14/03/2019

Vote électronique Scytl/La Poste: c’est bien pire qu’une « simple » faille

Hier, une faille importante a été révélée dans le logiciel de vote électronique de La Poste. Ce n’est hélas pas un énième problème de sécurité informatique. C’est bien pire. Car, en plus de la faille elle-même (qu’un expert à qualifié de « stupéfiante » et qu’un autre a considéré comme relevant « d’une programmation négligente »), ce sont les circonstances de sa découverte et la réaction tant de La Poste que des autorités qui doivent fortement nous inquiéter. 

1. La faille n’aurait jamais dû être ni trouvée, ni révélée
Si les conditions imposées par La Poste pour tester la sécurité de son système de vote électronique avaient été respectées, la faille n’aurait jamais été découverte, ni rendue publique. En effet, la faille a été découverte hors du périmètre du test. Si quelques spécialistes beaucoup plus inspirés par l’intérêt général que La Poste n’avaient pas publié la totalité du code (ce que La Poste a condamné), personne n’aurait pu découvrir le problème. Et si les participants au test avaient respecté les incompréhensibles clauses de confidentialité imposées par La Poste (qui avait décidément peur que quelqu’un trouve un problème et en parle), le problème n’aurait jamais pu être rendu public. Le vote électronique serait resté vulnérable à l’insu de tout le monde. Cela démontre que ce test d’intrusion n’est qu’une vaste opération de relations publiques et que l’objectif de La Poste n’est pas de trouver d’éventuels problèmes, mais plutôt de faire croire qu’on a pu (un peu) les chercher.
Mais il n’y a pas que le test public qui a été volontairement restreint. Le Prof. Haenni de la HES bernoise (pourtant favorable au e-voting!), relève que les tests préliminaires menés par l’EPFZ, l’Université de Cambridge et KPMG auraient pu et dû trouver cette faille… si on les avait laissé chercher au bon endroit. Or, là aussi, La Poste a limité le périmètre d’investigation. C’est un peu comme partir à la recherche des cités perdues des Incas sans fouiller la Cordillère des Andes*. M. Haenni en conclut qu’il y a probablement d’autres failles aussi importante cachées à d’autres endroits du code. Pas rassurant.

2. Scytl et La Poste savaient dès 2017, mais Scytl n’a pas corrigé le problème
Tout aussi grave: La Poste a dû admettre que le problème était connu depuis longtemps, qu’elle avait demandé à Scytl de le corriger, mais que cela n’avait été fait que « partiellement ». On croit rêver devant tant d’amateurisme et d’incompétence. Ce n'est d'ailleurs pas la seule cachotterie de Scylt, qui a prétendu que le système en question n'avait pas été utilisé dans l'Etat australien de Nouvelles-Galles-du-Sud. Ça aussi ce n'est pas vrai.

3. Cette faille confirme qu’une seule personne suffit pour manipuler un scrutin par vote électronique
Lorsque les adversaires du vote électronique avancent qu’un vote par Internet est beaucoup plus facile à frauder qu’un vote sur papier (ce qui nécessite beaucoup de logistique et de complices pour être efficace), on leur rit au nez. Certains prétendent même la bouche en coeur que le e-voting est « plus sûr que le vote sur papier ». Or, cette faille est, selon Matthew Green, professeur de cryptographie à la John Hopkins University, la preuve qu’une seule personne bien placée peut falsifier la totalité des résultats sans que personne ne s’en aperçoive. Pis, les votes en questions seraient considérés comme ayant été « vérifiés ». Certes, cette personne doit se trouver à l’interne de l’autorité qui organise le scrutin, mais, une fois que l’on a trouvé comment la corrompre, la faire chanter (ou tout simplement la convaincre par un autre moyen de modifier le résultat), cette unique personne suffit à organiser une fraude portant sur la totalité du résultat (et non pas sur quelques votes éparse comme lors d’une fraude « papier »). M. Green conclut: « Lors d’une élection, il ne devrait jamais y avoir une seule personne qui soit en mesure d’organiser un fraude invisible. Or, le système de vote électronique Scytl/La Poste permet cela ». Sarah Jamie Lewis, l’experte canadienne en cryptographie qui a découvert la faille, considère en outre qu’aucun système de vote électronique ne devrait contenir pareille porte dérobée.

4. Le futur système de vote électronique ne remplit pas les garanties légales
Rarement un communiqué de la Chancellerie fédérale n’aura été aussi sévère, surtout avec son enfant chéri qu’est la généralisation coûte que coûte du vote électronique. Selon la Chancellerie, « La présence de cette faille empêche le système de répondre aux exigences légales pertinentes ». Voilà qui est dit. Mais malgré tout, on continue comme si de rien était. La preuve que, lorsque Berne dit qu’en matière de vote électronique, « la sécurité passe avant la précipitation », c’est du vent.

