14/03/2019

Vote électronique Scytl/La Poste: c’est bien pire qu’une « simple » faille

Hier, une faille importante a été révélée dans le logiciel de vote électronique de La Poste. Ce n’est hélas pas un énième problème de sécurité informatique. C’est bien pire. Car, en plus de la faille elle-même (qu’un expert à qualifié de « stupéfiante » et qu’un autre a considéré comme relevant « d’une programmation négligente »), ce sont les circonstances de sa découverte et la réaction tant de La Poste que des autorités qui doivent fortement nous inquiéter. 

1. La faille n’aurait jamais dû être ni trouvée, ni révélée
Si les conditions imposées par La Poste pour tester la sécurité de son système de vote électronique avaient été respectées, la faille n’aurait jamais été découverte, ni rendue publique. En effet, la faille a été découverte hors du périmètre du test. Si quelques spécialistes beaucoup plus inspirés par l’intérêt général que La Poste n’avaient pas publié la totalité du code (ce que La Poste a condamné), personne n’aurait pu découvrir le problème. Et si les participants au test avaient respecté les incompréhensibles clauses de confidentialité imposées par La Poste (qui avait décidément peur que quelqu’un trouve un problème et en parle), le problème n’aurait jamais pu être rendu public. Le vote électronique serait resté vulnérable à l’insu de tout le monde. Cela démontre que ce test d’intrusion n’est qu’une vaste opération de relations publiques et que l’objectif de La Poste n’est pas de trouver d’éventuels problèmes, mais plutôt de faire croire qu’on a pu (un peu) les chercher.
Mais il n’y a pas que le test public qui a été volontairement restreint. Le Prof. Haenni de la HES bernoise (pourtant favorable au e-voting!), relève que les tests préliminaires menés par l’EPFZ, l’Université de Cambridge et KPMG auraient pu et dû trouver cette faille… si on les avait laissé chercher au bon endroit. Or, là aussi, La Poste a limité le périmètre d’investigation. C’est un peu comme partir à la recherche des cités perdues des Incas sans fouiller la Cordillère des Andes*. M. Haenni en conclut qu’il y a probablement d’autres failles aussi importante cachées à d’autres endroits du code. Pas rassurant.

2. Scytl et La Poste savaient dès 2017, mais Scytl n’a pas corrigé le problème
Tout aussi grave: La Poste a dû admettre que le problème était connu depuis longtemps, qu’elle avait demandé à Scytl de le corriger, mais que cela n’avait été fait que « partiellement ». On croit rêver devant tant d’amateurisme et d’incompétence. Ce n'est d'ailleurs pas la seule cachotterie de Scylt, qui a prétendu que le système en question n'avait pas été utilisé dans l'Etat australien de Nouvelles-Galles-du-Sud. Ça aussi ce n'est pas vrai.

3. Cette faille confirme qu’une seule personne suffit pour manipuler un scrutin par vote électronique
Lorsque les adversaires du vote électronique avancent qu’un vote par Internet est beaucoup plus facile à frauder qu’un vote sur papier (ce qui nécessite beaucoup de logistique et de complices pour être efficace), on leur rit au nez. Certains prétendent même la bouche en coeur que le e-voting est « plus sûr que le vote sur papier ». Or, cette faille est, selon Matthew Green, professeur de cryptographie à la John Hopkins University, la preuve qu’une seule personne bien placée peut falsifier la totalité des résultats sans que personne ne s’en aperçoive. Pis, les votes en questions seraient considérés comme ayant été « vérifiés ». Certes, cette personne doit se trouver à l’interne de l’autorité qui organise le scrutin, mais, une fois que l’on a trouvé comment la corrompre, la faire chanter (ou tout simplement la convaincre par un autre moyen de modifier le résultat), cette unique personne suffit à organiser une fraude portant sur la totalité du résultat (et non pas sur quelques votes éparse comme lors d’une fraude « papier »). M. Green conclut: « Lors d’une élection, il ne devrait jamais y avoir une seule personne qui soit en mesure d’organiser un fraude invisible. Or, le système de vote électronique Scytl/La Poste permet cela ». Sarah Jamie Lewis, l’experte canadienne en cryptographie qui a découvert la faille, considère en outre qu’aucun système de vote électronique ne devrait contenir pareille porte dérobée.

