AVRIL 2007

En septembre dernier, nous avons alerté les lecteurs de Sciences et Avenir sur l’utilisation de nouvelles machines à voter pour la présidentielle de 2007 ( lire n° 715 ). Depuis, la polémique n’a cessé d’enfler. A quelques semaines du scrutin, nous avons donc repris l’enquête point par point pour évaluer les risques de fraude.

1. Les machines à voter sont-elles piratables ?
La réponse est bien évidemment oui. Plusieurs démonstrations ont été faites, notamment sur une machine du fabricant des Pays-Bas Nedap commercialisée par la société France Election. Le hacker néerlandais Rop Gonggrijp et son équipe ont prouvé qu’un informaticien de bon niveau pouvait faire délivrer à la machine un résultat souhaité. L’opération a consisté à ouvrir l’appareil et à retirer les mémoires Eprom qui contiennent le logiciel faisant fonctionner la machine. Les hackers ont modifié le comportement du programme pour lui indiquer le résultat qu’ils désiraient obtenir. Quels qu’aient été les votes exprimés lors d’une élection fictive sur la machine trafiquée, les résultats ont été ceux exigés par les pirates. Rop Gonggrijp s’est même amusé à transformer l’appareil Nedap en jeu d’échecs électronique ! L’objectif était de répondre aux fabricants, qui affirment que leurs équipements ne savent traiter que des élections.
Les trois autres machines homologuées en France, l’iVotronic du constructeur américain ES&S commercialisée par la société Datamatique, et les Point & Vote et Point & Vote Plus, conçues par la compagnie espagnole Indra Sistemas et importées par le groupe Berger-Levrault, ne semblent pas moins vulnérables. Dans le cadre d’une expertise judiciaire, Dan Wallach, spécialiste en sécurité informatique de l’université Rice (Etats-Unis) et coresponsable du programme Accurate de recherche sur le vote électronique, s’est penché sur les machines iVotronic. Son rapport indique clairement que la machine peut être détournée de son utilisation initiale. Elle est en effet constituée de composants que l’on retrouve dans les ordinateurs grand public, et son logiciel peut être modifié sans que cela soit jamais détecté. Les personnes en charge du processus électoral n’ont aucun moyen de vérifier si le logiciel a été piraté. Le seul système de sécurité valable est la clé électronique indispensable pour faire fonctionner la machine. Et encore ! Selon Dan Wallach, il suffit d’avoir accès à cette clé et de bien l’examiner pour en faire une copie. Toutes les personnes pouvant accéder au local où sont stockées les machines disposent alors des outils nécessaires à la fraude…
Quant aux machines Point & Vote, elles reposent sur une architecture PC avec le système d’exploitation Microsoft Windows XP. Pour les spécialistes en sécurité informatique, le choix de Windows XP n’est pas judicieux car ce système est la cible privilégiée des hackers !

2. Comment ces machines sont-elles protégées ?
D’abord par le logiciel pro-priétaire et le code source secret : les fabricants utilisent un logiciel développé par la société uniquement pour ses machines et un code source. Ils seraient les seuls à connaître cette programmation. Mais les pirates n’ont besoin ni du logiciel propriétaire, ni du code source ! Explication : ce code est la série d’instructions rédigées par un humain, le programmeur, dans un langage informatique. Ces instructions sont « traduites » en binaire, une succession de 0 et 1 que la machine utilise pour opérer. Le hacker n’a besoin que de ces données enregistrées sur les mémoires internes. En les étudiant, il trouve les instructions correspondant à la modification des résultats du vote. Il n’a qu’à remplacer les mémoires par d’autres comportant des instructions frauduleuses. C’est cette technique que les hackers ont mise en œuvre pour détourner les machines Nedap .
Autre protection invoquée: la redondance des mémoires. Les machines ont plusieurs mémoires stockant les mêmes informations, notamment les logiciels et les votes émis. Elles sont sans cesse vérifiées pour détecter un changement anormal. Auquel cas la machine se bloque. L’iVotronic comporte trois mémoires de type Eprom et une mémoire compact flash amovible indispensable à la mise à jour des trois autres. La redondance est probablement efficace pour parer à une manipulation grossière. Mais lors d’une mise à jour du logiciel de vote, rien n’empêche d’installer un logiciel piraté. Dan Wallach a expliqué que sur l’iVotronic, cette modification peut se faire à partir de la carte flash externe.