5. KPMG a certifié que le système était sûr… mais c’était faux
Là encore, un couac majeur. L’entreprise de consulting KPMG a certifié que le système de vote électronique remplissait les conditions légales…. malgré l’existence de la faille qui a conduit la Chancellerie a conclure que le système ne remplit pas les exigences légales. Cette certification est donc le fruit d’incompétents, incompétence le cas échéant légèrement atténuée par le fait que La Poste a interdit de chercher au bon endroit. Toutefois, s’ils avaient été compétents, ces experts n’auraient jamais dû se contenter de chercher uniquement là où on leur a dit de le faire. La Chancellerie fédérale a d’ailleurs déjà tiré des conséquences et va revoir sa procédure de certification (Comment? On n’en sait rien…).

6. Le système utilisé actuellement n’offre pas les mêmes garanties… mais reste en fonction
Autre point intéressant: la faille majeure concerne la « vérifiabilité individuelle ». Derrière ce concept un peu barbare se cache l’idée que les citoyens puissent contrôler après avoir voté que leur vote a bel et bien été enregistré (enfin, c’est ce qui s’affichera sur leur écran, car en réalité, il ne pourront pas vérifier si le vote est bel et bien dans l’urne et s’il sera compté correctement). Ce concept doit être, selon la Chancellerie fédérale, le grand progrès qui rendra le vote électronique digne de confiance. Or, cette fonction n’est pas encore en vigueur. Le vote électronique tel qu’il existe actuellement dans certains cantons ne prévoit pas la vérifiabilité individuelle. Il est donc, du point de vue des partisans du vote électronique eux-même, nettement moins sûr que le futur système. Mais ce système actuel reste pourtant en vigueur, malgré le fait que le futur système qui doit être plus sûr ne l’est finalement pas tant que ça.

7. Il est impossible d’exclure que des scrutins aient été manipulés en Suisse
Même si le système de vote électronique où cette faille a été trouvée n’est pas encore en fonction dans notre pays, La Poste et Scytl sont incapable de démontré que leur système actuellement en service n’a pas permis de falsifier des scrutins ayant déjà eu lieu. Comme la programmation de leur futur système qui doit être « sûr, vérifiable, inattaquable » etc. a été descendue en flamme par les experts, le risque est que les systèmes actuels ne soient pas de meilleure facture. Donc bourrés de failles. Dont personne ne remarquerait l’utilisation. De quoi jeter le discrédit sur la légitimité de nombreux scrutins.

Si vous êtes aussi effrayé que moi, soutenez l’initiative pour un moratoire sur le vote électronique, qui sera lancée ce samedi!

 

 

* Oui, je viens de re-regarder l’intégrale des « Cités d’or »

01/02/2019

Scandale du vote électronique Scytl/La Poste : la symptomatique réaction des autorités

Hier, le magazine en ligne « Republik » a révélé les sombres dessous de l’entreprise espagnole (aux capitaux US) Scytl, leader mondiale du vote électronique avec qui La Poste collabore pour l’imposer en Suisse. L’article dénonce, en vrac, fiascos électoraux (Equateur, Australie, Norvège), détournement de fonds publics destinés à la recherche, opacité, triche et magouille. On aurait pu s’attendre que les cantons concernés (dont FR et NE) annoncent qu’ils vont analyser la situation et promettent de prendre les mesures qui s’imposent. Eh bien non. Leur réaction a été à l’image de toutes les réactions de toutes les autorités confrontées à des problèmes, failles de sécurité et autres critiques en matière de vote électronique : minimiser, nier, et (ce n’est pas encore le cas pour Scytl/La Poste, mais qui sait) menacer de poursuites pénales.

Voici leurs réactions (postées par le canton de Fribourg et « likée » par celui de Neuchâtel) :

 

 

Il est d’ailleurs piquant de relever que le canton de Fribourg s’exprime uniquement sur le seul cas de fiasco causé par Scytl qui ne concerne pas réellement le vote électronique, mais le scan des bulletins. Et il a aussi demandé d’attendre la réaction de son mandataire privé. Voilà où nous mène cette privatisation du système électoral : l’autorité qui organise le scrutin n’est même pas capable de commenter les éventuels problèmes, soit parce qu’elle ne comprend rien au logiciel, soit parce qu’elle n’a pas accès aux détails de ce dernier, droits de propriété intellectuel obligent. En ce qui concerne le système de Scytl/La Poste, les deux options sont malheureusement crédibles, car ces entreprises refusent de dévoiler le fonctionnement de leur logiciel… auquel 99% de la population (autorités cantonales comprises) ne comprendraient de toute façon rien, faute de connaissance pointues en informatique.

Les autorités genevoises ont déjà réagi ainsi à plusieurs reprises lorsque des failles de leur système de vote électronique ont été rendues publiques. Au lieu d’être remerciés, les auteurs de ces révélations ont été menacés de plaintes pénales. L’un d’eux (un journaliste de la RTS) a même dû se justifier devant un tribunal, la menace ayant été mise à exécution. Alors que les intéressés voulaient plutôt rendre service en révélant des problèmes menaçant la fiabilité de ce qui constitue le cœur d’une démocratie : les votations et élections.

