation du vote électronique pour les élections prud’homales à Paris a valu un avertissement de la part de la Cnil à l’encontre de Xavier Bertrand, ministre du Travail. Cette délibération de la Cnil n’avait pas été rendue publique mais a été obtenue à la demande d’un citoyen (quelques paragraphes ont été occultés au titre du secret industriel et commercial [9]). Un exemple de ces dysfonctionnements recensés ? La liste CGT et le bouton « voter » n’apparaissaient pas sur certains navigateurs, ce qui a nécessité une intervention d’urgence. La CGT, qui fait également état de « tentatives pour limiter l’accès de ses représentants au bureau de vote », avait en 2008 saisi la Cnil.

Celle-ci a recensé un nombre impressionnant de problèmes : les codes sources du logiciel de vote n’ont pas été expertisés dans leur intégralité, et l’absence d’identification de la version du logiciel expertisé et de la version de celui réellement installé ne permettait pas de vérifier qu’il s’agissait du même. Après l’expertise, le système a été modifié à deux reprises. Les serveurs recueillant les votes électroniques n’étaient pas suffisamment scellés. Plusieurs accès non sécurisés permettaient aux entreprises prestataires de se connecter pendant le vote. Le système de cryptage utilisé « n’assurait pas complètement l’intégrité et la confidentialité du vote ». Les listes d’émargement n’ont pas pu être générées et télétransmises par la procédure prévue. Le système a dû être modifié et les listes transportées sur une clé USB !!! La Cnil a conclu que la société Thales, en charge de l’hébergement et de la maintenance, « avait la possibilité (…) d’accéder au dispositif de vote, d’en modifier son fonctionnement, au risque de modifier le résultat des élections, sans qu’il soit nécessaire de desceller, sans recourir à l’huissier et sans que le bureau de vote le sache ». Une vraie réussite démocratique !

Un piratage réussi du système ?

Le processus mis en place pour les élections législatives sera-t-il plus opérationnel ? Rien n’est moins sûr. Les pouvoirs publics n’ont pas l’air de prendre tout à fait au sérieux les demandes de la Cnil. Pour David Perez, en charge de la direction du projet pour la Direction des Français à l’étranger, la Cnil « a fait quelques remarques, mais ce ne sont que des points de détail auxquels nous lui avons répondu ». Un test grandeur nature a été réalisé en janvier-février, auquel ont participé 15 000 personnes. Résultat « positif », estime le secrétaire d’État Édouard Courtial. Du côté du Parti socialiste, on est moins enthousiaste : « Plus de la moitié des tentatives de vote s’est soldée par un échec », évaluent les sénateurs socialistes. En cause, le dispositif trop contraignant quant au type d’équipement et de configuration nécessaire.

Des hackers commencent à s’intéresser au système. Il y a quelques jours, un web-entrepreneur et blogueur, Paul Da Silva, a identifié une faille et réussi à s’introduire dans le système, par « injection SQL » : « Au moins les tickets de support, si ce n’est l’ensemble du système de vote par ce site, sont accessibles en lecture ou en écriture (...) à n’importe quelle personne ayant des compétences dans le domaine », estime-t-il. En clair, une fenêtre ouverte laissant éventuellement la possibilité d’accéder aux serveurs enregistrant les votes. « Une faille très basique, accessible pour tout développeur Internet », précise HardKor. Un problème peut-être facilement corrigeable. À condition que personne n’ait pu avoir accès et téléchargé des données sensibles. Mais si cette faille est avérée, comment ce petit « détail » a-t-il pu échapper à l’expertise indépendante chargée de vérifier le système ?

Vent de panique aux États-Unis

Le sujet est particulièrement sensible aux États-Unis, notamment depuis que l’espagnol Scytl a acquis en janvier 2012 l’américain SOE Software, dont les solutions de vote sont utilisées par plus de 900 administrations publiques, dans 26 États américains. Une étude menée en 2008 à la demande de l’État de Floride recense les nombreuses vulnérabilités du logiciel Pnyx.core ODBP 1.0, développé par Scytl. Et conclut que le système peut être l’objet d’attaques compromettant l’intégrité du vote. En 2010, le bureau des élections de Washington a lancé un appel pour trouver des failles de sécurité dans son système de vote en ligne, vendu par Scytl. Un groupe d’étudiants de l’Université du Michigan aurait réussi à pirater le système et à programmer le lancement d’une chanson à chaque fois qu’un bulletin était enregistré. Depuis le rachat de SOE Software par Scytl, les demandes de l’arrêt du vote par Internet dans le pays se multiplient.