3. Le piratage est-il facile ?
Les bonnes pratiques voudraient que les équipements soient au moins scellés et placés dans des locaux sécurisés. Mais nous avons pu constater que ces précautions ne sont pas toujours prises… Deux types de scellés sont requis. Le premier est un bracelet en plastique numéroté, interdisant l’effraction sur la valise contenant la machine. Pour ouvrir, il faut casser ce scellé, après que le président a vérifié la correspondance entre le numéro du scellé et celui des documents enregistrés avant le vote. Le deuxième scellé empêche l’accès aux organes électroniques de la machine elle-même. Sur le modèle Nedap, c’est une étiquette qui relie les deux parties du boîtier à l’arrière de la machine. Elle comporte le logo du fabricant, le nom de la personne qui l’a posée et la date de pose. En février, lors de notre enquête dans deux mairies (appelées A et B pour préserver l’anonymat des personnes interviewées), nous avons remarqué que les scellés sur la mallette n’étaient posés que peu de temps avant la période électorale, une fois les paramétrages effectués (enregistrement des différents candidats notamment). Il n’y avait donc pas de scellés avant et après la période électorale. Dans la mairie A, les machines attendaient les élections dans un bureau ordinaire, non sécurisé, à proximité de l’entrée principale du bâtiment. Dans la mairie B, elles étaient entreposées dans des locaux fermés et sous alarme, avec d’autres matériels coûteux. Mais plusieurs personnes pouvaient accéder à ces locaux pour des raisons diverses… Quant aux scellés posés sur le boîtier de la machine, la responsable des élections de la mairie B ignorait leur existence. Pis encore : nous avons pu nous procurer le manuel d’installation et d’utilisation de la machine Nedap. Il n’indique pas comment vérifier les scellés du boîtier. Commentaire de l’employé de la mairie B chargé des élections : « En formation, on nous a dit que si la machine avait été ouverte, nous le verrions. » Comment ? Réponse : « Je ne sais pas. »
Bien évidemment, les employés de mairie ne sont pas responsables de ces manquements à la sécurité du vote. Les mesures ne semblent tout simplement pas à la hauteur de l’enjeu. Des scellés ne sont pas des protections efficaces. En quelques clics, nous avons trouvé sur Internet des scellés numérotés à fermeture automatique de la marque Sydex, semblables à ceux fournis pour les machines Nedap : 194  E le sac de 1000.

4. Existe-t-il un risque de fraude massive ?
La majorité des piratages informatiques dans les entreprises est réalisée par des employés ou ex-employés. Ainsi, scénario imaginaire : une fraude pourrait provenir d’un employé malveillant d’un fabricant ou d’un distributeur ayant la possibilité d’intervenir pour modifier le programme de la machine. Dans les deux mairies où nous avons enquêté, des techniciens venaient de passer pour faire des modifications sur les machines. Interrogée sur l’intervention, la personne responsable des élections de la mairie A n’était pas en mesure de nous expliquer ce qui avait été fait : « Nous l’avons laissé dans une pièce avec les machines pour qu’il fasse son travail ! » Cette intervention aurait été conduite au plan national. Si une fraude se produisait à ce niveau, elle serait massive et indétectable.

