Qui contrôle le vote électronique ?
Contents
1. de ce logiciel au moyen de la v rification des checksums De quoi s agit il La machine voter sait calculer un nombre appel checksum en fran ais somme de contr le partir de tous les 0 et 1 qui constituent son logiciel int gr Si le moindre de ces 0 ou 1 est modifi ce checksum va changer de valeur En pratique deux checksums sont calcul s chacun concernant la moiti de la m moire Leur valeur est indiqu e dans le manuel d utilisation de la machine Le matin de l lection les assesseurs doivent donc demander la machine d imprimer ces checksums et v rifier qu ils soient identiques ce qu indique le manuel Cette proc dure est recommand e et consid r e comme efficace par le rapport du PTB Physikalisch Technische Bundesanstalt organisme ind pendant en charge de certifier le logiciel int gr A l exigence Dans le cas d une machine microprocesseur toute alt ration du logiciel int gr par une personne non autoris e sera d tect e PTB r pond que l exigence est satisfaite et se justifie ainsi Les num ros de version des programmes et les checksums du logiciel int gr pour la carte principale de contr le la 54 Selon la CNIL le recours des techniques informatiques sophistiqu es ne doit pas conduire faire chapper les syst mes de vote au contr le d mocratique des membres du bureau de vote des scrutateurs et des lecteurs au profit de techniciens informatiques Malheureusement2. 4 Nous nous sentons oblig s de le pr ciser r guli rement sous peine d tre trait s de pass istes comme l a fait le maire de Brest Franchement je crois que contester la fiabilit de ces machines c est aussi contester la fin du 19 me si cle que le train pouvait tre un outil performant et qu il rendait malade ceux qui rentraient l int rieur Pass iste est finalement un qualificatif plut t banal un jour au parlement irlandais le ministre responsable de l introduction des machines voter a trait d altermondialistes les membres de l Irish Computer Society association professionnelle d informaticiens 5 La Belgique a d marr les exp riences de vote lectronique en 1991 et cela concerne actuellement 44 des lecteurs proportion stagnant depuis 1999 Plusieurs incidents techniques notamment Anvers et Schaerbeek rest sans autre explication que les rayons cosmiques Une association citoyenne combat ce syst me depuis 1992 Pour une thique du vote automatis www poureva be et trois des quatre partis francophones se sont maintenant prononc s contre Un projet de loi imagine d abandonner le vote lectronique et de s en tenir l automatisation du d pouillement Nyssens 3 120 Le co t est triple 6 L Irlande devait voter lectroniquement d s 2004 avec des machines Nedap Suite une contestation citoyenne croissante que l opposition politique n a relay e que tout la fin il a t form une c
3. La DCSSI est une des cinq directions du SGDN Secr tariat G n ral de la D fense Nationale qui d pend du Premier Ministre Elle est en charge des questions de s curit informatique Pr sentation 34 Une premi re fois il y a plusieurs ann es ainsi qu l automne 2005 Le vote par internet a galement t tudi r cemment 35 D lib ration n 03 036 du ler juillet 2003 Voir galement le rapport 2003 page 92 et suivantes 36 Fran ais de l Etranger CSFE 2003 03 019 CCI 04 073 Barreaux de Paris 2005 272 Lyon et Nanterre 37 Ce ne sera plus le cas avec les machines voter en r seau du type e Poll Elles int grent en un seul dispositif l identification de l lecteur l enregistrement de son vote et de son margement 38 Mais faute de transparence l lecteur ne peut intuitivement exclure que la machine enregistre l ordre de passage des votants ou encore que le boitier de contr le des machines Nedap France lection dans les mains du pr sident du bureau affiche le vote que l lecteur est en train de composer Cela am ne galement r fl chir aux usages d tourn s de cam ras miniaturis es interdites en Italie qui seraient moins facilement d tect es dans l environnement d j technologique d un bureau de vote informatis un c ble de plus pourrait passer inaper u rapport CEV app 2B page143 39 CNIL rapport d activit 2004 paru d but 2005 page 70 40 Une premi re fois Paris le 27 janvie
4. au prestataire de services en pratique c est la soci t importatrice des machines e L Etat i Le Minist re de l Int rieur est l origine du cadre de fonctionnement de ces machines et partage avec les mairies l organisation pratique des lections Pour chaque mod le de machine il d livre un agr ment en se basant enti rement sur le rapport rendu par l organisme d inspection Bureau Veritas ou Ceten Apave Son r le est donc mineur ii La DCSSI habituellement en charge des questions de s curit informatique s est pench e deux reprises sur les machines voter mais sans rendre de rapport public iii La CNIL Commission nationale de l informatique et des libert s a fix un cadre th orique pour le vote lectronique en 2003 et s est ensuite prononc e plusieurs reprises sur les lections par Internet mais jamais sp cifiquement sur les machines voter La logique de sa mission semble de se concentrer avant tout sur les menaces envers la libert et la vie priv e c est dire le respect du secret du vote Avec les machines voter actuelles l identification et l margement de l lecteur se fait selon les proc dures traditionnelles le secret du vote para t naturellement pr serv par la s paration physique du vote et l identification Dans son rapport d activit 2004 la CNIL recommande une valuation globale des dispositifs de vote lectronique recommandation qui n a pas
