Le vote électronique n’est pas prêt, il est même vulnérable !

Régulièrement je demande à ce que l’outil numérique prenne une place plus importante dans le paysage politique. Et pourtant je milite contre le vote électronique, que ce soit dans les bureaux de vote ou à la maison comme vient de le proposer notre cher ministère des affaires étrangères. Il y a une raison à cette apparente schizophrénie : le réseau actuel n’est pas conçu pour cela et n’autoriserai que des dérives.

Hier j’ai lu que le vote par Internet allait devenir une réalité pour 2012, aux législatives et pour les Français de l’étranger. Et j’ai aussi lu quelque chose de très inquiétant : cette procédure ne sera encadrée que par une seule et unique personne.

Vous commencez à me connaitre, quand un nouveau site aussi important est lancé, je fais un petit tour dessus, surtout s’il est en .gouv.fr. Et là en particulier je tombe sur une vérification de la configuration. Il faut que je rétablisse les configurations diverses et variées de mon navigateur qui interdit le javascript, bloque un certain nombre d’informations et tente quelques petites manipulations sur les entêtes HTTP tout seul mais même après cela le site ne détecte pas mon applet Java (qui lui pour le coup est activé et fonctionnel, même si je ne m’en sers jamais).

On me propose un lien pour contacter une assistance… C’est vexant, mais certes. Et là un formulaire… Miam !

Mon navigateur, par habitude me propose bien vite la valeur « >d pour le premier champ, je tente, en re-désactivant javascript qui me gêne en vérifiant  tous les champs et en me disant de les remplir tous… Et là :

Non seulement le formulaire a été soumis alors que je n’ai rempli que le prénom (numéro de ticket support à la clef) – ce qui veut dire que l’ensemble des contrôles de sécurité de ce formulaire au moins sont effectués en javascript, côté client et donc désactivables – mais en plus de cela j’ai le droit à une information bonus en tête de ma page qui me semble fortement être une jolie injection dans les entêtes du mail… Dans un premier temps j’ai cru qu’il s’agissait du destinataire, mais après un second test ce sont mes informations qui sont apparues, celles de l’envoi précédent (2054-da Silva Paul–)… Mais alors là franchement, je ne vois même pas comment ça peut se retrouver là ! Une chose est sure : le « – – » à la fin ne me rassure pas, ce sont les commentaires en SQL, très utilisés pour les injections…

J’ai renvoyé le formulaire deux fois, javascript activé cette fois-ci et ai obtenu des résultats aléatoires… Alors j’ai essayé autre chose, toujours depuis ce formulaire de test et voilà l’écran sur lequel je suis tombé qui parle de lui même :

Non ça ne vous parle pas ? Bah c’est une injection SQL sur système Microsoft en espagnol avec affichage des erreurs (le tout hébergé dans un datacenter à Barcelone, on repassera pour le « achetez-français » ^^)… Pour les moins techniques d’entre vous cela signifie qu’au moins les tickets de support, si ce n’est l’ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n’importe quelle personne ayant des compétences dans le domaine… La faille a été signalée, esperons qu’elle soit corrigée avant les législatives…

Alors que faire ? Et bien peut-être sortir des chemins battus, s’entourer de gens compétents lorsque l’on travaille sur des projets comme ceux-ci et envisager l’in-envisageable : pourquoi pas envisager le vote en P2P ?

15 réflexions sur « Le vote électronique n’est pas prêt, il est même vulnérable ! »

  1. Chicxulub

    J’aime bien votre dernière phrase, surtout que vous savez parfaitement que pour le gouvernement etc, le P2P, c’est le maaaaaaaaaaaaal.

  2. OursALunette

    Une « belle menace » ou un net progrès : maintenant tous les citoyens peuvent faire des fraudes aux élections :p

    Plus sérieusement, c’est l’illustration de la politique sur l’utilisation de l’informatique de ces dernières années : j’utilise et je veux utiliser absolument un outil que je ne comprends pas et que je ne veux pas comprendre.

