Photo de Alain Anziani

Alain Anziani
Question écrite N° 1234 au Ministère des affaires


Secret et sincérité des votes par internet

Question soumise le 26 juillet 2012

M. Alain Anziani attire l'attention de M. le ministre de l'intérieur sur les risques inhérents aux systèmes de vote par internet.

Il a été proposé aux Français résidant à l'étranger de pouvoir voter par internet pour les élections législatives de 2012. Entre le mercredi 23 et le mardi 29 mai, environ 130 000 Français de l'étranger ont voté par internet pour élire les onze députés qui les représentent.

Ce vote numérique s'ajoute à d'autres expérimentations de même nature comme celle des élections sénatoriales de 2006 et à des simulations de vote dans d'autres scrutins, y compris lors des élections présidentielles.

À son issue, ses utilisateurs ont fait part de nombreux problèmes techniques. Ainsi, certains électeurs n'ont pas pu voter car ils possédaient une nouvelle version du langage de programmation Java, qui n'était pas compatible avec les verrous de sécurité mis en place pour ce vote numérique.

Ces difficultés semblent être à la source d'une désaffection pour cette modalité de vote, puisque seulement 130 000 électeurs l'ont choisie, sur les 700 000 qui avaient exprimé leur intérêt auprès des ambassades.

Sur le fond, certains internautes et experts en informatique affirment, sans avoir été contredits, qu'il est techniquement possible d'introduire dans le programme de ces systèmes de vote un logiciel malveillant permettant de détourner les identifiants des électeurs et donc de modifier leur vote, d'attaquer les serveurs pour rendre impossible la tenue d'un scrutin ou par d'autres moyens de connaître le vote des électeurs.

De telles failles de sécurité porteraient gravement atteintes au secret et à la sincérité du scrutin et risqueraient de conduire à son annulation.

En conséquence, il lui demande de lui indiquer s'il a été procédé à un audit de sécurité de ce système de vote et si les résultats en sont publics, en soulignant que toute évaluation doit prendre en compte la possibilité des logiciels malveillants de se reprogrammer et donc d'effacer toute trace de leur intervention.

Par ailleurs, il souhaite savoir comment le ministère entend remédier aux difficultés techniques rencontrées lors du scrutin des élections législatives 2012.

Enfin, il demande, préalablement à toute extension des expérimentations en cours, que soit menée une réflexion approfondie sur les défaillances potentielles des systèmes de vote dématérialisés, y compris les machines à voter.

