Gravatar couramment utilisé Blog perso de Paul Da Silva

Le vote électronique n’est pas prêt, il est même vulnérable !

Posted on | mai 10, 2012 | 15 Comments

Régulièrement je demande à ce que l’outil numérique prenne une place plus importante dans le paysage politique. Et pourtant je milite contre le vote électronique, que ce soit dans les bureaux de vote ou à la maison comme vient de le proposer notre cher ministère des affaires étrangères. Il y a une raison à cette apparente schizophrénie : le réseau actuel n’est pas conçu pour cela et n’autoriserai que des dérives.

Hier j’ai lu que le vote par Internet allait devenir une réalité pour 2012, aux législatives et pour les Français de l’étranger. Et j’ai aussi lu quelque chose de très inquiétant : cette procédure ne sera encadrée que par une seule et unique personne.

Vous commencez à me connaitre, quand un nouveau site aussi important est lancé, je fais un petit tour dessus, surtout s’il est en .gouv.fr. Et là en particulier je tombe sur une vérification de la configuration. Il faut que je rétablisse les configurations diverses et variées de mon navigateur qui interdit le javascript, bloque un certain nombre d’informations et tente quelques petites manipulations sur les entêtes HTTP tout seul mais même après cela le site ne détecte pas mon applet Java (qui lui pour le coup est activé et fonctionnel, même si je ne m’en sers jamais).

On me propose un lien pour contacter une assistance… C’est vexant, mais certes. Et là un formulaire… Miam !

Mon navigateur, par habitude me propose bien vite la valeur « >d pour le premier champ, je tente, en re-désactivant javascript qui me gêne en vérifiant  tous les champs et en me disant de les remplir tous… Et là :

Non seulement le formulaire a été soumis alors que je n’ai rempli que le prénom (numéro de ticket support à la clef) – ce qui veut dire que l’ensemble des contrôles de sécurité de ce formulaire au moins sont effectués en javascript, côté client et donc désactivables – mais en plus de cela j’ai le droit à une information bonus en tête de ma page qui me semble fortement être une jolie injection dans les entêtes du mail… Dans un premier temps j’ai cru qu’il s’agissait du destinataire, mais après un second test ce sont mes informations qui sont apparues, celles de l’envoi précédent (2054-da Silva Paul–)… Mais alors là franchement, je ne vois même pas comment ça peut se retrouver là ! Une chose est sure : le « – – » à la fin ne me rassure pas, ce sont les commentaires en SQL, très utilisés pour les injections…

J’ai renvoyé le formulaire deux fois, javascript activé cette fois-ci et ai obtenu des résultats aléatoires… Alors j’ai essayé autre chose, toujours depuis ce formulaire de test et voilà l’écran sur lequel je suis tombé qui parle de lui même :

Non ça ne vous parle pas ? Bah c’est une injection SQL sur système Microsoft en espagnol avec affichage des erreurs (le tout hébergé dans un datacenter à Barcelone, on repassera pour le « achetez-français » ^^)… Pour les moins techniques d’entre vous cela signifie qu’au moins les tickets de support, si ce n’est l’ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n’importe quelle personne ayant des compétences dans le domaine… La faille a été signalée, esperons qu’elle soit corrigée avant les législatives…

Alors que faire ? Et bien peut-être sortir des chemins battus, s’entourer de gens compétents lorsque l’on travaille sur des projets comme ceux-ci et envisager l’in-envisageable : pourquoi pas envisager le vote en P2P ?

Commentaires

15 Responses to “Le vote électronique n’est pas prêt, il est même vulnérable !”

  1. Chicxulub
    mai 10th, 2012 @ 10 h 09 min

    J’aime bien votre dernière phrase, surtout que vous savez parfaitement que pour le gouvernement etc, le P2P, c’est le maaaaaaaaaaaaal.

  2. SwissTengu
    mai 10th, 2012 @ 10 h 12 min

    Ah bin… me rappelle un peu une des solutions suisse, qui est tellement bien codée qu’elle permet de voter 2 (oui, DEUX) fois…

    En voilà une belle menace pour la démocratie toute entière, hein…

  3. OursALunette
    mai 10th, 2012 @ 19 h 37 min

    Une « belle menace » ou un net progrès : maintenant tous les citoyens peuvent faire des fraudes aux élections :p

    Plus sérieusement, c’est l’illustration de la politique sur l’utilisation de l’informatique de ces dernières années : j’utilise et je veux utiliser absolument un outil que je ne comprends pas et que je ne veux pas comprendre.

    On dépense des sommes colossales pour « la protection des droits sur internet » sans se soucier des conséquences, mais pour la surveillance de millions de nos votes…ben on prend un commis et ça suffit amplement !

    On marche sur la tête…

  4. Vincent Cantin
    mai 10th, 2012 @ 19 h 47 min

    Meme avec un correctif de la faille, rien ne prouve que le systeme sera sur et sans bug. Aussi, rien ne permettra de compter les voix. En d’autres mots, c’est l’ordinateur et/ou son proprietaire/fabricant/gerant/etc.. qui decide de l’issue du vote, et non les votants.

  5. TiPi Com and Web
    mai 10th, 2012 @ 20 h 37 min

    Bonjour Paul, c’est Thibaut.

