L’applet de vote par Internet aurait été modifié pendant la procédure

Hier un commentaire sur ce blog m’a glacé le sang : Oumph (Benoit Sibaud, excusez du peu) a en effet eu le bon réflexe de calculer la checksum de l’applet à plusieurs moments du vote et en a relevé un autre sur Twitter. Le résultat est inattendu…

La checksum, somme de contrôle, est calculé à partir d’un fichier et permet de générer une chaine unique en fonction de la composition dudit fichier. Ce qui permet par exemple de vérifier si un fichier téléchargé (une distribution Linux par exemple) est bien arrivé intègre. Si la checksum fournie sur le site de l’éditeur est bien la même que celle générée par l’utilisateur sur le fichier téléchargé, celui-ci est bien identique (bit à bit) et le transfert en l’a pas alteré.

Ici la question était de savoir si le fichier utilisé pour organiser le vote était bien le même tout du long… La réponse semble être non !

Ce qui veut simplement dire que le fichier aurait été modifié pendant la procédure de vote, soit intentionnellement par l’éditeur Scytl, soit par le ministère des affaires étrangères ou, et c’est là que cela deviendrait très inquiétant, par un acteur étranger qui a pu y injecter par exemple le code de son choix…

Le commentaire soulève aussi des problèmes de certificat déjà relevés par Hardkor

EDIT 13h30 : Si vous avez une version en cache de votre navigateur de l’applet merci de comparer le sha256 à ceux fournis ici et si vous en avez un différent de me contacter ou de contacter Oumph pour que l’on puisse essayer de comprendre ce qui a changé dans les différentes versions.

Les sha256 relevés pour le moment sont :

  • 26f313d6cdf87e33ee553d1ce9e78b4cb3371ac34ee7682a38d112c748fc9286 : site de test, certificat erroné
  • 6599ec2e599fc0016baabfb9abd378893abc111cbe6928e7b943546fde048c43 : version de prod
  • d8c4b7f64c2726ca5db146772ea85ce575e0392aa43f72b822ccb3388abc6ed3 : l’intruse

Par ailleurs, les recherches de Oumph sont centralisées ici sur son site perso.

5 réflexions sur « L’applet de vote par Internet aurait été modifié pendant la procédure »

  1. Oumph

    Pour le moment, ça montre surtout que quelqu’un dit sur Twitter avoir eu une autre version entre les mains. J’attends d’avoir une copie de la version en question avant d’affirmer des choses comme « l’applet a été modifiée pendant le scrutin » (sans conditionnel).

    En tout cas j’invite ceux qui auraient gardé des copies de l’applet dans leur cache navigateur à vérifier les sommes de contrôle SHA256.

Les commentaires sont fermés.