Vote électronique, élections et catastrophes en prévision

infosec et politique

Alors que s’ouvrait hier les débats sur la loi travail, Les Républicains avaient une réunion apparemment très animée, sur la question du système de vote des Français de l’étranger pour les primaires de la droite et du centre.

Dans le cadre d’une élection, les Français de l’étranger doivent souvent faire de longs déplacements – je pense en particulier aux Français du Canada, des États-Unis, de Russie ou encore d’Amérique Latine – pour se rendre dans les ambassades et les consulats. Il a donc été proposé que les Français de l’étranger puissent voter par Internet, ce qui permettrait au parti Les Républicains d’économiser des coûts logistiques et de collecter plus de voix.

Mais ce qui peut avoir du sens, par exemple en Estonie, n’en a pas en France. En effet, malgré tous les beaux discours véhiculés notamment par la French Tech, la France est mauvaise en NTIC et encore plus mauvaise en matière de sécurité informatique.

Il ne suffit pas de déployer un CMS/CRM estampillé Nation Builder, dont j’ai déjà dit tout le mal que je pensais, pour que cela fonctionne. Il faut assurer la confidentialité, la disponibilité, l’intégrité de l’ensemble du système. Or, les trois grands principes de la sécurité informatique ne sont jamais ou presque mis en place. Dans le cadre d’un vote, cela serait encore plus dramatique. Comme assurer la disponibilité d’un système si on ne sait pas quelles sont les conditions de connexion des dits Français de l’étranger ? Comment assurer la confidentialité de l’échange d’information quand on sait que des Français de l’étranger résidant dans des États pratiquant plus ou moins ouvertement les interceptions de communications électromagnétiques ? Comment préserver l’intégrité du résultat s’il n’y a pas de contrôleurs ?

Au-delà de ces questions de principe, la culture Française fait que sur le marché du travail, un ingénieur informatique se rémunère moins qu’un spécialiste du marketing, si on croit les dernières annonces d’offres d’emploi. Au sein des partis politiques, une grande majorité fait appel à des agences qui fournissent des sites clefs en main, mais trop souvent mal codés, mal conçus, avec des failles de sécurité (non, je ne vous dirais pas lesquelles). En la matière, qu’on se rassure, tous les partis se valent et pour cause : une grande partie des finances des partis servent à louer des locaux dans des quartiers aux loyers exorbitants à Paris et à rémunérer des agences de communication, au détriment de l’expérience et de la connaissance, qui ne peut être que bénévole dans leurs esprits.

Pire encore, la plupart des politiques n’ont qu’une très vague notion des NTIC et leurs équipes sont souvent encore plus en retard, ce qui ne les empêche pas de parler de souveraineté numérique – concept inexistant – de nouvelle industrie – qui n’en est pas une – et de faire l’éloge de certains systèmes dont ils n’ont pas compris les enjeux. Pour beaucoup, le numérique est une fin en soi alors qu’il ne s’agit que d’un moyen. Le Projet Arcadie en est une bonne illustration : ce n’est pas une fin, c’est un moyen, libre à vous d'en faire ce que vous voulez.

Sur la question du vote électronique, beaucoup d’autorités compétentes ont déjà tiré la sonnette d’alarme pour expliquer pourquoi la France ne pouvait et ne devait surtout pas y recourir et dans le cadre d’élections professionnelles, un employeur a été sanctionné pour défaut de sécurisation.

Il est évident qu’il faut trouver une façon de permettre aux Français de l’étranger de participer à la primaire de la droite et du centre, mais si on souhaite que ce vote soit sincère, le vote électronique est à oublier.

Commentaires

Je vous accorde que tout dépend de la procédure utilisée et qu'il y en a fautives, ou non sécurisées. Mais le principe du vote électronique
tout comme celui du paiement de ses impôts en ligne est parfaitement implémentable. La question reste bien sur l'usurpation d'identité, parfaitement possible pourvu qu'on dispose d'une carte d'identité, ou d'une clé privée... Avez vous des informations sur la procédure qui sera utilisée pour les primaires ?

Bonjour, 

tout d'abord merci d'utiliser l'espace commentaire plutôt que de multiplier les tweets comme le font certains. 

 

En théorie, le vote électronique pourrait être faisable mais cela implique de respecter non seulement les principes de bases de la sécurité informatique dont j'ai déjà parlé dans l'article mais aussi ceux relatifs au vote. Difficile mais faisable si on s'y prend à l'avance, qu'on prend une entreprise spécialisée en la matière, qu'on déploie suffisamment de sécurité de bout en bout de la chaîne. 

 

Or, dans le cas du vote à la primaire, rien n'est garanti, d'autant qu'on ne connaît pas le prestataire, donc s'il est certifié, s'il est habilité, etc. Par exemple, les adhérents se connecteront-ils d'abord à un VPN mis en place par les Républicains ? L'interface en elle-même sera-t-elle à l'épreuve des balles ? Qui sera chargé de valider la sincérité du scrutin électronique ?