Autant d’éléments qui jettent une forte suspicion sur la sécurisation du processus électoral proposé. Mais, surtout, seule une infime partie des citoyens est en mesure d’évaluer les risques, voire de comprendre le fonctionnement du système. Son opacité empêche tout contrôle, y compris a posteriori. Peut-être n’y aura-t-il aucun problème de piratage du serveur ou des ordinateurs des électeurs, aucun problème de transmission des votes. Peut-être n’y a-t-il aucun problème à confier à des entreprises privées – même dirigées par d’anciens membres de gouvernement – la mise en place d’un processus électoral national. Peut-être de récents progrès techniques ont-ils été réalisés, qui permettront de dépasser les bugs et failles des dernières expériences de vote par Internet. Peut-être. Mais tout processus démocratique, pour être légitime, a besoin de certitudes. Avec l’élection par Internet, tous les doutes sont permis. Les citoyens se verront-ils, à terme, ainsi déposséder de leur bulletin de vote ?

Agnès Rousseaux

Photos : CC Darkstream

P.-S.

 L’analyse du système par HardKor

 L’analyse des failles par Paul Da Silva

 Élections prud’homales 2008 : revue de presse par le site Ordinateurs-de-vote

Les textes officiels :

 Code électoral / Vote par correspondance électronique

 Décret du Premier ministre du 15 juillet 2011 relatif à l’élection de députés par les Français établis hors de France

 Avis de la CNIL du 15 mars 2012

 Arrêté du 27 avril 2012

 Liste des membres du bureau du vote électronique pour l’élection de députés par les Français établis hors de France - Arrêté du 4 mai 2012

Notes

[1« En application de l’article R. 176-3-6 du code électoral, les électeurs sont informés des indicateurs d’une connexion authentifiée et sécurisée et du fait qu’à défaut d’utiliser le protocole sécurisé "HTTPS" le secret et l’intégrité de leur vote ne pourront être garantis. » Source

[2Une société de capital-risque britannique, qui investit 1,8 milliard de dollars dans les sites de paris en ligne, la vente de lingerie sur Internet ou la location de DVD…

[3Le MAEE est chargé d’élaborer des listes électorales, de coordonner les travaux entre ses différents prestataires, de générer des clés et certificats. Il dispose des noms, prénoms, adresses postales, adresses électroniques, numéros de téléphone portable, clés et certificats générant les identifiants et authentifiants (mot de passe). La table de correspondance est confiée au Chiffre du MAEE ; La société "A" (Scytl) est en charge de fournir la solution de vote électronique et les procédures d’exploitation associées. La société "B" (Atos Origin) est en charge de piloter le projet et d’héberger la solution. La société "C" (Alti) est désignée pour mener l’expertise indépendante du dispositif. La société "D" (Koba) en charge d’imprimer et de mettre sous pli postal les identifiants (« travaux d’éditique »), dispose des noms, prénoms, adresses postales, identifiants. Enfin, la société "E" (Gedicom) est en charge d’envoyer par SMS les identifiants et par courriels les authentifiants. Elle dispose des noms, prénoms, NumIC, numéros de téléphone portable, identifiants, adresses électroniques et des authentifiants. Source : Cnil

[4« La réponse au "défi/réponse" est, à ce jour, l’année de naissance de l’électeur, qui, en plus d’être une donnée aisément accessible, est communiquée avec la liste électorale », alerte la Cnil.

[5Lire ici

[6« Il en résulte notamment deux risques identifiés : la récupération de l’identifiant en interceptant le courrier postal ou le SMS, d’une part, la récupération de l’authentifiant en piratant l’adresse électronique,
d’autre part. Le premier risque, inévitablement résiduel, est d’ailleurs assumé par le ministère. En effet, rendre difficile la récupération de l’identifiant est limité par la communication de l’adresse postale sur la liste électorale, la sécurité des courriers postaux acheminés dans un pays étranger, et/ou par la confidentialité du SMS. En revanche, le second risque est maîtrisable car la publicité donnée aux adresses électroniques des électeurs facilite les piratages éventuels de leur messagerie électronique. » Source : Cnil

[7Partenaire informatique des Jeux olympiques 2012, l’entreprise a également piloté, en partenariat avec Scytl, le vote par Internet de l’Assemblée des Français de l’étranger (qui élit les sénateurs), en 2009.

[8Spécialisé dans la création de « clubs » de lobbying, comme le Club des amis du cochon ou le Club vive le foie gras (200 parlementaires), qui vise à empêcher d’éventuelles tentatives d’interdiction du « gavage » des animaux par l’Union européenne…

[9À lire ici