Comment fonctionne une machine de vote électronique ? Quelle sécurité offre-t-elle ? Comment peut-on s'assurer de la fiabilité d'un scrutin ? C'est à toutes ces questions qu'a tenté de répondre la société ES&S;, constructeur de la solution iVotronics et représenté en France par le revendeur Datamatique.
ES&S; ou Election System & Software, existe depuis plus de 35 ans. La société travaillait à l'origine sur les ancêtres des ordinateurs de vote actuels, des machines mécaniques où l'électeur était invité à venir voter sur des fiches perforantes. ES&S; équipe désormais 47% des comtés américains en ordinateurs de vote et 8 municipalités en France, dont la dernière en date est la mairie d'Issy-les-Moulineaux.
Aujourd'hui, sa solution iVotronics se présente sous la forme d'un écran tactile et d'une valise de transport servant d'isoloir. Cet ordinateur de vote est accompagné d'une seconde valise destinée au président du bureau de vote et qui va lui servir à ouvrir et fermer le scrutin, enregistrer et transporter les votes. Enfin, c'est à partir de cette valise que le président peut éditer les rapports de vote.
L'ordinateur, a été certifié par la société Bureau Veritas, et agréé par le ministère de l'Intérieur. Concrètement, ces tests passent en revue un certain nombre de critères. La machine doit résister à la casse, aux chocs électriques, à l'eau… mais aussi réaliser correctement le travail d'enregistrement et de comptage des votes. Le code source de la machine est fourni à Bureau Veritas, et est disponible sur demande au ministère de l'Intérieur.
| Un ordinateur basé sur un OS propriétaire, dédié au vote |
Un ordinateur de vote de ce type coûte entre 4500 et 5000 euros à l'unité, et pèse environ 14 kilos. Il est adapté pour les handicapés moteurs et visuels. La machine dispose d'un système d'exploitation propriétaire dédié au vote électronique et uniquement à cela. La machine n'est pas connectée aux réseaux extérieurs, sauf par le biais du réseau électrique. Cependant, pour se prémunir d'une panne de courant, une batterie assurant une autonomie de 12 heures est fournie avec.
Pour garantir que le vote pourra être toujours accessible, les données de l'élection sont stockées sur 3 mémoires physiques différentes qui se vérifient entre elles. Ces mémoires enregistrent dans des emplacements aléatoires les votes des électeurs, de manière à ce que personne ne puisse déduire par l'organisation de la mémoire que l'électeur 1 a par exemple voté pour le candidat X.
De même, la gestion des votes en mémoire centrale n'est pas incrémentale mais plutôt sous forme d'un tableau. Ainsi, si 50 votes désignent un candidat, son nom apparaît 50 fois en mémoire dans un tableau. La mémoire est ainsi moins sujette à des erreurs massives non détectées. De même, toute intervention sur l'ordinateur de vote est soumise à une authentification par mot de passe.
Grâce à ces mécanismes, la solution iVotronics peut éditer un rapport baptisé Audit Log. Il résume l'ensemble des manipulations qui ont été effectuées sur l'ordinateur de vote. En cas d'erreurs, la machine se bloque et doit être démonté pour que sa mémoire soit examinée.
Avant les élections, la machine est programmée par ES&S;, puis
transmise au client pour validation. Celui-ci teste le bon fonctionnement
de la machine, qui est ensuite remise à zéro et placée sous
scellés devant les responsables d'élections et jusqu'à l'ouverture
du vote. Le jour du vote, le président vérifie les scellés,
les ouvre, vérifie que le compteur soit toujours à zéro et que
les choix fonctionnent toujours correctement.
| Le caractère unique du vote est contrôlé par l'utilisation d'un BIP |
Avant d'aller voter, l'électeur doit attendre que le président introduise un boîtier
interactif portable (BIP) unique, qui sert à activer la machine.
Il peut ensuite choisir le candidat de son choix, le modifier,
et confirme enfin sur un bouton situé en haut de la machine,
à l'écart de l'écran. Cette procédure a été ajoutée pour éviter
la précipitation et faire du vote électronique un acte conscient.
A chaque vote, le président doit donc se déplacer avec le BIP pour autoriser les électeurs à voter chacun leur tour. A partir de 20h, la machine propose au président de se bloquer pour marquer la fin du scrutin. Les membres du bureau de vote vont alors signer la feuille d'émargement et constater le nombre de votants.
Une fois arrivé au moment du dépouillement, désormais sans scrutateur, les membres du bureau représentants les différents partis politiques représentés vont attester du résultat des élections et de la bonne remontée des informations. Les machines seront enfin stockées dans la mairie jusqu'aux prochaines élections où elles pourront à nouveau être reprogrammées.
Une formation de 3 jours est systématiquement dispensée au personnel des mairies impliquées. Au cours de l'élection, un ingénieur d'ES&S; peut se déplacer si une intervention technique est nécessaire sur un ordinateur de vote.
|
Une sécurité remise en question
|
Malgré
toutes ces mesures de sécurité, les ordinateurs de vote
posent quelques problèmes aujourd'hui insolubles. Premièrement,
le processus de contrôle de l'intégrité du vote est
désormais confisqué aux seuls informaticiens. Il n'est
plus possible pour un électeur lambda de contrôler que
l'élection s'est bien déroulée sans fraude.
Deuxièmement, un ordinateur de vote peut être modifié
avant le vote sans que les membres du bureau de vote ne
s'en aperçoivent. En effet, les membres du bureau
de vote ne font que constater que la machine affiche bien
le candidat pour lequel on a voté. Ils ne peuvent pas
vérifier que c'est bien ce nom qui est stocké sur la machine.
Troisièmement, la machine utilise des technologies
propriétaires qui renforcent l'opacité du processus de
vote. Impossible de savoir comment fonctionne un programme
même si un informaticien pourrait avoir les compétences
pour le faire. Du coup, la sécurité et l'intégrité des
machines reposent en partie entre les mains de techniciens
d'une société privée et non plus des électeurs.
La sécurité des mots de passe pour effectuer des manipulations
sur les ordinateurs de vote est largement perfectible.
Il existe 8 mots de passe différents mais les deux premiers
sont codés sur 3 et 7 caractères ce qui les rend très
vulnérables à une attaque par la force. La copie des informations
sur 3 mémoires différentes ne garantit que la pérennité
du stockage des informations, nullement leur validité.
En effet, le programme peut stocker 3 fois la même donnée
sans que celle-ci ne corresponde au vote choisi par l'électeur
car le programme est faussé.
Enfin, les mairies conservent les machines de vote
entre deux élections, ce qui pose d'autres problèmes de
sécurité. Outre la manipulation volontaire, les erreurs
sont tout à fait possibles. Le contrôle de bits assure
normalement la véracité des informations mais le programme
n'est pas à l'abri des bugs, autrement dit d'une erreur
humaine lors de la programmation. Les exemples de fusées,
de trains, d'avions ou de satellites certifiés mais ayant
connus un accident ne manquent pas dans l'industrie.
L'impression papier n'est pas non plus un gage total de
fiabilité. En effet, l'ordinateur peut imprimer un vote
différent de l'information qu'il stocke. Pour garantir
une meilleure fiabilité, il faudrait donc recompter les
bulletins papiers imprimés par la machine après l'élection,
ce qui revient au même que de faire une élection sans
ordinateur de vote. |
|
