Premier enseignement du vote par Internet mis en place lors des législatives pour les Français de l’étranger : il ne favorise en rien une plus grande participation des électeurs, puisque 80 % des Français de l’étranger inscrits sur les listes électorales se sont abstenus. Second enseignement : c’est un fiasco technique et démocratique, le système étant largement faillible et permettant toutes les fraudes.
120 000 Français de l’étranger ont choisi de voter en ligne. Soit 57 % des votants. Un chiffre à relativiser au vu de la (très) faible participation [1].
Mais qui révèle l’importance prise par le vote par Internet dans l’élection des 11 députés des « circonscriptions de l’étranger ». Le système de vote par Internet a pourtant montré pendant ces élections toutes ses limites (lire notre enquête). Comme en témoignent de nombreux électeurs, notamment sur le site du Parti pirate : problèmes d’accès au logiciel de vote, identifiants de vote non reçus – ou cet électeur affirmant avoir reçu 19 fois par SMS son identifiant de vote ! –, adresses e-mail mal orthographiées par le ministère… De nombreux électeurs ont été dans l’incapacité de voter.
« Comment mon ordinateur a voté à ma place »
Premier problème de taille : le site de vote n’est pas compatible avec la dernière version du logiciel Java, indispensable pour voter. Le ministère a invité les électeurs à désinstaller la nouvelle version [2], souvent intégrée automatiquement dans les mises à jour de l’ordinateur, et à télécharger une ancienne version du logiciel. Ou à voter sur un autre ordinateur… Difficile d’imaginer comment une telle incompatibilité a pu échapper aux prestataires du processus électoral, alors que la nouvelle version du logiciel est en circulation depuis plusieurs mois… « L’État ne contrôle donc pas directement les solutions retenues et est dépendant des choix des prestataires privés », conteste le Parti pirate dans un dossier complet sur les failles du vote par Internet. Le choix du logiciel est aussi critiqué : moins de la moitié des ordinateurs dans le monde seraient compatibles avec le système requis pour voter. Pour éviter les problèmes techniques, le site électoral invitait également à désactiver l’antivirus de l’ordinateur… Mais le système est très sécurisé, continue d’affirmer le ministère !
Plusieurs informaticiens [3] ont listé les multiples failles du système. Un hacker, Laurent Grégoire, a montré qu’il est possible de manipuler le vote d’un électeur à son insu. Dans une vidéo et dans un document de 20 pages (Comment mon ordinateur a voté à ma place), il explique comment, en se servant d’une « injection de code », il est possible de voter pour un candidat fantôme, éliminé au premier tour par exemple. « Non seulement le vote est accepté mais le tout fournit un beau reçu de vote valide à la fin de la procédure… », commente le blogueur Paul Da Silva. « L’attaque présentée est tellement simple qu’une organisation politique aux intentions discutables peut facilement décider du résultat d’un scrutin », estime Laurent Grégoire.
« Comment se faire élire député avec 12 euros »
L’installation d’un virus permet aussi de modifier ou d’observer les votes des électeurs, si ceux-ci ont mal protégé leur ordinateur, estime le Parti pirate [4]. Des fraudes difficilement détectables, qui peuvent permettre de modifier un grand nombre de votes, de manière totalement invisible. Avec les précautions prises par le ministère, il « faudrait des milliers d’années avec un ordinateur pour forcer un bulletin de vote » numérique, affirmait pourtant il y a quelques jours encore François Saint-Paul, directeur des Français de l’étranger au ministère des Affaires étrangères.
Autre faille : la possibilité d’hameçonner les électeurs. C’est-à-dire de les attirer sur un faux site pour récupérer des informations confidentielles. Les listes des adresses mails – et noms, dates de naissance et adresses postales – de tous les électeurs « de l’étranger » sont à disposition de ceux qui en font la demande. Assez simple ensuite d’envoyer un mail factice aux électeurs pour les rediriger vers un faux site de vote, et récupérer ainsi les identifiants des milliers d’électeurs bernés. Pour ensuite voter à leur place. Un mode d’emploi a été publié par Lionel Dricot : Comment se faire élire député des Français résidant à l’étranger avec 12 euros ?. Seule dépense nécessaire, selon lui : « Acheter scrutin-diplomatie-gouv.fr (libre ce 26 mai, 12 euros). »
Comment faire disparaître la moitié des bulletins
Face à tous ces risques, et malgré tous les problèmes recensés, le ministère des Affaires étrangères affirme que les votes se sont bien déroulés. Sauf que… des bugs ont été également signalés lors du dépouillement. Marie-Anne Montchamp, candidate UMP pour la circonscription du Benelux, a contesté dimanche soir le résultat de l’élection, évoquant un « incident portant sur le dépouillement des votes électroniques ». Lors du décompte des voix, la moitié des bulletins ont d’abord été « oubliés » : le système informatique révèle un total de bulletins deux fois plus important que les votes affichés pour chaque candidat, explique Benoît Sibaud, qui a assisté au dépouillement de l’urne électronique.
