Contexte

Pour les élections prud'homales françaises de 2008, il a été décidé de tester le vote électronique par Internet pour Paris. Des cartes électorales permettant le vote par Internet ont été envoyées aux électeurs et comportaient un identifiant et un mot de passe numérique. Comme ces traitements font appel à des données personnelles, la CNIL s'est sentie compétente pour contrôler l'usage de ces données (à la différence des machines de vote) et a procédé à des contrôles pendant le déroulement du scrutin. Elle a relevé plusieurs irrégularités dans un rapport non diffusé au public mais qui a fuité samedi dernier sur le site Ordinateurs-de-vote.

Sommaire

• • Vérification du logiciel installé
  • Chiffrement du bulletin de vote
  • Scellement de l'urne électronique
  • Conclusions

Ce vote électronique repose sur une urne électronique conçue par Élection Europe et hébergée chez Thalès. Le vote électronique était ouvert pendant trois semaines et surveillé par un bureau de vote assisté d'un comité technique indépendant. Voici ce qu'ont observé les rapporteurs de la CNIL :

Vérification du logiciel installé

Dans une délibération de 2006 la CNIL a estimé que :

[…] l'obligation d'expertise préalable du système constitue une garantie essentielle de l'intégrité des systèmes de vote électronique

Le rapport fait remarquer que le logiciel en question n'a pas été expertisé entièrement et qu'aucun système d'identification de version n'a été mis en place. En outre, le système a été modifié à deux reprises sans nouvelle expertise pendant le scrutin.

Ceci fait conclure au rapporteur que « rien ne permet de garantir que le programme utilisé le jour de l'élection est bien celui expertisé » et aussi « que l'absence d'expertise des codes sources dans leur intégralité ne permettait pas de s'assurer du correct fonctionnement du dispositif de vote ».

Chiffrement du bulletin de vote

Voici les recommandations de la CNIL en 2003 sur le chiffrement du bulletin de vote :

Le bulletin de vote doit être chiffré par un algorithme public réputé « fort » dès son émission sur la machine à voter ou le terminal d'accès à distance et être stocké sur le serveur des votes sans que ce chiffrement n'ait été à aucun moment interrompu.

Lors des contrôles, le rapporteur a observé que le bulletin n'était pas chiffré de bout en bout mais était transmis sans secret jusqu'au serveur de vote (via https mais juste avec un mécanisme d'obfuscation) et chiffré uniquement avant d'être envoyé au serveur de base de données. Ceci entraîne que « Le temps de cette transformation, même réduit, conduit le bulletin à être en «clair» »

Scellement de l'urne électronique

L'urne électronique est l'équivalent de l'urne transparente et visible du public utilisée dans un vote papier. Voici la recommandation de la CNIL pour obtenir les mêmes garanties :

Les systèmes de vote électronique expertisés et utilisés doivent faire l'objet d'un scellement c'est-à-dire d'un procédé permettant de déceler toute modification de ce système. Le procédé de scellement doit lui-même être agréé. La vérification du scellement devrait pouvoir se faire à tout moment, y compris durant le déroulement du scrutin et par tout électeur.

Le scellement consistait à donner à des membres du bureau les clefs de descellement permettant de déchiffrer les bulletins et de vérifier que l'urne n'avait pas subi de modification en début de scrutin.

Le constat de la CNIL concernant le scellement est juste magique :

• Le système a été modifié deux fois sans descellement de l'urne sur simple accord oral du bureau de vote ;
• Des comptes de connexion détenus par les sociétés Thalès et Élection Europe ne faisaient pas partie du dispositif de scellement et ont permis de se connecter au système pendant le scrutin. Les droits effectifs des comptes n'ont pas été testés, juste leur appartenance à un groupe ;
• Le système d'empreinte utilisé ne portait pas sur l'ensemble du système (les procédures stockées étaient ignorées par exemple). De plus, un changement dans l'algorithme a empêché de comparer les empreintes avant et après le scrutin ;
• Le scellement physique de l'urne était partiel et « la baie de "supervision et sauvegarde" n'avait pas été scellée, tant physiquement que logiquement » ;
• Contrôle citoyen non disponible.

Tout ceci fait conclure « que ces éléments démontraient que le système de vote électronique adopté ne faisait pas l'objet d'un scellement de nature à garantir la sécurité et la confidentialité des données à caractère personnel des électeurs » et que « les modifications et accès au dispositif de vote durant le scrutin soulevaient de graves difficultés en matière de garantie de confidentialité et d'intégrité des votes ».

Conclusions

La CGT a publié sur son site à l'époque les résultats avec la répartition des votes électroniques et papier. On constate en particulier qu'un tiers des votants ont utilisé le vote électronique et une différence de 10 points entre le résultat de la CGT sur les votes électroniques et le vote papier (due à des problèmes pour voter CGT dans l'outil).

L'objectif avoué du vote électronique qui était de lutter contre l'abstention n'a pas été rempli puisque la participation fut encore plus faible qu'en 2002.

Des problèmes de cette ampleur sur un vote papier auraient entraîné une réaction citoyenne immédiate. Ici le vote électronique empêche le contrôle citoyen et on voit, par l'absence de publicité autour de ces problèmes, que le gouvernement et l'organisme de contrôle indépendant qu'est la CNIL préfèrent cacher les problèmes plutôt que de risquer une remise en cause du scrutin.