5. la transition avec le paragraphe suivant est schizophr nique Rapport 2003 page 94 55 Aucun des syst mes de vote connus de la CNIL ne pr voient de produire des l ments de preuve en cas de contentieux lectoral Ces l ments de preuve s entendent sur le fonctionnement du syst me de vote lui m me lors du d roulement du scrutin de mani re d montrer de fa on convaincante qu il n a pas donn lieu un fonctionnement anormal que celui ci soit involontaire ou d lib r Rapport CNIL 2003 page 93 56 Cf note n 12 57 Cf note n 33 58 Type testing of a voting machine for elections referenda in Ireland page 7 exigence 4 carte de connexion communication et les cinq cartes d affichage peuvent tre affich s et imprim s par la machine voter Cela permet au personnel lectoral de comparer ces num ros de version des programmes et ces checksums avec les valeurs indiqu es par le fabricant dans la documentation manuel d utilisateur ou par exemple inscrits sur un certificat agr Qu est ce qui ne va pas C est d j se tromper de technologie Un checksum a pour vocation de d tecter des modifications accidentelles par exemple si l un des 0 ou 1 s est modifi cause d une d faillance physique de la puce lectronique qui le stocke Par contre cela ne prot ge pas des modifications intentionnelles cet effet on utilisera la technique du hash cryptographique Soyons charitables et
6. t suivie d effet ce jour t8 iv La justice elle a t saisie par un candidat l lection au Barreau de Paris concernant un vote par internet et l a d bout au motif qu il se contentait d num rer des risques Elle n a jamais eu se prononcer sur une lection politique effectu e sur des machines voter e L organisme d inspection Bureau Veritas ou Ceten Apave Il examine une machine un moment donn l agr ment est accord sur un mod le de machine et non pas pour chaque exemplaire fabriqu de cette machine Il n acc de parfois pas au code source de son logiciel la CNIL le recommande mais le R glement technique ne l impose pas Il n est pas clair si ce logiciel peut voluer par la suite sans n cessiter une nouvelle proc dure d agr ment On ne demande pas cet organisme d valuer globalement la s curit mais seulement de v rifier la conformit un cahier des charges qui a ses limites Ce dernier r pond avant tout aux besoins des municipalit s fiabilit de l lectronique long vit et facilit d utilisation En r sum on pose ces organismes une question tr s pr cise comme cette question le R glement technique est mal pos e la r ponse le rapport rendu de la machine mais elles sont amovibles Les machines Indra nous semblent n en respecter ni l esprit ni la lettre un disque dur permet par principe de changer facilement son contenu 33
7. une commission ind pendante pour enqu ter sur le vote lectronique La d mocratie lectronique est porteuse de nombreuses promesses Pourtant il faut prendre conscience qu une de ses composantes le vote lectronique soul ve des probl mes tr s sp cifiques S agirait il d un ww recul democratique org Machines Nedap France lection la v rification de checksums est une duperie L explication qui suit est un peu technique Il est tout fait naturel que vous ne la compreniez pas Nous vous invitons alors la soumettre quelqu un de votre entourage ayant quelques bases en informatique Que vous ne compreniez pas est n anmoins significatif Si vous tiez assesseur vous auriez l illusion d effectuer un contr le de la machine mais la pr sence de technologie vous emp cherait d exercer votre sens critique et de comprendre que ce contr le est inop rant Lors de la proc dure d agr ment une seule machine ou tout au plus quelques unes sont examin es par l organisme d inspection L agr ment est accord sur un mod le de machine et non pas pour chaque exemplaire fabriqu de cette machine Il est donc crucial de garantir que toutes les machines pr sentes dans les bureaux de vote soient identiques celle examin e Un point essentiel est le logiciel int gr car l essentiel de l intelligence de la machine voter y r side France lection importateur des machines Nedap pr tend contr ler l authenticit
8. volant et les roues Imaginez maintenant que l on remplace cette liaison par un syst me informatique le volant devient alors semblable une manette de jeu dont les capteurs sont connect s l entr e d un ordinateur et la sortie de ce dernier commande des moteurs lectriques agissant sur l orientation des roues Sur autoroute on peut imaginer un genre de pilote automatique l ordinateur ignore les signaux venant du volant et dirige la voiture en fonction d autres informations cartographie de l autoroute et position des autres v hicules Le logiciel contenu dans cet ordinateur a toute libert d orienter les roues sa guise En quittant l autoroute on d branchera ce pilote automatique Le terme d brancher est trompeur on ne coupe pas un tel syst me comme on teint une lampe sinon les roues deviendraient inertes On se contente de basculer vers une autre partie du logiciel dans laquelle il est cens transcrire fid lement les mouvements du conducteur Une conception malveillante pourrait tout aussi bien envoyer la voiture dans le d cor chaque premier janvier entre minuit et quatre heures du matin Voire se comporter ainsi seulement une fois sur dix D finir un comportement conditionn par une date pr cise est l enfance de l art pour un programmeur informatique Pour cette raison simuler quelques votes peu avant l lection ou le matin m me n apporte aucune garantie Donc qui contr le le vote lectronique I
