• AgoraVox sur Twitter
  • RSS
  • Agoravox TV
  • Agoravox Mobile

Accueil du site > Tribune Libre > Primaire UMP, élection en Norvège : il est nécessaire de mieux sécuriser (...)

Primaire UMP, élection en Norvège : il est nécessaire de mieux sécuriser le vote sur Internet !

En septembre dernier la Norvège expérimentait le vote sur Internet lors de ses élections parlementaires. Si les bénéfices furent réels en terme de participation et d'organisation, des problèmes de sécurité liés au cryptage des données transmises par l'électeur ont été décelés. Ces failles font suites à celles découvertes lors les primaires UMP à Paris ou encore celles du vote des français à l'étranger lors des législatives 2012 : à chaque fois le chiffrement des données effectué sur le poste de travail de l'électeur apparaissait comme le maillon faible de la chaîne de sécurisation. Des recommandations par un organisme compétent en faveur d'une meilleure sécurisation du vote sur Internet paraissent indispensable : en France l'ANSSI a la légitimité et les compétences nécessaires à cette tâche.

Élection norvégienne, primaire UMP, législatives 2012 : des bugs similaires

La mise en place du vote sur Internet dans 12 villes norvégiennes lors des élections parlementaires faisait office de test avant un éventuel déploiement à l'échelle nationale. Une expérimentation qui s'est soldé par un succès en terme de participation puisqu'elle a attiré 28% des votants, soit une augmentation de 12% du niveau de participation comparé au premier essai de vote sur Internet de 2011. Le test n'a par contre pas convaincu en terme de sécurisation du traitement des bulletins de votes : une équipe de chercheurs de la BFH-TI (École technique et Informatique de Vienne) a montré que des failles de sécurité permettait d'usurper l'identité d'un électeur en votant en ligne via l'utilisation d'un Smartphone ou d'une tablette. Le site ZDnet révélait ainsi que les problèmes de sécurité se concentraient essentiellement sur le chiffrement (cryptage) des données émises sur le poste de travail de l'électeur. Ce chiffrement, sensé assurer la protection des données transmises, utilisait une clés d'algorithme de cryptage bien trop facile à déceler : c'est ce qu'à démontré l'entreprise de sécurité informatique Computas engagée par le gouvernement norvégien pour contrôler le processus. Un pirate informatique pouvait ainsi parvenir à détourner et modifier les informations transmises afin d'usurper l'identité d'un électeur, changer son vote ou encore avoir recours aux votes multiples. Ces incidents ont amené les organisateurs à conserver 40.000 bulletins douteux, soit tout de même 12% des 350 000 bulletins de votes.

Un sujet d'autant plus préoccupant que des problèmes similaires ont eu lieu en France lors des premières expérimentations du vote sur Internet. Les français résidant à l'étranger avaient ainsi pu voter par Internet lors des élections législatives de 2012 : le processus était similaire au vote norvégien qui utilisait le même prestataire, la société Stycl. Un informaticien nantais, Laurent Grégoire, avait démontré qu'il était possible de modifier à leur insu les bulletins de votes en effectuant une modification simple de l'applet Java sur le poste de travail de l'électeur. Le Conseil Constitutionnel en avait été alerté : bien qu'il ait reconnu les failles de sécurité, il avait validé les résultats de l’élection. Même constat en mai dernier lors des primaires parisiennes de l'UMP : des bugs de l'applet Java nécessaires au chiffrement des données sur le post du votant permettait de voter à plusieurs reprises et d'usurper l'identité d'un électeur UMP. Un internaute avait même montré qu'il était facile de voter à la place de Nicolas Sarkozy. Des bugs inhérent au système de vote qui utilise le chiffrement du bulletin de vote sur le poste de travail de l'électeur : un poste de travail qui devient dans ces conditions le maillon faible de la chaîne de sécurité et une cible potentiel pour des cyberattaques. Autre problème : le processus de vote nécessite de disposer d'une version compatible de l'applet Java (les primaires UMP nécessitait ainsi la dernière version 7.0) et met à l'écart les électeurs disposant d'un ordinateur non compatible.

Ces failles de sécurité en feraient presque oublier les avantages du vote sur Internet et en premier lieu sa capacité à augmenter la participation d'une élection, un élément non négligeable à l'heure où la participation est en baisse constante. En donnant la possibilité aux électeurs de ne pas se déplacer (notamment pour les électeurs qui n'habitent pas à l'endroit où ils sont enregistrés sur les listes électorales), de pouvoir effectuer des relances par email ou encore de pouvoir voter tout au long de la journée, le vote sur Internet gagnerait à être étendu à une plus grande échelle : encore faudrait il pour cela que sa sécurité soit garantie.

L'ANSSI vs CNIL

C'est pourquoi il apparaît nécessaire qu'un organisme de validation légitime puisse valider les normes de sécurité relatives au vote sur Internet. Si pour le moment la CNIL (Commission National de l'Informatique et des Libertés) semble vouloir tenir ce rôle en France, elle ne dispose ni des compétences techniques ni de la légitimité d'une autorité électorale. En validant le processus de vote sur Internet lors des primaires parisiennes UMP, qui avaient pourtant tourné au fiasco, elle a mis en avant la non pertinence de ses recommandations. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Informations) semblerait être un interlocuteur autrement plus légitime, notamment de par ses compétences techniques en matières de sécurité informatique et de transmission d'informations : ses recommandations en faveur des risques liés à l'utilisation de Java se sont ainsi révélées autrement plus pertinentes.