4. Le futur système de vote électronique ne remplit pas les garanties légales
Rarement un communiqué de la Chancellerie fédérale n’aura été aussi sévère, surtout avec son enfant chéri qu’est la généralisation coûte que coûte du vote électronique. Selon la Chancellerie, « La présence de cette faille empêche le système de répondre aux exigences légales pertinentes ». Voilà qui est dit. Mais malgré tout, on continue comme si de rien était. La preuve que, lorsque Berne dit qu’en matière de vote électronique, « la sécurité passe avant la précipitation », c’est du vent.

5. KPMG a certifié que le système était sûr… mais c’était faux
Là encore, un couac majeur. L’entreprise de consulting KPMG a certifié que le système de vote électronique remplissait les conditions légales…. malgré l’existence de la faille qui a conduit la Chancellerie a conclure que le système ne remplit pas les exigences légales. Cette certification est donc le fruit d’incompétents, incompétence le cas échéant légèrement atténuée par le fait que La Poste a interdit de chercher au bon endroit. Toutefois, s’ils avaient été compétents, ces experts n’auraient jamais dû se contenter de chercher uniquement là où on leur a dit de le faire. La Chancellerie fédérale a d’ailleurs déjà tiré des conséquences et va revoir sa procédure de certification (Comment? On n’en sait rien…).

6. Le système utilisé actuellement n’offre pas les mêmes garanties… mais reste en fonction
Autre point intéressant: la faille majeure concerne la « vérifiabilité individuelle ». Derrière ce concept un peu barbare se cache l’idée que les citoyens puissent contrôler après avoir voté que leur vote a bel et bien été enregistré (enfin, c’est ce qui s’affichera sur leur écran, car en réalité, il ne pourront pas vérifier si le vote est bel et bien dans l’urne et s’il sera compté correctement). Ce concept doit être, selon la Chancellerie fédérale, le grand progrès qui rendra le vote électronique digne de confiance. Or, cette fonction n’est pas encore en vigueur. Le vote électronique tel qu’il existe actuellement dans certains cantons ne prévoit pas la vérifiabilité individuelle. Il est donc, du point de vue des partisans du vote électronique eux-même, nettement moins sûr que le futur système. Mais ce système actuel reste pourtant en vigueur, malgré le fait que le futur système qui doit être plus sûr ne l’est finalement pas tant que ça.

7. Il est impossible d’exclure que des scrutins aient été manipulés en Suisse
Même si le système de vote électronique où cette faille a été trouvée n’est pas encore en fonction dans notre pays, La Poste et Scytl sont incapable de démontré que leur système actuellement en service n’a pas permis de falsifier des scrutins ayant déjà eu lieu. Comme la programmation de leur futur système qui doit être « sûr, vérifiable, inattaquable » etc. a été descendue en flamme par les experts, le risque est que les systèmes actuels ne soient pas de meilleure facture. Donc bourrés de failles. Dont personne ne remarquerait l’utilisation. De quoi jeter le discrédit sur la légitimité de nombreux scrutins.

Si vous êtes aussi effrayé que moi, soutenez l’initiative pour un moratoire sur le vote électronique, qui sera lancée ce samedi!

 

 

* Oui, je viens de re-regarder l’intégrale des « Cités d’or »

16/11/2018

Protection des travailleurs et initiative « contre les juges étrangers » : ne confondons pas tout !

Hier, un arrêt de la Cour de Justice de l’Union Européenne (CJUE) traitant des mesures autrichiennes anti-sous-enchère salariale a été rendu. La CJUE, et ce n’est pas la première fois (souvenons-nous des arrêts «Viking», «Laval», «Luxembourg» ou «Rüffert»), s’est à nouveau prononcée contre les mesures de protection des salaires, donnant la priorité au libre marché, et donc à la libre exploitation des travailleurs. Les partisans de l’initiative d’autodestruction de l’UDC, dite « d’autodétermination » ou « contre le juges étrangers » n’ont pas tardé à prétendre que cet arrêt apporte de l’eau à leur moulin et que c’est un argument en faveur de l’initiative (p. ex. ici). Ce raisonnement est totalement faux, pour plusieurs raisons.