9. Qui contr le le vote lectronique le d clin silencieux du contr le citoyen Ce texte est la version longue d une intervention faite au colloque Le vote lectronique aujourd hui de la machine voter au vote par internet organis par l Association des Maires de Grandes Villes de France le 6 avril 2006 L intervention tant dans une table ronde sur les machines voter actuelles ce texte ne traite pas des machines voter en r seau ni du vote par internef Souligner des expressions n indique pas leur importance mais qu elles renvoient vers des pages internet la version lectronique de ce document vous permet d acc der ces pages par simple clic Ce texte est susceptible d voluer pour r pondre des demandes d claircissement ou des informations nouvelles Plut t que de le photocopier imprimez sa version la plus r cente depuis le site Internet l adresse www recul democratique org article php3 id_article 135 Ce que vous avez devant les yeux date du 6 avril 2006 Qui sommes nous Pour la plupart d entre nous des citoyens r unis par notre inqui tude face l arriv e des machines voter dans nos villes respectives sans le moindre d bat comme si il s agissait de renouveler le parc de micro ordinateurs Je suis pour ma part informaticien comme environ la moiti d entre nous ce texte est donc le double point de vue d un citoyen et d un informaticien Notre premi re r action a t d inter
10. algorithmes sont publics seule la clef tant secr te Dans le cas du vote lectronique voir le rapport CEV app 2B page145 Appendix B La confiance envers les hommes politiques ou leur possibilit d action est d j entam e Il serait dangereux d y ajouter une m fiance vis vis de l honn tet des lections Voici maintenant quelques questions pr cises Comment rendre au citoyen le contr le de l lection comme le commandent les principes de la d mocratie repr sentative Quel m canisme garantit le contenu des machines voter notamment l authenticit de leur logiciel Nous n en voyons aucun de s rieux et nous estimons ce probl me insoluble Si une lection est contest e qui appara tra responsable de l incertitude cr e par le vote lectronique A qui sera reproch e une insuffisance de contr le Quelle est l explication du marketing invraisemblable pratiqu par France lection Nedap qui cherche faire croire que ses machines ne sont pas des ordinateurs Aucun informaticien ne peut prendre au s rieux de telles affirmations Pourquoi une telle opacit entoure le vote lectronique allant m me jusqu aux rapports d agr ment La CNIL a recommand une valuation globale des dispositifs de vote lectronique quand sera t elle r alis e Ne devrait on pas galement prendre l avis de la DCSSI Voire aller plus loin et suivre l exemple de l Irlande en cr ant
11. de s curit par l obscurit en serait renforc e II faut toutefois garder l esprit qu obtenir la transparence sans garantir le contr le est quasiment inutile Le code source d un logiciel a beau tre publi sur Internet si vous ne pouvez garantir que ce m me logiciel est pr sent dans toutes les machines le jour de l lection vous n avez gu re progress Notre syst me politique est la d mocratie repr sentative La plupart d entre nous ne participent pas aux d cisions politiques N anmoins d tenteurs de la souverainet populaire nous d l guons temporairement notre pouvoir nos maires nos d put s notre pr sident pour cinq ou six ann es Nous ne d tenons r ellement le pouvoir que le jour des lections Durant ce jour pr cis pourquoi nous demande t on une confiance aveugle en un syst me informatique dont l int grit est vaguement contr l e par une poign e de techniciens mal identifi s 45 Notre interlocuteur chez l un des organismes concern s nous a confi qu il aurait appr ci que son entreprise ait pu jouer un r le dans la r daction du r glement technique Chez un autre organisme il esp rait que le r glement technique soit am lior d ici les lections de 2007 46 France lection importe Nedap des Pays Bas Datamatique importe ES amp S des tats Unis Berger Levrault importe Indra d Espagne 47 Ou alors des traces sans valeur judiciaire ou plus simplement un r s
12. der Soyons clairs nous n avons pas cr le probl me nous avons d j bien du mal alerter son sujet alors nous ne nous sentons pas tenus d apporter une solution La charge de la preuve ne devrait pas nous incomber Aux promoteurs du vote lectronique de d montrer son innocuit Le principe de pr caution doit s appliquer galement dans ce domaine Toutefois quelques pistes existent Concernant le manque de contr le la solution g n ralement pr conis e par les universitaires et les sp cialistes en s curit informatique est l impression d un bulletin v rifi par l lecteur VVAT La machine une fois le vote compos imprime un bulletin reprenant les choix effectu s Ce bulletin est montr l lecteur derri re une vitre Il le compare avec l cran et le valide Le bulletin est ensuite conserv dans la machine Le soir de l lection une proportion statistiquement significative des bulletins est d pouill e Les suffrages sont ainsi v rifiables au moyen d un circuit ind pendant de l informatique bulletins papier conserv s dans une urne et d pouillement manuel Concernant le manque de transparence la solution r side dans des syst mes de conception totalement ouverte tant au niveau mat riel que logiciel Comme les clients des syst mes de vote sont des collectivit s publiques le mod le du Logiciel Libre est ici particuli rement pertinent La s curit actuellement bas e sur le concept douteux