Moyenne des avis sur cet article :  2/5   (8 votes)



Réagissez à l'article

7 réactions à cet article    

  • Txotxock Txotxock 21 novembre 2013 08:02

    Non, non, il faut refuser tout vote par internet. Par définition, la sécurité ne sera JAMAIS garantie. Tous les hackers vous le diront.

    Répondre Signaler un abus Lien permanent
    • latortue latortue 21 novembre 2013 10:56

      déjà en votant par bulletin les magouilles sont légion ,rendez vous compte en cas de vote sur internet finis la démocratie , avec l’absence de proportionnelle on nous impose la chaise musicale droite gauche ,alors il y a d’autres avancées pour améliorer la démocratie que le vote sur internet .

      Répondre Signaler un abus Lien permanent
      • alphapolaris alphapolaris 21 novembre 2013 12:07

        Il est nécessaire de ne pas utiliser le vote sur internet. Tout simplement. Vouloir le sécuriser est une arlésienne. Le vote électronique, qu’il soit par internet ou par boitier électronique entraine deux régressions majeures par rapport au vote papier :
        - il n’est pas contrôlable par le simple citoyen : il faut avoir d’une part de solides compétences techniques et d’autre part une transparence totale des processus utilisés pour le contrôler, et même ces deux conditions n’apportent pas de garanties suffisantes. Rien de tel que la simplicité d’une urne en plastique transparente et des bulletins papiers
        - il n’est pas « rejouable » en cas de problème. Alors qu’on peut recompter des bulletins papiers, c’est impossible avec un compteur électronique. Tenter de créer des bulletins électronique pour pallier ce problème ne fait que le repousser car on reste en définitive toujours dans l’immatériel.

        Ces deux problèmes sont rédhibitoires pour l’utilisation du vote électronique. Croire que l’on peut y remédier en accentuant des processus de chiffrement n’est qu’un leurre. L’exemple le plus flagrant en est la primaire UMP de Paris, où les 4 candidats avaient la clé de decryptage réparties sur 4 clés USB (que se serait-il passé si l’un deux l’avait perdue ?). Cette mesure tape-à-l’œil car totalement inutile et ne répondant pas aux véritables problèmes du vote électronique n’a pas empêché le fiasco que l’on connait.

        Répondre Signaler un abus Lien permanent
        • lucien bomberger lucien bomberger 21 novembre 2013 18:01

          Il existe une campagne anti vote électronique qui n’a aucun fondement légitime si ce n’est qu’elle consiste à détruire toute possibilité de construction de l’intelligence collective en simplifiant la votation.

          Question : existe-il des problèmes de sécurité de transfert de données pour
          la bourse financière et les ordres ? Non
          la française des jeux ? Non
          autorisation carte bleue ? Non

          Il manque juste de la volonté politique. Autant dire que la votation électronique rencontrera toujours des empêcheurs de vertu citoyenne et des sales mentalités qui feront tout pour stopper toute construction de l’intelligence collective. smiley

          Solution ? Demander à la française des jeux comment font-ils pour que leur réseau de communications ne subissent aucune fraude. Après tout semblera plus facile.

          Répondre Signaler un abus Lien permanent
          • eau-du-robinet eau-du-robinet 21 novembre 2013 22:07

            Personne ne peut garantir une sécurité 100% en informatique !

            La tache est trop complexe .... due au maillon faible ’’ l’HOMME’’

            Bruce Schneier une légende de la cryptographie dit : « Une intrusion informatique, c’est comme un meurtre : impossible de s’en protéger à 100% »

            Il ne faut donc pas autoriser le vote par l’électronique avec ou sans internet.

            Répondre Signaler un abus Lien permanent
            • eau-du-robinet eau-du-robinet 21 novembre 2013 22:16

              ’’ L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) semblerait être un interlocuteur autrement plus légitime, notamment de par ses compétences techniques en matières de sécurité informatique et de transmission d’informations : ...’’

              —fin de citation —

              Faire confiance à l’ANSSI voire une autre institution de l’état c’est comme faire confiance à la NSA ! Les citoyens doivent se méfier comme la peste des agences de l’état qui sont aux services de leur maitres (le monde de la finance) !

              Répondre Signaler un abus Lien permanent
              • Pyrrha 22 novembre 2013 16:22

                Attention aux amalgames : dans le vote UMP, ce sont les règles d’inscription qui prêtaient à confusion, rien à voir avec Java ou la sécurisation du poste électeur. Par ailleurs, il est faux d’écrire qu’un électeur s’est fait passer pour Nicolas Sarkozy. Aucun vote à son nom n’a été enregistré. Sur ces sujets sensibles, où la passion des Anciens et des Modernes se déchaînent, il est important d’être exacts... mais je vous l’accorde, tant d’erreurs ont été colportées par des journalistes moutonniers sur cette opération. Il faudrait plutôt investiguer pour savoir à qui ces rumeurs profitent !


                Répondre Signaler un abus Lien permanent

Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


FAIRE UN DON

Auteur de l'article

gregoryc

gregoryc

Ingénieur dans le secteur de l'énergie, je m'interesse au développement durable en étant partisan d'une société plus responsable.


Voir ses articles

Inscrivez-vous pour participer à AgoraVox

Derniers articles de l'auteur

Tous les articles de cet auteur


A lire dans la même rubrique

Tribune Libre
Voir tous les articles de la rubrique


Les thématiques de l'article

Internet Vote électronique


Palmarès


Derniers commentaires