    Cela fait un petit moment que je n’étais pas passé de voir et te lire mais tu n’as rien perdu de tes habitudes, à ce qu’il me semble ;)

    Pour ce qui est de ces failles, je pense en tout état de cause que :
    1 – les prestataires utilisés par les pontes de notre petite nation sont dans le genre Marie, à compléter avec la suite du proverbe si bien connu ;
    2 – ils se fichent pas mal de la sécurité du moment qu’on a quelque chose qui est politiquement présentable ;
    3 – au final, on voit que la politique donne le la pour tout. Deux personnalités politiques sur Twitter et c’est le nouvel ElDorado de la communication – même nos parents veulent y être sans savoir pourquoi. Quand ils seront sur Pinterest à piner, non pas leurs homologues mais bien leurs différentes actions, tout le monde – parents encore y compris – voudront à nouveau faire pareil. Maintenant, on arrive à du vote électronique. Est-ce qu’au moins, un jour, l’Élysée pourra simplement attaquer quelque chose et aller au fond des choses ?
    C’est bien de papillonner partout en donnant l’impression de tout gérer et de tout connaître mais, au final, on ne trompe que les néophytes tout en démontrant une nouvelle fois aux habitués que la politique sur le web n’est que du vent.

  6. Ungus
    mai 11th, 2012 @ 21 h 30 min

    Bonsoir,

    et merci pour toutes ces informations qui m’amène à la question suivante, puis-je et pouvons-nous nous contenter de votre conclusion à quelques jours des législatives 2012.

    Je réponds sans hésitation, non.
    Alors que faire ?

    Cordialement

  7. HardKor
    mai 12th, 2012 @ 0 h 54 min

    Good game =D

    J’invite ceux qui veulent en savoir plus sur le procédé à lire l’analyse qui est à la base de la publication de numerama sur le sujet :
    http://hardkor.info/le-vote-par-internet-en-france-risques-de-fraudes/

    Gracias amigo, on va pouvoir faire du sensassionnel grace à ta publication :)

  8. HardKor
    mai 12th, 2012 @ 0 h 58 min

    Sinon, tu veux qu’on parle des mots de passe envoyés par SMS ? ^^

  9. Matif
    mai 12th, 2012 @ 1 h 13 min
  10. Altos
    mai 12th, 2012 @ 11 h 46 min

    Une défiance justifiée et étayée :
    Le débat sur le vote électronique tourne souvent à l’échange de convictions, difficiles à étayer car il faut bien reconnaitre que, secret industriel oblige, rien n’est transparent (audits, programmes etc…). Les voix officielles nous diront que tout s’est bien passé, comme d’habitude.
    Je voudrais faire un parallèle avec une autre élection par Internet, qui s’est déroulée à Paris dans le cadre des dernières élections prud’homales. Le ministère et les prestataires annonçaient que tout s’était bien passé, ceux qui douteraient ne seraient que des paranos hostiles à tout progrès technologique.
    Et pourtant, qui a su que les choses se sont tellement mal passées que la CNIL a sanctionné le ministère du travail ? Pas grand monde, la presse ne s’en est pas fait écho pour une bonne raison …. la CNIL a décidé de ne pas rendre publique sa délibération qui intéressait pourtant l’ensemble des citoyens.
    Vous pourrez lire cette délibération à l’adresse suivante, chacun se fera son opinion, en particulier sur la nature des dysfonctionnements. Pour ma part cela ne peut que renforcer mon souhait d’élections transparentes et vérifiables par chaque citoyen, c’est à dire le vote papier, appuyé sur un fait objectif :
    http://www.ordinateurs-de-vote.org/Prud-homales-une-liste-accablante.html

  11. Non au vote électronique ou au vote par internet | à l'abordage des législatives avec Dimitri Breiner
    mai 14th, 2012 @ 21 h 09 min

    […] Par exemple pour les prochaines élections législatives les français de l’étranger pour voter par internet … et bien c’est une tragédie. Paul Da Silva l’a démontré sur son blog, le système est complètement faillible (plus d’infos sur son blog). […]

  12. Menaces de fraudes massives aux législatives « MediaBeNews
    mai 15th, 2012 @ 8 h 22 min

    […] au système. Il y a quelques jours, un web-entrepreneur et blogueur, Paul Da Silva, a identifié une faille et réussi à s’introduire dans le système, par « injection SQL » : « Au moins les […]

  13. dnr
    mai 27th, 2012 @ 17 h 12 min

    Gros fail démocratique.

    Et je crains que personne n’en s’en souciera, parce que « c’est trop technique ces histoires » et que « mais non, vous êtes parano, faut pas exagérer ».

    Ne nous décourageons pas cependant.

  14. Comment mon ordinateur a vote a ma place...
    mai 28th, 2012 @ 11 h 29 min

    Un petit article sur une attaque par injection de code au niveau du code client java:

    http://www.scribd.com/doc/94990325

    La vidéo explicative:
    https://vimeo.com/42935480

    Bonne lecture…

  15. Vote électronique nique nique | SCTeam
    mai 28th, 2012 @ 16 h 24 min

    […] 10 mai dernier, Paul Da Silva nous faisais partager la vulnérabilité du vote électronique via une faille […]

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo Paul da Silva Bitcoin
1AyR34kffA5tMGBKgHDsmhSQUFVvMmx38C

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Sentimancho

Relationship Closeness Inventory

Promo code Genesis Mining