5. Comment les machines sont-elles homologuées ?
Le ministère de l’Intérieur a fixé un règlement technique, une sorte de cahier des charges. Les fabricants soumettent leurs machines à des organismes certificateurs : Bureau Veritas pour le matériel Nedap et ES&S, Apave-Ceten pour les machines d’Indra. On teste la robustesse, le fonctionnement. Mais le règlement n’exige pas un examen approfondi du code source. Code dont certains demandent à ce qu’il soit rendu public afin que sa fiabilité soit vérifiable. Bureau Veritas s’est doté du logiciel grenoblois Polyspace Verifier. C’est une sorte de correcteur mathématique qui détecte si, sur telle ligne de programmation, une opération va produire une erreur. Mais ce logiciel ne pourra pas dire quelle est la fonction de la ligne de code en question. De toute façon, selon le fabricant ES&S, Bureau Veritas n’a pas utilisé ce logiciel pour l’agrément de ses machines, car cela n’était pas exigé par le règlement technique. Quant aux machines Indra, Apave-Ceten nous a confirmé qu’il n’avait pas eu accès à leurs composants électroniques, toujours en raison du secret industriel.
Enfin, certains écarts au règlement technique sont admis. L’examen d’Apave-Ceten in-dique que la machine d’Indra stocke son logiciel de vote sur un disque dur qui est une mémoire modifiable, donc altérable. Or, l’exigence 45 du règlement technique spécifie à propos des machines à voter que « les programmes nécessaires à la réalisation de ces fonctions doivent être des modules indépendants et stockés sous forme inaltérable » . La machine Indra a quand même été homologuée.

6. Est-il possible de vérifier le vote électronique ?
En cas d’anomalie, seule la machine peut procéder à la vérification. Mais si elle a été piratée, elle ne fera que ce que le pirate lui a ordonné de faire… D’où l’intérêt d’une trace papier de chaque vote : un bulletin serait présenté au votant à travers une vitre, avant de tomber dans une urne physique qui servirait de support à un recomptage en cas de besoin. Aux Etats-Unis, plusieurs scandales électoraux, les mises en garde d’experts en sécurité informatique et les démonstrations spectaculaires de piratage par des universitaires renommés ont conduit la moitié des Etats à adopter le bulletin papier en plus du vote électronique.

Pour le juriste, les fabricants ne peuvent invoquer le secret industriel pour refuser de livrer le code source de leurs appareils.

Est-il possible de refuser de voter sur une machine électronique ?
Oui. Il suffit d’entrer dans l’isoloir et d’en ressortir sans avoir touché à la machine… Cela s’appelle une abstention. Plus sérieusement, selon le code électoral français, les machines à voter peuvent être utilisées dans les bureaux de vote des communes de plus de 3500 habitants figurant sur une liste ar-rêtée dans chaque département par le préfet. Affecté à un seul bureau de vote, l’électeur ne peut refuser de voter sur une machine si elle y a été installée : seul le conseil municipal peut refuser d’instaurer ce système.

Que se passera-t-il en cas de soupçons de tricherie ?
On applique les procédures habituelles de contentieux électoral. Le président du bureau de vote dresse un procès-verbal d’anomalie, qui sert de base au recours ultérieur d’un électeur ou un candidat devant le juge électoral. Il est aussi possible, si une ten-tative d’intrusion sur une machine est suspectée en cours de scrutin, de prévenir les magistrats surveillant le vote. Néanmoins, en cas de suspicion sur une machine, le juge de l’élection décidera au mieux de retirer des totaux les seuls votes qu’elle aura décomptés. Si la différence de voix n’est pas significative pour le résultat du candidat arrivé en tête dans la circonscription, son élection ne sera pas annulée.

Pourquoi le code source des machines n’est-il pas rendu public ?
Cela n’est pas admissible et constitue un empêchement absolu à l’utilisation des machines à voter. L’expression du vote est le fondement même de la démocratie. C’est une affaire publique dont la maîtrise stratégique doit être publique. Aucun argument tiré du secret des affaires, lequel a été conçu pour les rapports entre personnes privées, n’est opposable au gouvernement de la République.

Gilles J. Guglielmi, juriste à l'Université Paris-II (Panthéon-Assas)

QUELLES communes ?
Mi-février, une centaine de communes étaient répertoriées sur le site http://ordinateurs-de-vote.org comme équipées de machines à voter, en cours d’équipement ou en ayant le projet. Un million d’électeurs serait concerné.