Ordinateurs de vote : quelle sÚcuritÚ ?

par Chantal Enguehard
mercredi 18 avril 2007

À en croire les municipalités, les ordinateurs de vote (souvent improprement nommés machine à voter) sont absolument sûrs. La preuve, ou plutôt les preuves les voici :

1 - ils ne sont pas connectés à Internet

2 - il y a deux clés

3 - le paramétrage est réalisé publiquement devant un huissier

4 - il y a des scellés, posés après paramétrage de la machine

5 - il y a des tests

Regardons-y de plus près.

1 - ils ne sont pas connectés à internet

Il s’agit d’une bonne nouvelle car un virus circulant sur internet peut facilement infecter un ordinateur. Ne pas être connecté à Internet est donc une mesure nécessaire, mais elle n’est pas suffisante. En effet, un programme fraudé peut être introduit dans l’ordinateur de diverses manières. Puisqu’il n’est pas connecté à Internet, il faut approcher physiquement l’ordinateur visé. Selon les modèles, on peut changer le programme en faisant un échange standard des deux puces sur lesquelles il est stocké (sur les machines NEDAP il faut deux minutes, y compris le temps d’ôter et remettre les vis du capot, et c’est la très officielle commission irlandaise CEV qui l’affirme), sur les machines iVotronic il faut connaître les mots de passe nécessaires pour pouvoir changer le programme original et en installer un qui frauderait. À noter qu’il suffit de deux mots de passe de trois caractères chacun seulement, et qu’il est impossible de les changer, ce qui contredit les principes les plus élémentaires de sécurité informatique.

2 - il y a deux clés

Il y a deux clés car le législateur l’a exigé, mais la présence de ces deux clés ne garantit rien du tout. Sur une urne transparente, bien tangible, la présence de deux serrures différentes dont les clés sont détenues, pour l’une par le président du bureau de vote, pour l’autre par un assesseur, garantit qu’une personne seule ne peut pas ouvrir l’urne et en changer le contenu. Les deux serrures et les deux clés garantissent l’intégrité de l’urne.

Au contraire, un ordinateur de vote peut contenir un programme qui vole des suffrages de-ci de-là pour un candidat préférentiel, tout en étant « contrôlé » par deux clés qui ne le gêneront en rien.

On retrouve le même genre de situation dans la vie si l’on essaie de sécuriser une maison avec une porte blindée et plusieurs serrures tout en laissant les fenêtres ouvertes.

3 - le paramétrage est réalisé publiquement devant un huissier

Le paramétrage et la programmation sont deux concepts totalement différents (voir article ). Qu’un huissier soit présent afin de vérifier que le paramétrage est réalisé sans erreur n’est peut-être pas inutile, mais cela ne garantit en rien que le programme de vote n’est pas fraudé. Il s’agit simplement de deux éléments indépendants.

4 - il y a des scellés, posés après paramétrage de la machine

Les scellés vont empêcher de changer le paramétrage de l’ordinateur de vote, ce qui est plutôt une bonne idée. Mais en aucun cas, la présence de scellés ne peut garantir que le programme de vote est intègre. D’ailleurs la pose de scellés n’est pas prévue dans le code électoral.

Le programme a pu être fraudé des semaines, des mois avant l’élection. La fraude peut rester dormante en attendant d’être activée. Qu’il y ait des scellés ou non n’y change rien.

5 - il y a des tests

Certes, il y a des tests. Ils sont nécessaires, chez le fabricant, pour détecter des erreurs de programmation. Ils sont nécessaires aussi dans les mairies pour vérifier qu’il n’y a pas eu d’erreur dans le paramétrage. Mais, d’une manière générale, on ne peut pas déceler une fraude en effectuant des tests car un programme fraudé se comportera correctement pendant les tests.

De nombreux traits distinguent une vraie journée de vote d’un test : le moment du vote, la durée du vote, le comportement des votants, le temps entre deux votes, etc. Ces indices peuvent être mis à profit par l’ordinateur de vote pour savoir s’il s’agit d’un vrai vote ou d’un test, et éventuellement modifier son comportement au moment opportun : frauder le jour du vote, et pas pendant les tests.

Déceler une fraude dans un programme nécessite une expertise très poussée, et cette démarche peut ne pas être suffisante ; en tout cas, on ne peut en garantir les résultats : une fraude informatique bien réalisée est quasiment indétectable. Autrement dit, même si l’expertise n’a rien trouvé, on ne peut être certain que le programme est honnête.

Les preuves examinées ne tiennent donc pas : elles ne sont pas suffisantes pour garantir la sécurité d’un ordinateur de vote. Certaines, comme la pose de scellés, ne sont pas exigées par le code électoral. Elles ont été ajoutées afin de produire un sentiment de confiance dans l’électeur.

C’est-à-dire qu’il y a eu une réflexion importante pour accroître la confiance des électeurs. J’aurais préféré que cette énergie soit occupée à faire en sorte que cette confiance soit fondée.

Signer la pétition

Aujourd’hui 17 avril, plus de 66 000 signatures.




Lire l'article complet, et les commentaires