13. diff renciant des autres syst mes informatiques l impossibilit de garantir leur bon fonctionnement La cause est le secret du vote Des comparaisons infond es sont souvent faites avec les proc dures bancaires Vous pouvez contr ler l exactitude d une transaction bancaire a posteriori par exemple en v rifiant vos relev s de compte imprim s sur du papier bien tangible Toutes les informations n cessaires l int grit des donn es peuvent tre m moris es il n y a pas de secret entre vous et votre banque Si votre r servation a rienne se perd dans l ther informatique on ne vous laissera pas monter dans l avion et vous pourrez protester preuve de d bit bancaire l appui Tous les syst mes informatiques ont des cons quences v rifiables dans le monde r el Presque tous Si la machine avale votre vote qui s en apercevra que les machines voter sont des ordinateurs m me si le marketing d un fabricant cherche faire croire le contraire peut tre pour viter des comparaisons d sagr ables avec nos micro ordinateurs capricieux C est totalement fallacieux et comme tous les ordinateurs les machines voter contiennent un logiciel qui va d terminer l essentiel de son comportement Conna tre le comportement de ce logiciel int gr est donc crucial e que la s curit informatique ne se r sume pas viter de connecter ces machines Internet Que la s curit informatique c est compliqu c
14. drait il conna tre dans quelles conditions cette machine a t autoris e C est impossible lui communiquer le rapport de l organisme d inspection violerait le secret industriel et commercial et pourrait compromettre le bon d roulement des lections Ce dernier point est totalement surr aliste l int grit de nos lections d pend elle maintenant de la qualit de la serrure du placard dans lequel ces rapports sont enferm s Les assesseurs Ils n ont pas plus de comp tences en informatique Ils certifient l honn tet des lections en signant le P V des r sultats mais peuvent ils garantir autre chose que d avoir respect des proc dures techniques num r es dans un mode d emploi Par exemple la place d une urne transparente dont ils v rifieraient la vacuit de leurs propres yeux un ordinateur imprime un ticket affirmant que sa m moire est vide Que peuvent ils r ellement en savoir Ils surveillent physiquement la machine tout au long de la journ e de l lection vitant ainsi que son logiciel soit modifi mais n ont aucune garantie qu il soit authentique le matin de l lection Comment le pourraient ils sinon en d butant leur journ e par le d sossage de la machine par un expert en s curit informatique Ce qui serait de toute fa on transmettre leur r le de contr le un tiers Pire une v rification de checksum dont le nom m me est obscur leur donne l illusion d av
15. ginez des milliers de voiture se croisant dans le ciel sans m me la ressource de simplement s arr ter sur le bord de la route en cas de probl me 18 Principe d un certificateur ind pendant se pronon ant sur un r f rentiel d fini par l tat Machines prot g es par le secret industriel 19 L iVotronic est fabriqu e par ES amp S l un des deux principaux fabricants am ricains Nedap essaye de s implanter sur le march am ricain notamment dans l tat de New York 20 Les machines Nedap sont vendues environ 6000 TTC pi ce 21 Cette infinie flexibilit s accompagne de la possibilit d agir l avance sans devoir tre pr sent quand le comportement programm se produit 22 Il y a toutefois une utilit Avant l lection le personnel municipal doit programmer la machine notamment indiquer les noms des candidats et quel bouton de la machine ils correspondent Programmer s entend ici dans le sens de programmer un magn toscope et non pas dans le sens d crire un logiciel Le matin de l lection les assesseurs doivent s assurer par eux m mes puisqu ils s engagent par leur signature sur le ticket d ouverture du scrutin qu il n y ait pas d erreur dans la programmation deux candidats invers s par exemple m canisme soit compr hensible M me si cet lecteur tait mformaticien il ne pourrait en savoir plus le code source du logiciel int gr la machine voter tant gard secret par son fabricant Vou
16. ine c est tr s facile quel lecteur osera avouer qu il n est pas l aise e qu il faut se faire l id e que certaines technologies puissent se r v ler inapplicables De vieux romans de science fiction nous imaginaient tous nous d placer dans des voitures volantes Pourquoi cela ne s est il jamais r alis Ce n est pas un probl me technique Ce serait tout simplement tr s dangereux e que r p ter m caniquement notre situation est diff rente de celle des Etats Unis lude la question de savoir si nous suivons la m me direction Tout le monde connait le dicton la France fait la m me chose que les Etats Unis avec dix ans de retard Tant notre organisation que nos machines ne sont gu re diff rentes e que la simplification de l organisation mat rielle des lections qu apportent ces machines est bien r elle mais qu elle ne p se pas lourd face toutes ces questions Il ne s agit apr s tout que d informatiser un processus rare rien de comparable l automatisation du tri du courrier qui concerne des millions de lettres chaque jour On sort une co teuse machine de son placard environ une fois par an Les machines voter sont donc des ordinateurs Nous ne sommes pas tous conscients de l infinie flexibilit de comportement d un ordinateur Quand nous tournons droite le volant d une voiture nous savons qu elle se dirigera vers la droite Il en est ainsi parce qu il y a une liaison m canique entre le