 

Un autre problème se pose dont je n'ai pas parlé dans l'article, parce que cela m'était sorti de la tête : le respect de la législation locale. En effet, dans le cas des Français de l'étranger résidant en Fédération de Russie, le vote via une interface Web sera illégal car la législation en matière de données personnelles en Russie fait que les Républicains devront avoir un serveur sur le territoire russe sinon ils seront en infraction avec la législation locale (voir le Linux Pratique n°93 à ce sujet). 

 

Dans certains Etats comme la Suède, il y a des interceptions de données opérées par le FRA (voir Hackers Republic), ce qui compromet la confidentialité de l'information. Bien entendu, je ne suis pas persuadée que les autorités suédoises soient fascinées par la primaire de la droite et du centre mais je doute également les Français résidant en Suède sachent comment saisir le SIUN en cas de doute.

 

On pourrait partir du principe que tout va bien se passer mais les mésaventures en matière d'informatique des différentes instances politiques et institutionnelles font que j'ai de très sérieuses réserves. 

Je comprends les réticences mais je ne vois pas la nécessité d'un VPN. Une connection SSL doit suffire quelque soit le pays, avec un certificat "correct".
Par contre, il faut effectivement se protéger des attaques de déni de service pendant l'enregistrement et bien sur pendant le vote.

Au contraire : comment garantir l'intégrité de la communication et donc du vote s'il n'y a pas de connexion via un VPN ? Le SSL ne fait pas tout.

 

Pour le DDoS, si le serveur est correctement configuré, qu'il y aune redondance et un système type Cerberhost, ça devrait le faire mais est-ce que ce sera effectivement le cas ?

Vous écrivez sur Twitter, et non ici, : "je vais la faire méga-courte : si Les Républicains utilisent le vote électronique, le parti pourra être condamné au pénal & au civil."

Je vous demande donc, sceptique, si vous parlez bien d'une condamnation en France et au pénal ?
Au civil, on trouvera bien un préjudice.
Par contre, je ne crois pas (je dirais bien "je sais", mais je vais garder mes présomptions) qu'une condamnation pénale soit possible. Je vous demande donc le moyen de droit qui serait retenu.

Après si vous voulez invoquer la législation russe, sans problème, je ne la connais pas.
D'où ma demande,
"une condamnation pénale ? en france ?"

Je vous remercie d'avance.

Bonjour, 

je vous renvoie vers cette page très bien faite par la CNIL

 

Quant à la législation russe, j'ai donné les références du magazine, libre à vous de le lire.

La question du vote électronique à l'étranger fait déjà l'objet d'une discussion houleuse, d'où l'intérêt porté à la question...
Si je suis tout à fait d'accord pour dire qu'il faut le faire sérieusement, cela parait par contre possible et à la portée
d'un mouvement comme "les républicains".
Un hébergement chez des gens sérieux, certifiés conformes aux normes de sécurité actuelles est effectivement un minimum.

Je n'arrive pas à trouver le linux pratique no 93: en tout cas, il n'y a pas de limitations Russes pour l'utilisation de connections SSL sortante, du moins à ma connaissance.
Il existe déjà plusieurs solutions techniques de vote par Internet, accessibles depuis des smartphones ou des PCs ordinaires et qui sont certifiés par la CNIL.
Je maintiens donc qu'il n'y a pas en principe d'impossibilité à organiser un vote électronique fiable et sécurisé.

Néanmoins peut être avez vous des informations sur le système envisagé par les organisateur de la primaire ?

Bonjour, 

si c'était réellement à la portée du parti Les Républicains, ils auraient fait autre chose que l'espèce de bouse honteuse qui leur sert de site Web actuel. 

Pour la Russie, on s'en fout du SSL, ce n'est pas la question, la question est l'hébergement de la donnée et du respect de la législation locale. Et le numéro 93 de Linux Pratique est ici.

Quelles sont les solutions de vote dont vous parlez ? 

Effectivement il y avait eu des critiques cinglantes du vote électronique lors des primaires des municipales.
Mais ils se sont améliorés.
En tout cas l'état français le fait déjà:

Malgré des contestations, les votes ont été validés, sauf ceux concernés par des dépassements de comptes de campagne (...).

Les enjeux et paramètres de base n'étaient pas du tout les mêmes et la preuve en est que ça n'a pas empêché les contestations. 

Apparemment, le vote par internet du gouvernement s'est appuyé en 2013 sur https://www.scytl.com/fr/
Mais je n'en ai pas la confirmation. Je crois que la CNIL a demandé à ce qu'il y ait d'autres prestataires.

Logique.

Ajouter un commentaire