 

Voilà qui en dit long sur la fébrilité et l’absence d’assurance des partisans du e-voting. Il est d’ailleurs piquant de constater que, à entendre les autorités concernées, le vote électronique serait le seul domaine de l’informatique à être sûr, infaillible, inattaquable et j’en passe.

Cela est d’autant plus inquiétant que, depuis l’abandon du système de vote électronique genevois Scytl et La Poste restent le seul acteur de ce « marché ». Un acteur privé, opaque et en mains étrangères. Pas de quoi instaurer la confiance des citoyens.

 

Une seule solution à ces dérives : l’initiative pour un moratoire sur le vote électronique !

17/08/2018

Série d’été sur le vote électronique (7ème et dernier épisode)

Tout au long de l’été, je décortique les mythes qui circulent à propos du vote par Internet. Aujourd’hui, le dernier épisode :

7. L’introduction généralisée du vote électronique est inéluctable (et ceux qui s’y opposent sont des dinosaures…)

Les opposants au e-voting sont régulièrement traités de dinosaures, de vieux schnoques, de résident d’EMS et j’en passe. On les accuse d’être rétifs à toute modernité et hostiles à l’innovation. De passer à côté des besoins de la population, en particulier de ceux des jeunes générations prétendument aussi expertes qu’avides des nouvelles technologies (c’est faux, mais ça sonne bien) ou de ceux des Suisses de l’étranger, dont on dit qu’ils veulent pouvoir voter coûte que coûte et quels que soient les dangers pour la fiabilité des scrutins. Et, de toute façon, les opposants au e-voting sont volontiers comparés à Don Quichotte se battant contre d’inarrêtables moulins à vent. Car, pour bon nombre de promoteurs du vote électronique, son avènement est inéluctable. Parce que, c’est bien connu, personne ne peut freiner l’essor des nouvelles technologies. Pas même les principes essentiels au bon fonctionnement de la démocratie.

Mais il ne faut pas tout confondre. S’il n’est guère possible, ni d’ailleurs souhaitable, d’entraver le développement des nouvelles technologies, cela ne veut pas dire qu’il faut jeter par dessus-bord toutes les règles qui ont fait leurs preuves, à plus forte raison si ces règles servent à préserver la démocratie. Ce n’est pas parce que le vote électronique est « moderne » qu’il justifie que l’on abandonne des principes aussi essentiels que le secret du vote, la fiabilité des résultats électoraux ou la possibilité pour tout citoyen de participer au dépouillement ou d’en surveiller le bon déroulement. A moins bien sûr de considérer que ces principes seraient obsolètes. Ce qui reviendrait à considérer comme telle la démocratie elle-même.

Quoi qu’il en soit, l’introduction généralisée du vote par Internet, n’est pas inéluctable. D’abord parce que de nombreux pays y ont renoncé à des stades plus ou moins avancés, vus les risques encourus. Les Pays-Bas, pays pionnier du vote électronique dès 1996, ont, en 2006, stoppé ce canal de vote (pourtant accessible à 99% du corps électoral) pour des raisons de sécurité. La Cour constitutionnelle allemande a jugé le vote par Internet incompatible avec les principes démocratiques en 2009. Et, en 2017, la France a supprimé la possibilité d’élire les députés des Français de l’étranger par Internet, au nom de la sécurité informatique. Certes, il y a quelques pays qui persévèrent malgré les erreurs et autres fraudes, notamment les USA, où même l’élection présidentielle de 2000 a été entachée d’irrégularité en raison de machines à voter. Pourtant, récemment, un enfant de 11 ans a pu falsifier un résultat électoral en Floride, heureusement dans le cadre d’un concours de hackers... et sur une réplique du vrai site !

En Suisse aussi, il serait tout à fait possible de renoncer définitivement au vote par Internet. D’une part, grâce à une initiative populaire en préparation qui souhaite l’interdire complètement, en tout cas tant que la technologie ne permet pas une vérifiabilité par n’importe quel citoyen sans connaissances particulières en informatique. En outre, si le Parlement fédéral décidait de pérenniser les actuels « essais » de vote électronique (qui concernent d’ailleurs beaucoup trop d’électeurs pour être vraiment traités d’essais, mais c’est une autre histoire) et donc d’introduire ce canal de vote à large échelle, il serait possible de lancer le référendum. Donc, si les citoyens refusent que l’on sacrifie la démocratie sur l’autel de la technique (et des intérêts financiers de ceux qui font vendent les systèmes de vote électronique…), ils pourront s’y opposer. Et ce seront eux qui auront le dernier mot.

...

Ainsi se termine ma série d’été sur le vote électronique. Pour lire les autres billets sur le sujet, c’est par ici…