17. ine d marre sans rien dire sinon elle s arr te en affichant un message d erreur Tous les PC du monde v rifient ainsi leur m moire lorsqu on les allume sans pour autant vous demander d aller consulter leur manuel d utilisation La machine Nedap utilise d ailleurs cet usage un troisi me checksum interne La difficult de contr le de l authenticit du logiciel int gr est g n rale toutes les machines voter La machine concurrente Indraf ne fait pas mieux Elle ne tente m me pas de r aliser cette v rification du logiciel int gr On peut toutefois lui reconna tre le m rite de la franchise Le code source d finition L essentiel de l intelligence d un syst me informatique est dans son logiciel en anglais software Celui ci existe sous deux formes ele code source crit et lisible par des humains plus pr cis ment une peuplade appel e programmeurs ou d veloppeurs C est la description m thodique et dans les moindres d tails de tout ce que fait le logiciel Cette description est tap e comme vous taperiez une lettre mais au lieu du fran ais dans un langage informatique Il en existe des centaines les plus connus ont pour nom C C Pascal Basic Java Ces langages ont comme particularit de ne permettre aucune ambigu t contrairement aux langages naturels o un mot peut avoir plusieurs sens ele code binaire ou ex cutable form de 0 et de 1 donc uniqueme
18. l est beaucoup plus ais de r pondre la question Qui contr le le vote papier L lecteur peut v rifier l essentiel par lui m me et exercer son esprit critique car il comprend le fonctionnement des objets en jeu bulletin urne d pourvus de technologie Il doit seulement faire confiance ses concitoyens assesseurs pour ne pas ouvrir l urne avant le d pouillement lequel est une op ration publique et compr hensible par tous Le grand nombre de personnes impliqu es dans une lection en France entre 200 000 et 300 000 assesseurs plus les scrutateurs chacune faisant une petite part du contr le ne permet que des fraudes sporadiques et de port e limit e Mais qui contr le le vote lectronique __L lecteur Il n a pas de preuve tangible de l enregistrement de son vote un ordinateur peut afficher une chose sur son cran et en m moriser une autre Il n est pas non plus assur que son vote soit compt faute de d pouillement dont le 16 Une tude scientifique de la machine voter br silienne a montr qu elle constituait une barri re l expression de leur vote pour une importante proportion de gens g s handicap s ou non familiers des ordinateurs G Michel W Cybis M Pimenta J M Robert Electronic voting for all the experience of the Brazilian computerized voting system 17 Nous peinons d j r duire les accidents de la route dus pour l essentiel des erreurs humaines Ima
19. machine de conception la plus ancienne la Nedap contient le m me processeur 68000 que les Apple MacIntosh des ann es 80 Son logiciel int gr est constitu d environ 25 000 lignes crites en langage C Imprimer son code source n cessiterait donc environ 400 pages cf rapport du PTB Test report 2 Voting machine ESI2 du 17 9 2003 sur les Nedap destin es l Irlande page 7 Il faut se garder des apparences ce sont des ordinateurs avec un boitier et un cran inhabituels L ES amp S 1Votronic est de conception semblable mais plus moderne elle utilise un cran tactile L Indra est plus complexe car elle contient Windows XP 14 Encore faudrait il syst matiquement valuer les machines sous l angle de la s curit cela n est jamais pr vu lors de leur autorisation Des heureux hasards font que des tudes de s curit sont parfois conduites a posteriori en Irlande ou dans certains tats des USA Selon les mairies le co t est le principal frein l quipement On nous annonce maintenant des machines voter en r seau telle e Poll n cessitant donc une s curit accrue O sera plac le compromis entre co t et s curit 15 L accessibilit est la capacit tre utilisable par le maximum d lecteurs Ne pas confondre avec la facilit d utilisation ou l ergonomie homme machine Une enqu te de satisfaction ne saurait r pondre cette question A force de s entendre seriner que voter sur une mach