Réponse émise le 23 août 2012

Le vote par internet ne nécessitait pas de procéder à une préinscription, contrairement au vote par correspondance sous pli fermé. Le courrier contenant l'identifiant du vote par internet a été envoyé aux 1,1 million d'électeurs inscrits sur les listes électorales consulaires (LEC). Le « réservoir potentiel » des électeurs qui pouvaient effectivement voter par internet était constitué d'environ 600 000 personnes puisque le ministère des affaires étrangères (MAE) ne disposait que de 600 000 adresses électroniques valides. Or seuls les électeurs ayant fourni une adresse électronique valide étaient en mesure de recevoir le mot de passe indispensable pour voter. Les statistiques de vote attestent de l'intérêt et de l'adhésion qu'a suscité parmi les électeurs le vote par internet : sur les deux tours de scrutin et pour l'ensemble des circonscriptions, près de 250 000 personnes l'ont choisi pour exprimer leur suffrage, soit plus de 55 % des votants. L'essentiel (80 %) des problèmes techniques recensés est relatif au passage du logiciel Java à une nouvelle version peu de temps avant le scrutin. Toutefois, cette restriction ne révèle pas une déficience du dispositif de vote électronique, mais un choix délibéré des responsables du traitement, arrêté pour des raisons de sécurité et d'accessibilité, à l'issue d'une étude de risque conduite en application de l'article 3 du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ce choix est en effet apparu le mieux à même d'assurer le respect des dispositions de l'article L. 330-13, aux termes desquelles le vote par voie électronique doit reposer sur des « logiciels permettant de respecter le secret du vote et la sincérité du scrutin », tout en conciliant ces principes avec celui d'accessibilité au suffrage. Par ailleurs, la société Oracle Corporation, qui édite le logiciel Java, après avoir publié sa mise à jour 1.7 le 11 mai 2012, a diffusé le 13 juin 2012 (soit en pleine période électorale) un « bulletin d'urgence » dans lequel, en raison d'une « incompatibilité critique », elle recommandait de désinstaller la version 1.7 et de restaurer provisoirement la version 1.6. Pour autant, ces problèmes techniques n'ont pas affecté outre mesure l'accessibilité au vote par internet. En effet, selon les statistiques recueillies sur la plateforme de vote, 12 893 électeurs ont tenté de se connecter au site de vote sans toutefois déposer de bulletin dans l'urne électronique, pour 244 623 votants sur l'ensemble des deux tours. Cela porte donc à près de 95 % le taux d'accessibilité, pour lequel aucune garantie n'avait pourtant été donnée, puisque seulement une frange du parc informatique mondial était compatible avec les mesures de sécurité du dispositif. Enfin, il faut rappeler que le vote par internet ne constituait qu'une des quatre modalités de vote pour ce scrutin, et que les électeurs conservaient leur droit de vote dès lors qu'ils n'avaient pas voté par internet. Le dispositif, notamment le code source du logiciel, a fait l'objet d'un double audit par l'Agence nationale de sécurité des systèmes d'information (ANSSI) et par les experts indépendants chargés de vérifier la conformité du dispositif avec les recommandations de la CNIL 2010. Les rapports ne sont pas publics. Les experts indépendants remettent simplement leurs rapports à la CNIL qui décide ensuite de les publier ou non. Quoiqu'il en soit, toutes les actions sur l'urne électronique sont enregistrées dans des journaux inaltérables dont l'intégrité a été contrôlée tout au long du scrutin. La possibilité des logiciels malveillants de se reprogrammer et donc d'effacer toute trace de leur intervention a donc été prise en compte. L'étude diffusée par un électeur qui prétendait avoir révélé une faille de sécurité dans le système de vote électronique, n'établit en aucune manière la vulnérabilité de ce dernier. En effet, l'intéressé expose simplement qu'il est en mesure de modifier son propre vote, avant qu'il ne le valide définitivement. Or, le dispositif de vote offre déjà cette possibilité à tout électeur, sans qu'il lui soit besoin de passer par une quelconque manipulation. Le fait qu'un électeur soit en mesure d'inscrire sur son bulletin autre chose que le nom d'un des candidats en lice n'est pas davantage problématique. Cela correspond à une hypothèse parfaitement connue du vote à l'urne et se traduira, logiquement et en application des articles L. 66 et R. 66-2, par la nullité du suffrage considéré, constatée par le bureau de vote compétent. En revanche, il n'est pas établi que la manipulation informatique ait permis la modification d'un seul autre vote que le sien. Dans une lettre adressée au Conseil constitutionnel, l'intéressé admet qu'il ne s'agit que d'une possibilité. Des recommandations ont également été adressées aux électeurs, leur indiquant les différentes versions logicielles à utiliser, afin de réduire tout risque d'infection de leur ordinateur par un virus. Selon les auditeurs indépendants, les experts de l'ANSSI et les consultants du MAE et de l'équipe projet, aucune attaque généralisée de ce type n'a été réalisée lors du scrutin. Concernant le détournement des identifiants, il s'agit du phénomène de « phishing » qui consiste à amener l'électeur vers un faux site et lui demandant ses instruments d'authentification. Plusieurs mesures ont été prises pour lutter contre ce détournement. D'une part, une adresse courriel (bve. fae@diplomatie. gouv. fr) a été créée, par laquelle l'électeur pouvait solliciter le bureau de vote électronique s'il estimait que ses instruments d'authentification étaient usurpés. Aucun courriel significatif n'a été reçu en ce sens. D'autre part, une veille permanente du réseau internet mondial a été effectuée de la part des équipes de l'ANSSI. Cette veille n'a permis de détecter aucune activité suspecte, notamment en matière de « phishing ». Par ailleurs, une surveillance du dispositif était bien entendu tenue pour prévenir toute attaque des serveurs. Les analyses réalisées a posteriori ont indiqué que de nombreuses tentatives d'attaques sur les serveurs ont été effectuées, sans qu'aucune ne réussisse.

Aucun commentaire n'a encore été formulé sur cette question.

Inscription
ou
Connexion