Actualités web

La vérifiabilité : élément clé de la sécurisation du vote sur Internet

En donnant son accord à une extension progressive du vote sur Internet en Suisse, le Conseil Fédéral helvète accélère son déploiement sur l’ensemble du territoire. Une première en Europe où la plupart des pays se montrent plutôt frileux en matière de vote électronique. Un accord qui ne s’est pourtant pas fait sans condition puisque l’extension progressive du vote sur Internet sur le territoire Suisse nécessitera un renforcement de la sécurisation du vote en ligne avec notamment la mise en place de la vérifiabilité des bulletins émis.

La Suisse étend le vote sur Internet à l’ensemble de ses cantons

Le déploiement du vote sur Internet à l’ensemble des futures élections cantonales permet à la Suisse de devenir le premier pays en Europe, à l’exception de l’Estonie, à généraliser le processus de vote sur Internet lors d’élections politiques. Un déploiement qui devrait se faire en plusieurs étapes : passant en premier lieu de 30 à 50% la part maximale de vote électronique sur un canton puis étendu à l’ensemble des électeurs des différents cantons. Après plus de 10 ans d’expérimentations de scrutins via Internet, la Suisse à donc décidé d’étendre son utilisation. Un véritable plébiscite pour le vote sur Internet comme le confirme le rapport publié en juin dernier par le Conseil Fédéral : «Le vote électronique permet aux citoyens de participer aux élections et aux votations sans contraintes de temps ni de lieu. Son instauration découle très logiquement de l’évolution qu’a connue la société au cours des dernières décennies en matière de communication et d’exécution de certaines opérations».

La vérifiabilité au cœur du processus de sécurisation du vote sur Internet

Une généralisation du vote sur Internet Suisse qui nécessite néanmoins, comme le stipule le Conseil Fédéral dans son accord, de mieux sécuriser le processus de vote et en particulier la mise en place de la vérifiabilité des bulletins émis par les électeurs. Une vérifiabilité qui consiste à garantir l’identification et le contenu du bulletin de vote émis par l’électeur en ligne, l’objectif étant d’éviter tout dysfonctionnent lié à une erreur humaine ou logicielle mais aussi et surtout lié à un acte malveillant externe de type cyberattaque. Sa mise en œuvre permet ainsi au votant de contrôler son suffrage pour vérifier que celui ci n’ait pas été modifié. Un élément de sécurisation  pris au sérieux par les autorités de contrôle Suisse depuis que Sebastien Andrivet, un informaticien genevois, avait démontré en juin dernier qu’il était possible de modifier les bulletins de vote électronique en utilisant un virus installé sur les seuls ordinateurs des électeurs et non sur les serveurs de l’État de Genève. Si des audits de sécurité avaient jusqu’à présent été réalisés, ils s’étaient focalisés sur la partie serveur du système délaissant la partie application qui s’exécute sur le poste de travail des votants : une zone pourtant au cœur des problèmes de sécurité puisque les principaux incidents enregistrés ont eu comme origine cet élément de la chaîne de sécurité.

La France en retard, bloqué par les recommandations de la CNIL 

La France aurait de toute évidence tout à gagner à s’inspirer des recommandations de sécurisation de son voisin helvète pour éviter de reproduire le fiasco des législative 2012 et des primaires UMP à Paris. Pour rappel, le vote sur Internet avait été pour la première fois expérimenté lors des législatives 2012 pour les français résidant à l’étranger. Une expérimentation qui n’avait pas vraiment convaincu : un informaticien nantais, Laurent Grégoire, avait démontré qu’une simple modification de l’applet Java de l’ordinateur du votant permettait de modifier à son insu son scrutin. En juin 2013, les primaires UMP à Paris ont connu des bugs similaires avec la possibilité de détournement des votes. A chaque fois, l’utilisation de Java sur le poste de travail de l’électeur apparaissait comme le maillon faible de la chaîne de sécurité. Si le principe de vérifiabilité avait été mise en œuvre, ces incidents auraient pu être évités ou tout du moins mieux gérer. Pour autant la CNIL, qui a autorité en la matière, ne veut pour le moment pas en entendre parler : elle n’a pas fait évoluer sa politique en matière de recommandations sur la sécurisation des process malgré la succession de bugs. Des critères de sécurité qui semblent pourtant indispensable au développement du vote sur Internet en France.

Laisser un commentaire