20. nt exploitable par l ordinateur Il est produit automatiquement partir du code source au moyen d une moulinette appel e compilateur Il va faire s animer l ordinateur au d part simple assemblage lectronique inerte en anglais hardware traduit par mat riel A l exception notable des Logiciels Libres vous n achetez qu un droit d utilisation de l ex cutable Le code source reste secret et propri t de son concepteur Sans lui vous ne pourrez qu observer le comportement apparent de l ex cutable Des fonctionnalit s cach es oeuf de P ques cheat codes backdoor ne se r v leront pas si on ne conna t pas l astuce pour les d clencher O recul democratique org ce texte est sous contrat Creative Commons 2 0 Paternit Pas d Utilisation Commerciale Partage des Conditions Initiales l Identique 59 Le programme int gr la machine voter pourrait tre modifi pour alt rer les votes Le programme a un checksum qui le prot ge contre des modifications accidentelles mais qui ne prot ge pas contre des manipulations d lib r es En V O The controlling program inside the voting machine could be modified to affect the vote The program has a checksum which protects it against accidental changes but does not protect against deliberate tampering Michael Scott Dublin City University rapport de la CEV app 2B page 139 60 Pour tre pr cis il
21. o teux et incompr hensible par l lecteur lambda Qu il faut viter de confondre fiabilit et s curit une machine qui ne tombe pas en panne ne garantit par pour autant un r sultat authentique 115 e que l accessibilit par tous les lecteurs n a pas t tudi e scientifiquement sous l angle de l interaction 9 L ACM Association for Computer Machinery association d informaticiens fond e en 1947 comptant 80 000 membres demande des machines voter con ues plus rigoureusement et avec impression d un bulletin v rifi par l lecteur D tails de cette r solution 10 Sign e par des universitaires am ricains sp cialistes du vote lectronique tels David Jefferson Douglas W Jones Rebecca Mercuri Avi Rubin Barbara Simons Dan Wallach ou des experts en s curit informatique tel Bruce Schneier Un autre appel est the free e democracy project dont le sens est tr s proche de la Resolution on Electronic Voting mais dont les signataires sont plut t europ ens 11 Lire galement L exigence de transparence Rapport CNIL 2003 page 93 12 La communication municipale nous semble influenc e par Nedap France lection Quelques exemples La technologie employ e fait appel des solutions m caniques Service lections de Brest Contrairement d autres syst mes de vote lectronique la machine voter ne contient pas d l ments informatiques Mairie de Suresnes 13 La
22. oir contr l quelque chose Tout en tant parfaitement inefficace puisque imprim par le logiciel m me qu il est suppos garantir Comment peuvent ils certifier que la machine compte les votes exprim s par les lecteurs puisqu ils ne peuvent surveiller les lectrons d une m moire informatique comme ils le faisaient du contenu d une urne ils savaient que l encre d un bulletin en papier plac dans une urne verrouill e tait incapable de se modifier Les scrutateurs Ils ne peuvent qu assister la magie de l impression instantan e des r sultats Le Conseil de l Europe recommande la possibilit de second d pouillement mais un scrutateur peut il obtenir autre chose que la r impression d un ticket e Les d l gu s des partis A nouveau leur manque de connaissances informatiques les laisse d munis Ils devraient alors se r soudre se faire accompagner d un expert en s curit informatique Ce n est pas le cas probablement parce que personne n en a compris la n cessit et que de toute fa on rien n est organis techniquement pour permettre le travail de cet expert e La mairie Elle se fie l agr ment donn par l Etat aux machines voter Quand les machines sont achet es comment sont elles stock es entre deux lections Certainement sous clef eu gard leur co t mais a t on conscience de l extr me facilit de modification du logiciel int gr facilit qui n est compens e pa
23. ommission ind pendante la CEV Commission on Electronic Voting qui a d conseill leur utilisation 7300 machines sont donc rest es dans des entrep ts depuis Cf Irish Citizens for Trustworthy Evoting http evoting cs may ie 7 Les difficult s ne proviennent pas uniquement du vote lectronique les listes lectorales comptent galement Le feuilleton de la pr sidentielle 2000 n tait pas d au vote lectronique mais une technologie plus ancienne les cartes perfor es Celles ci mal dessin es ont t difficiles recompter Au moins y avait il quelque chose recompter En r action la l gislation HAVA a t vot e Elle a incit remplacer les technologies anciennes en 2004 environ 30 des lecteurs ont utilis des machines tout lectronique et environ 30 des tabulatrices optiques La multiplication des bugs dans les machines tout lectronique la prise de conscience qu elles taient des boites noires noires au sens d opaques ainsi que la suspicion entourant la pr sidentielle 2004 ont popularis le concept de bulletin papier v rifi par l lecteur 26 des tats ont incorpor ce principe leur l gislation et 13 autres y songent Pour l instant les fabricants trainent les pieds pour modifier leurs machines se contentant d ajouter une imprimante sans r fl chir l ergonomie de l lecteur ni la facilit de recompte Beaucoup de l gislations sur le recompte sont trop contraignan