    On dépense des sommes colossales pour « la protection des droits sur internet » sans se soucier des conséquences, mais pour la surveillance de millions de nos votes…ben on prend un commis et ça suffit amplement !

    On marche sur la tête…

  3. Vincent Cantin

    Meme avec un correctif de la faille, rien ne prouve que le systeme sera sur et sans bug. Aussi, rien ne permettra de compter les voix. En d’autres mots, c’est l’ordinateur et/ou son proprietaire/fabricant/gerant/etc.. qui decide de l’issue du vote, et non les votants.

  4. TiPi Com and Web

    Bonjour Paul, c’est Thibaut.

    Cela fait un petit moment que je n’étais pas passé de voir et te lire mais tu n’as rien perdu de tes habitudes, à ce qu’il me semble 😉

    Pour ce qui est de ces failles, je pense en tout état de cause que :
    1 – les prestataires utilisés par les pontes de notre petite nation sont dans le genre Marie, à compléter avec la suite du proverbe si bien connu ;
    2 – ils se fichent pas mal de la sécurité du moment qu’on a quelque chose qui est politiquement présentable ;
    3 – au final, on voit que la politique donne le la pour tout. Deux personnalités politiques sur Twitter et c’est le nouvel ElDorado de la communication – même nos parents veulent y être sans savoir pourquoi. Quand ils seront sur Pinterest à piner, non pas leurs homologues mais bien leurs différentes actions, tout le monde – parents encore y compris – voudront à nouveau faire pareil. Maintenant, on arrive à du vote électronique. Est-ce qu’au moins, un jour, l’Élysée pourra simplement attaquer quelque chose et aller au fond des choses ?
    C’est bien de papillonner partout en donnant l’impression de tout gérer et de tout connaître mais, au final, on ne trompe que les néophytes tout en démontrant une nouvelle fois aux habitués que la politique sur le web n’est que du vent.

  5. Ungus

    Bonsoir,

    et merci pour toutes ces informations qui m’amène à la question suivante, puis-je et pouvons-nous nous contenter de votre conclusion à quelques jours des législatives 2012.

    Je réponds sans hésitation, non.
    Alors que faire ?

    Cordialement

  6. Altos

    Une défiance justifiée et étayée :
    Le débat sur le vote électronique tourne souvent à l’échange de convictions, difficiles à étayer car il faut bien reconnaitre que, secret industriel oblige, rien n’est transparent (audits, programmes etc…). Les voix officielles nous diront que tout s’est bien passé, comme d’habitude.
    Je voudrais faire un parallèle avec une autre élection par Internet, qui s’est déroulée à Paris dans le cadre des dernières élections prud’homales. Le ministère et les prestataires annonçaient que tout s’était bien passé, ceux qui douteraient ne seraient que des paranos hostiles à tout progrès technologique.
    Et pourtant, qui a su que les choses se sont tellement mal passées que la CNIL a sanctionné le ministère du travail ? Pas grand monde, la presse ne s’en est pas fait écho pour une bonne raison …. la CNIL a décidé de ne pas rendre publique sa délibération qui intéressait pourtant l’ensemble des citoyens.
    Vous pourrez lire cette délibération à l’adresse suivante, chacun se fera son opinion, en particulier sur la nature des dysfonctionnements. Pour ma part cela ne peut que renforcer mon souhait d’élections transparentes et vérifiables par chaque citoyen, c’est à dire le vote papier, appuyé sur un fait objectif :
    http://www.ordinateurs-de-vote.org/Prud-homales-une-liste-accablante.html

  7. Ping : Non au vote électronique ou au vote par internet | à l'abordage des législatives avec Dimitri Breiner

  8. Ping : Menaces de fraudes massives aux législatives « MediaBeNews

  9. dnr

    Gros fail démocratique.

    Et je crains que personne n’en s’en souciera, parce que « c’est trop technique ces histoires » et que « mais non, vous êtes parano, faut pas exagérer ».

    Ne nous décourageons pas cependant.

  10. Ping : Vote électronique nique nique | SCTeam

Les commentaires sont fermés.