  1. D’abord, parce que cet arrêt ne concerne pas la Suisse. La Suisse n’est pas membre de l’UE et n’a pas à se soumettre aux décisions de la CJUE. Si l’initiative d’autodestruction était acceptée, cela n’y changerait rien, car faire primer le droit interne sur le droit international n’aurait un impact que sur le droit international qui s’applique à notre pays.
  2. Ensuite, cette prise de position concerne plutôt un hypothétique « accord-cadre » entre la Suisse et l’UE, qui pourrait concerner la protection des travailleurs contre la sous-enchère, en particulier l’interprétation de nos « mesures d’accompagnement ». Or, cet accord-cadre n’existe pas encore. Et il n’existera probablement jamais s’il a pour contenu de soumettre nos mesures anti-sous-enchère à l’interprétation de la CJUE. En tout cas, jamais les syndicats et le PS ne l’accepteront et, sans leur soutien, un accord-cadre n’a aucune chance devant le peuple. Là non, plus l’initiative de l’UDC ne change rien : En effet, pour éviter d’avoir à appliquer un accord international qui lui serait défavorable, la Suisse n’a pas besoin de l’initiative dite « d’autodétermination » ; elle n’a qu’à simplement… pas le ratifier. Pas besoin donc de s’encombrer d’un texte aussi radical que flou.
  3. Enfin, il n’est pas inutile de rappeler que, sur la question des mesures de protection des travailleurs et des salaires, l’UDC et la CJUE sont sur la même longueur d’onde. L’UDC a en effet toujours refusé les mesures contre la sous-enchère, que ce soit sur le principe ou leur amélioration. Elle n’a eu de cesse de les combattre au Parlement comme devant la justice (en l’espèce la commission de la concurrence). Et sa prochaine initiative vise à abolir la libre circulation des personnes… et par la même occasion les mesures d’accompagnement (qui lui sont juridiquement liées). Car ce que veut l’UDC, c’est donner carte blanche aux employeurs pour engager qui ils veulent, comme ils veulent… et surtout au salaire qu’ils veulent. Comme la CJUE, l’UDC a toujours été une fervente partisane de la sous-enchère. Et sa récente initiative n’y change rien. D’ailleurs, quand je l’ai signalé dans des discussions sur Facebook, pas un UDC n’a été en mesure de me répondre sur ce point.

Le 25 novembre, un grand NON à l’initiative d’autodestruction !

14/11/2018

Surveillance dans la chambre à coucher : le mythe qui n’en est pas un

Les partisans de la surveillance généralisées des assurés par les assureurs, en particulier les caisses-maladies, n’ont de cesse de réfuter que la surveillance dans une chambre à coucher soit possible. Certains, comme Isabelle Chevalley aujourd’hui dans « 24 heures » parlent même de « mythe ». Et d’ailleurs, poursuit-elle, « l’intérieur du domicile ne peut faire l’objet d’aucune observation, tel en a décidé le Tribunal fédéral ».

Deux remarques à ce sujet. D’une part, il est impossible que le Tribunal fédéral (TF) se soit prononcé sur une loi qui n’est pas encore en vigueur, car la Suisse ne connaît pas de contrôle constitutionnel préalable des lois fédérales. Ce qu’a dit le TF, c’est que, selon la loi actuelle, l’observation dans une chambre à coucher est interdite. Mais c’est justement ce que veulent changer les assureurs et la droite du Parlement et c’est parce que le TF a mis le holà aux surveillance abusives qu’ils ont élaboré cette nouvelle loi.

D’autre part, il suffit de lire la loi soumise au vote du peuple pour vérifier qu’une surveillance est bel et bien possible à l’intérieur d’un appartement. En effet, selon l’art. 43a al. 4 P-LPGA, l’assuré ne peut être observé que si « il se trouve dans un lieu qui est librement visible depuis un lieu accessible au public ». Comme une chambre à coucher, un balcon ou un jardin visible depuis le trottoir d’en face. Et comme la loi ne le précise pas, un détective qui observe à l’aide d’un drône pourra probablement observer tout ce qu’il veut, du moment que c’est « depuis un lieu accessible au public ». Enfin, comme la loi n’interdit pas explicitement aux assureurs d’utiliser les informations recueillies illégalement (l’al. 6 n’interdit que leur utilisation « à d’autres fins » ou par « un autre assureur »), nul doute que les caisses-maladies utiliseront toutes les méthodes possibles et imaginables… et qu’elles finiront bien par trouver un petit détail qui justifiera que l’on rabote les prestations.

Si la loi n’est pas rejetée le 25 novembre, il sera donc bel et bien possible de mener des surveillance très invasives et donc très couteuses. Sur le dos des assurés… et à leur frais !