24. on bien con ue devrait avoir pour but d viter de se poser des questions son sujet Le contr le devrait tre exerc par les premiers maillons de la chaine en d mocratie repr sentative les seuls l gitimes sont les lecteurs les assesseurs les d l gu s et les scrutateurs Ce maillon ci est en effet hautement critique Nul besoin d imaginer la collusion de toute une entreprise avec un parti politique Un petit nombre peut tre m me un seul de programmeurs ou de techniciens de la cha ne de fabrication peuvent d une action unique compromettre des centaines de machines et donc une lection enti re Ce cas de figure est celui permettant la fraude la plus efficace Il illustre une r gle g n rale de l informatique celle ci permet de faire ce qui tait auparavant manuel plus grande chelle parfois longtemps l avance sans se d placer sans laisser de traces et avec moins de personnel parfois tout seul D autre part le mod le conomique de ces entreprises est la cause du secret qui entoure les machines voter A quelle conclusion cela nous am ne t il Elle pourrait s articuler autour des mots suivants le contr le et la transparence Ils manquent tous les deux cruellement La confiance pour tre fond e doit s appuyer sur son corollaire le contr le Pour que cette confiance ne soit pas aveugle la transparence doit tre totale Quelle solution pr conisons nous j entends d j certains se deman
25. pla ons ce choix en perspective avec l poque de conception de cette machine Parce que finalement tout cela n a gu re d importance le principe m me de cette v rification est inepte quelle que soit la technique employ e En effet on demande d imprimer cette checksum au logiciel que l on cherche contr ler L alternative se pr sente ainsi soit il est authentique et il va r ellement le calculer et le r sultat sera conforme sauf d faillance de l lectronique soit il a t modifi frauduleusement et il se gardera de faire le moindre calcul et se contentera d imprimer la valeur indiqu e dans le manuel d utilisateur L infinit flexibilit d un logiciel fait que cela ne pose aucune difficult de r alisation Faire confiance cette v rification de checksum est comme d arr ter un inconnu dans la rue de lui demander si il est honn te et en cas de r ponse affirmative de le charger de faire un retrait d argent en lui confiant notre carte bleue L ineptie de cette v rification de checksum a t point e par le rapport de la Commission on Electronic Voting commission ind pendante qui a d conseill l utilisation des machines Nedap en Irlande Par quel bout que l on prenne cette proc dure de v rification de checksum on n en comprend pas la mise en oeuvre En effet si l objectif se r duisait v rifier le bon fonctionnement de l lectronique une proc dure bien plus simple suffirait si tout va bien la mach
26. r 2005 jugement annul par la Cour de Cassation le 7 juin 2005 et une deuxi me fois Lyon le 3 octobre 2005 41 Etablir une preuve informatique n est pas simple et suppose d avoir acc s au syst me de vote au minimum le soir de l lection mais cela ne suffit pas concernant les manipulations qui effacent leurs traces une fois leur forfait accompli ou qui n en laissent pas de significatives Cet acc s n est pas facilit par le secret industriel ajout aux l gitimes exigences de s curit entourant le scrutin 42 La Commission estime que dans le cas d une lection organis e par une collectivit publique le code source des logiciels utilis s par le syst me de vote lectronique devrait tre accessible sans restriction afin de permettre la r alisation de toutes les expertises jug es n cessaires d lib ration 03 036 du ler juillet 2003 43 Par exemple aux Etats Unis la NASED indique quel num ro de version du logiciel int gr de l ES amp S 1Votronic est certifi Rien n apparait dans l arr t d agr ment fran ais Le paragraphe 2 2 1 du r glement technique concernant les modifications l initiative du fabricant ne dit rien sur le logiciel 44 C est dire toujours ce m me r glement technique fixant les conditions d agr ment des machines voter ne pr sente gu re d int r t A l extr mit de la chaine se situent le fabricant et son importateur Une organisati
27. r aucune proc dure s rieuse de 23 Ce qu est le code source est expliqu en annexe de ce texte 24 Avis de la CADA Commission d Acc s aux Documents Administratifs du 26 janvier 2006 Un recours devant le Conseil d Etat est en pr paration 25 Les assesseurs sont les quatre citoyens qui entourent le pr sident du bureau de vote Ils doivent tous tre l l ouverture et la cl ture du scrutin et au moins deux d entre eux doivent tre pr sent tout moment de la journ e Ils proviennent de partis politiques diff rents Le pr sident est g n ralement un conseiller municipal 26 Dans cet ordre d id es Michael Scott Dublin City University recommande qu une autorit ind pendante examine des machines s lectionn es al atoirement le soir de l lection dans le but de v rifier l authenticit du logiciel int gr rapport CEV app 2B page 140 27 Op ration demand e aux assesseurs utilisant les machines Nedap France lection Le matin de l lection la machine imprime un ticket indiquant ces checksums ce sont deux s ries de 8 chiffres ou lettres 1 e deux nombres 32 bits exprim s en hexad cimal Les assesseurs v rifient qu ils soient identiques ce qu indique le manuel d utilisation Checksum se traduit par somme de contr le on se demande pourquoi le terme anglais a t conserv Pour rajouter un peu de magie technologique 28 Voir en annexe notre document d taill la v rification de checksums est
