Vote électronique - Enjeux - JM Manach
Titre : Le vote électronique et ses enjeux.
Intervenants : Jean- Marc Manach - Anne Levade - Chantal Enguehard - Roberto Di Cosmo
Lieu : Émission 14h42
Date : Novembre 2014
Durée : 44 min 44
Lien vers la vidéo : [1]
00' transcrit MO
Jean-Marc Manach : Bonjour et bienvenue dans ce nouvel épisode du 14h42 qui décrypte les médias et surtout le numérique de Arrêt sur images et Next Inpact. Je ne sais pas si vous vous souvenez mais en novembre 2012, il y avait l'élection à la présidence de l'UMP, il y avait des files d'attente à la télévision, il y a eu deux vainqueurs autoproclamés. On a d'abord eu un premier candidat qui a dit « c'est moi, c'est moi ». Ensuite on a eu Jean-François Copé qui est arrivé « non c'est moi », et donc il y a eu la bagarre entre Fillon et Copé pour savoir qui avait gagné, tellement les résultats étaient serrés. Une commission de contrôle complètement dépassée, des accusations de putsch médiatique à l'encontre de Jean-François Copé. Il fallait mettre un terme à ça et donc l'UMP a décidé de passer au vote électronique présenté comme une arme contre la triche. Pour en parler aujourd'hui trois invités. Anne Levade, bonjour.
Anne Levade : Bonjour.
Jean-Marc Manach : Qui est présidente de la haute autorité de l'UMP, justement en charge du contrôle de ce vote électronique. Chantal Enguehard, qui est chercheuse en informatique au CNRS, directrice des recherches de l'Observatoire du vote et présidente d'Éthique Citoyenne, qui est une association apolitique qui travaille, notamment, à une meilleure transparence des élections et Roberto Di Cosmo,
Roberto Di Cosmo : Bonjour.
Jean-Marc Manach : Qui est chercheur et professeur en informatique au laboratoire Preuves, Programmes et Systèmes du CNRS, ça fait super sérieux, à l'université de Paris Diderot et qui, en 2007, avait écrit un article « Machine à voter, la mauvaise solution à un faux problème », on aura l’occasion d'en parler. On va commencer par Anne Levade, donc c’était il y a quinze jours, le vote électronique, qui a commencé très fort, parce que le vendredi soir, à peine le début du vote, il y a eu un piratage. Alors est-ce que vous pouvez-vous dire un petit peu ce qui s'est passé ? Est-ce que c'était vraiment un piratage ?
Anne Levade : D'abord je suis juriste, donc les termes que j'utiliserai ne seront sans doute pas techniquement les termes les plus rigoureux. Ce qui est sûr c'est qu'on avait fait en amont, en lien avec un expert, des tests de charge et que, donc, il y a eu une tentative, effectivement, de déni de service, de ce que j'ai compris.
Jean-Marc Manach : Des attaques par déni service c'est, on envoie énormément de requêtes.
Anne Levade : Voilà, très concrètement le site était paramétré de telle manière que nous puissions gérer 4 000 votes minute, ce qui semblait, puisque le vote durait 24 heures et que nous avions près de 300 000 votants, compatible avec un vote qui pouvait durer sur quelques heures, considérées comme utiles, et, à partir de 20 heures 16, effectivement, nous avons eu 26 000 requêtes seconde.
Jean-Marc Manach : D'accord, ça ne tenait pas la charge.
Anne Levade : Ça a ralenti les choses, ça n'a pas bloqué le système, en revanche, ça a évidemment, le temps que les différents acteurs du système informatique mettent en place des contre-mesures et réfléchissent à ce qui pouvait se passer, ça a conduit effectivement à un ralentissement très significatif du dispositif.
Jean-Marc Manach : On a une petite vidéo, je ne sais pas si en régie on peut nous la montrer, où on voit notamment Luc Chatel, qui était suivi par des équipes de télévision, et qui a eu un grand moment de solitude au moment où il se met sur son ordinateur et il essaye de se connecter.
Luc Chatel, devant son ordinateur
Luc Chatel : Voilà, bon, alors et voilà. Carte UMP.
Voix masculine : Et il ne se passe rien ?
Luc Chatel : Tout à l’heure il m'a marqué « hors de connexion ».
Jean-Marc Manach : Visiblement c'était un petit peu lent, mais là ce qu'on a vu, on a vu Luc Chatel qui avait sorti sa carte d'adhérent, il avait reçu un courrier également. C'est ça la procédure ?
Anne Levade : Oui, il y avait trois codes qui permettaient aux adhérents de s'identifier. Un code dont ils disposaient déjà et qui ne leur était pas re-communiqué, qui est leur numéro d'adhérent, ce qui, donc, en fait des adhérents de l'UMP. Et puis, parallèlement à ça, deux codes qui avaient générés par le prestataire et envoyés par le prestataire, directement, par courrier postal, aux adhérents.
Jean-Marc Manach : Directement.
Anne Levade : Ces trois élément étaient nécessaire pour s'identifier.
Jean-Marc Manach : D'accord. Il y a eu un reportage qui était assez rigolo dans Rue89, où ils ont été à une permanence UMP, enfin la permanence UMP à Neuilly-sur-Seine, qui avait mis un ordinateur pour que les gens qui n'avaient pas d’ordinateur, ou qui ne voulaient pas voter depuis chez eux, puissent voter à la permanence et où, apparemment, il n'y avait pas mal de problèmes dont un problème à cause des 0,0,0. Est-ce que vous pouvez nous expliquer ce que c'est que cette histoire de 0,0,0 ?