Un deuxième décompte, à partir du serveur de secours [5], a permis de retrouver les votes manquants. Problème : le total des bulletins ne correspond pas au nombre d’électeurs ayant émargé électroniquement… Un petit écart d’une voix, certes, mais qui ne devrait en aucun cas se produire avec un vote informatisé ! Bug du système, piratage ? Impossible de trancher : le bulletin problématique n’est pas analysable…
Comment savoir pour qui a voté chaque électeur
Le Parti pirate s’inquiète aussi de la possibilité de violation du secret du vote. « Un journal sécurisé conserve la trace et la chronologie des opérations qui sont réalisées durant le vote », explique le ministère. Lorsqu’un électeur valide son bulletin, l’heure exacte du vote est enregistrée sur deux serveurs : celui de l’émargement et celui de l’urne électronique. Comment être sûr qu’aucun rapprochement entre les deux listes ne sera effectué, pour relier un électeur à son bulletin de vote, et savoir à qui il a accordé son suffrage ? « À l’heure actuelle, il n’a pas été fourni aux délégués d’éléments démontrant l’impossibilité technique de faire cette correspondance », commente le Parti pirate. Ces données [6]
sont conservées au minimum quatre mois en vue d’un éventuel recours…
Malgré toutes ces dangers, le vote par Internet a peu mobilisé l’attention des candidats et des partis. Sur 178 candidats des 11 circonscriptions, seuls 5 (candidats du Front de gauche et du Parti pirate) ont envoyé un représentant pour observer la clôture de l’urne électronique au premier tour. Peu de candidats semblent s’émouvoir du fait que la procédure est totalement sous-traitée à des entreprises privées, dont l’une est dirigée par un ancien ministre, Thierry Breton (l’entreprise Atos, qui héberge par ailleurs dans ses locaux à Vendôme les serveurs en ligne du système de vote, ainsi que le dispositif de secours). Impossible d’accéder au code source des logiciels utilisés, développés par le prestataire espagnol Scytl, pour cause de secret industriel ! Un argument dénoncé par le Parti pirate : lors de la procédure de vote par Internet en Norvège, le gouvernement « a mis à disposition tous les codes sources, de tous les prestataires, y compris Scytl ».
Comment bâcler un audit indépendant
L’audit indépendant (par les sociétés Alti et Demaeter) a été conduit, selon le ministère des Affaires étrangères, en seulement deux périodes de 5 jours par 2 personnes, explique le Parti pirate. Et pour un coût de 60 000 à 90 000 euros (HT) selon l’appel d’offre. Pas mal pour dix jours de boulot ! « Il est douteux qu’un délai si court permette de s’assurer de l’intégrité de cette immense base de code (plus de 30 000 fichiers d’après les informations communiquées oralement aux délégués) », conclut le Parti pirate. C’est par ailleurs cet argument du manque d’expertise du logiciel qui a été retenu par la justice dans une autre affaire de vote par Internet. Pour la première fois, début juin, le vote électronique a été sanctionné par la justice : le tribunal de Brest a décidé l’annulation d’élections professionnelles, à la demande du syndicat FO, au motif qu’il était impossible de s’assurer « que le logiciel présentait les garanties de sécurité attendues » [7]. Ces élections étaient organisées au sein d’une association finistérienne, le système de vote électronique étant fourni par l’entreprise Election Europe.
L’expertise indépendante du logiciel, par la société Strat-Up, avait été réalisée dans le cadre des élections prud’homales organisées par le ministère du Travail en 2008. Des élections pour lesquelles la Cnil avait prononcé un avertissement à l’encontre de Xavier Bertrand, ministre du Travail, du fait du nombre impressionnant de failles et bugs recensés [8]. Ce qui n’a pas empêché l’expert Strat-Up de reprendre en 2012 les conclusions de son précédent audit, affirmant que « le système de vote électronique proposé par cette société était bien conforme aux obligations légales et réglementaires en vigueur ». La Cnil, en 2008, s’inquiétait aussi du fait qu’il était impossible de savoir si le logiciel expertisé était bien celui utilisé pour les élections. Rebelote en 2012 : « Les documents remis ne nous permettent pas plus d’identifier le logiciel utilisé », a statué le tribunal de Brest.
« Les ressources à mettre en œuvre pour obtenir gain de cause en justice (...) sont quasiment hors de portée de l’électeur, des petits candidats, voire même des organisateurs d’élections : trop de connaissances techniques et juridiques, y compris chez les huissiers chargés de constater les manquements, sont nécessaires pour dévoiler les irrégularités de votes dématérialisés », estime FO. Le syndicat rappelle que le système de vote commercialisé par la société Élection Europe est utilisée « depuis de nombreuses années auprès d’entreprises prestigieuses et de grands partis politiques. » L’association et l’entreprise Élection Europe ont été condamnées à verser… 35 euros. Pas de quoi dissuader employeurs, collectivités locales ou État de se passer du vote par Internet, qui ne sera pourtant jamais fiable à 100 %. Reste à savoir si le vote par Internet, qui a d’abord été expérimenté pour les élections professionnelles et commence à s’étendre aux élections générales, concernera un jour l’ensemble des scrutins...
Agnès Rousseaux
Photos : CC Darkstream