28. roger nos mairies Elles nous ont parl meilleure organisation et conomies sans prendre au s rieux nos interrogations Cela nous a incit s nous documenter sur Internet Nous avons rapidement d couvert le moratoire de fait de la Belgique le refus de l Irlande d utiliser des machines Nedap pourtant achet es massivement l ann e m me o la France autorisait leur usage ainsi que les innombrables difficult s des tats Unis Quelques mois apr s notre cr ation nous avons observ de pr s la catastrophique lection municipale du Qu bec Il nous est apparu que de la communaut des informaticiens avait exprim de nombreuses r serves comme en 1 Titre inspir par Ulrich Wiesel informaticien allemand qui conteste en justice les derni res lections l gislatives r alis es avec des machines Nedap 2 A ce sujet nous avons publi une traduction du rapport sur SERVE rapport qui a conduit l arm e am ricaine abandonner ce projet de vote par internet Egalement une traduction de l audition de l expert en s curit informatique Bruce Schneier devant la Chambre des Repr sentants des tats Unis qui explique pourquoi Internet n est pas s curis et que ce n est pas qu une affaire de technologie 3 Sans le moindre d bat et parfois sans m me une d lib ration du Conseil Municipal Ceux qui ne lisent pas les bulletins municipaux ni la presse locale d couvrent l existence des machines voter au moment de l lection
29. s agit de v rifier la m moire vive RAM et non pas la m moire morte ROM ou EPROM 61 Seule la cha ne de fabrication est contr l e par l organisme d inspection ind pendant Ceten Apave Pas d information sur la ES amp S iVotronic
30. tes www VerifiedVoting org www BlackBoxVoting org www VotersUnite org 8 Les rat s des lections municipales Direction informatique t moignent la prise de position de l ACM ou la Resolution on Electronic Voting de David Dill professeur d informatique Stanford Nous avons rapidement compris l immense potentiel des informations disponibles l tranger Tout cela contrastait fortement avec l absence d inqui tudes en France Nous avons par la suite interrog les divers acteurs du vote lectronique les mairies quip es ou non le Minist re de l Int rieur les organisme d inspection Bureau Veritas et Ceten Apave et les importateurs Qui sommes nous Nous sommes aussi des porteurs de mauvaises nouvelles Nous tenons rappeler e que le vote lectronique tel que propos entra ne in vitablement la disparition du contr le citoyen des lections au profit de techniciens Qu il s agit de changer de syst me politique de la d mocratie le pouvoir au peuple vers la technocratie le pouvoir aux techniciens en revenant l tymologie de ce mot Ce changement que l on nous pr sente comme in luctable m rite un v ritable d bat national e qu en pratique ce contr le que le citoyen est contraint de transmettre aux techniciens s est largement perdu en route La suite de ce texte vise d montrer cela e que les syst mes de vote lectronique actuels ont une particularit les
31. ultat lectoral plausible n incitera pas faire l effort de les rechercher 48 Le Pr Roberto Di Cosmo auteur de l article E duquons l e citoyen emploie l analogie suivante votre facteur ouvre peut tre votre courrier la vapeur pour le lire votre insu Ce serait d sagr able mais ce ne serait que quelques lettres un endroit pr cis L quivalent lectronique est un ordinateur qui analyse les emails de tout le monde Rien de bien irr aliste 49 La s curit est un pr texte il s agit du concept discutable de s curit par l obscurit cf note n 53 La v ritable raison est que l investissement fait par ces soci t s est en grande part le d veloppement du logiciel int gr 50 Afin de ne pas insulter l avenir les p titions telles celle de David Dill ou celle de the free e democracy project utilisent l expression trace d audit v rifi e par l lecteur Elles pr cisent ensuite qu en l tat actuel des connaissances seul le papier permet de r aliser cette trace d audit 51 Sur notre site le bulletin papier v rifi par l lecteur VVPB VVAT d tails de ce concept difficult s de mise en oeuvre et r alisations b cl es l tranger 52 L argent public ne doit payer qu une fois comme le dit l ADULLACT 53 Cf Wikipedia en anglais Security through obscurity Un usage raisonnable du secret est possible en s inspirant de la cryptographie les logiciels et m thodes de calculs
32. une duperie 29 Les scrutateurs sont les lecteurs qui participent au d pouillement ou le surveille 30 Recommandation Rec 2004 11 sur les normes juridiques op rationnelles et techniques relatives au vote lectronique point 26 31 Le d funt projet de loi sur les machines voter en r seau kiosques allait dans cette direction il pr voyait une Cellule de veille technique compos e des membres du bureau de vote centralisateur et d experts d sign s par le maire et les candidats selon l expos du repr sentant du minist re de l Int rieur au Forum e democratie 2005 32 Machines Nedap France lection deux minutes suffisent remplacer le logiciel int gr selon Michael Scott Dublin City University rapport CEV app 2B page 139 Machines Indra le logiciel est plac sur un disque dur Selon Ceten Apave organisme qui a produit le rapport pour agr ment il y a seulement un contr le de l usine de fabrication et aucun m canisme de signature du logiciel L exigence n 45 du R glement technique fixant les conditions d agr ment est Les programmes doivent tre stock s sous forme inalt rable Les machines Nedap France lection nous paraissent en violer l esprit leurs m moires peuvent tre consid r es comme inalt rables bien que ce soient des EPROMS on ne peut pas les reprogrammer par le biais contr le Quand les machines sont lou es la responsabilit du stockage revient
Download Pdf Manuals
Related Search