Anne Levade : Là on en est, j'allais dire, dans des points de détail qui ont été réglés, d'ailleurs la haute autorité a, tout au long du scrutin, diffusé au fur et à mesure des remontées, des communiqués.
Jean-Marc Manach : Voilà, il y a eu un communiqué de la haute autorité.
Anne Levade : Des communiqués pour clarifier les choses. Il se trouve que les numéros d’adhérents, qui sont les numéros donc générés par l'UMP là, pour le coup, qui sont des numéros permanents, correspondent à plusieurs générations de cartes d'adhérents. Et parmi les différentes générations de cartes d'adhérents, il y a en a une, c'est d'ailleurs la raison pour laquelle on avait fait un petit mode d'emploi en quelque sorte, pour bien identifier le bon numéro, il y en a une qui comportait des zéros devant le numéro d'adhérent. Et, le fait est, que lorsque les zéros étaient rentrés ça pouvait générer un blocage au moment de l'identification.
Jean-Marc Manach : Les gens devaient retirer les trois zéros qui précédaient leur numéro d'adhérent.
Anne Levade : Exactement.
Jean-Marc Manach : Encore un autre problème et un autre communiqué, sur l'histoire du « vote impossible »
Anne Levade : Ouais. Ça c'est lié, justement, aux dispositifs qui ont été mis en place pendant la nuit.
Jean-Marc Manach : Suite à l'attaque par déni de service.
Anne Levade : C'est-à-dire qu'il y a eu le moment où il y a eu la tentative de déni de service, le moment où on a vu que le site repartait et que, donc, nous pouvions poursuivre le vote, puisque la haute autorité a eu quand même un petit moment où elle s'est posée la question de savoir si nous pouvions reprendre le processus électoral sans difficulté, le poursuivre, d’ailleurs, parce qu’il n'a jamais été interrompu. Et en fait, au moment où ont été mis en place différents dispositifs, dont notamment de nouveaux serveurs qui, dans la nuit, ont été paramétrés, il semble que un des serveurs, n'avait pas été, parce qu'il l'a été dans l'urgence, paramétré de manière tout à fait correcte, ce qui fait qu'au moment où était validé le vote, tombait dans l'urne électronique, il y avait un message qui ressortait. Alors nous avons évidemment, immédiatement dès lors que nous avons eu des appels téléphoniques, vérifié ce qu'il en était, vérifié surtout que les bulletins allaient bien dans l'urne, qu'il n'y avait pas de blocage, et, il s'est avéré très rapidement, et donc ça a été réglé, j’allais dire, en une demi-heure, mais pour la demi-heure, nous avons fait ce petit message indiquant que l’indication « vote impossible »
Jean-Marc Manach : Un message indiquant « vote impossible », ça veut dire qu'en fait le vote « si, si il est bon, il est validé ».
Anne Levade : D'ailleurs, il y avait un moyen très simple de le vérifier. C'est que si on sortait du site, qu'on arrêtait tout et qu’on réessayait de voter avec les mêmes codes.
Jean-Marc Manach : Ça ne marchait plus.
Anne Levade : Il était indiqué qu'on avait déjà voté. Ce qui était bien la preuve que le vote était pris en compte.
Jean-Marc Manach : Ouais, c'était un petit compliqué mais bon. Là-dessus il y a eu encore un autre article, sur reflets.info, puis Rue89, où c'est bluetouff, qui est le pseudonyme de quelqu'un qui est professionnel de la sécurité informatique, qui a constaté que le site web de Paragon Elections, qui est donc le prestataire de service que vous aviez utilisé pour le vote électronique, il y avait plein de répertoires qui étaient ouverts, on pouvait accéder au code source de certains logiciels, mais surtout il y avait deux failles de sécurité, qui dataient de plus de six mois, qui n’avaient pas été patchées. Tout à l'heure vous me disiez que vous aviez fait appel à un expert indépendant pour vérifier la sécurité. Comment expliquez-vous le fait que Paragon avait des failles de sécurité, dont la fameuse Heartbleed, dont on avait parlé l'année dernière, qui est une faille de sécurité majeure, dont tous les professionnels de l'informatique ont entendu parler ?
Anne Levade : Deux éléments. D’abord, la particularité de ce scrutin, de manière générale, c'est qu'on était tenu par un certain nombre de prescriptions qui, je le sais, sont minimales, mais qui sont établies par la CNIL. Dans ce cadre-là notamment, il y a la recommandation très ferme de faire appel à un expert, chose que nous avons bien sûr faite, qui a été amené à la fois à faire des tests de charge et des tests d'intrusion et surtout à accompagner, tout au long des 24 heures du scrutin, la haute autorité pour vérifier et nous aider à réagir, puisque encore une fois nous, nous n'étions pas informaticiens.
Jean-Marc Manach : Il a passé 24 heures sympas !
Anne Levade : Comme nous ! À nos côtés en permanence. Deuxième chose, et d'ailleurs le rapport d’expertise a été communiqué notamment aux représentants des candidats, sur la question des failles qui ont été effectivement détectées a posteriori ou dont il a été question, l’expert m'indique et donc, je ne peux que le croire et lui faire confiance, m'indique que ça correspondait, en réalité, à des pages qui ont été maintenues, j'allais dire, à la manière de leurre. C'est-à-dire que nous avons aujourd'hui la certitude, l'expert a la certitude, personne n’est rentré dans le dispositif de vote, pour la bonne et simple raison que ce dispositif avait été désinstallé, puis modifié et totalement réinstallé juste avant le vote. Sont restées en revanche, sur le web, manifestement sciemment, des pages de l'ancien site.
08'21
Jean-Marc Manach : Bon. Sciemment. Pourquoi sciemment ?