Tous les sites

Le vote par Internet, la fausse bonne idée pour lutter contre l’abstention

pARTAGEZ

programme-vote

Par Florence Poznanski, déléguée de la France insoumise au bureau de vote électronique en mai 2021, avec la contribution de Renaud Alexandre, membre du groupe thématique Numérique

Introduit en 2003, le vote par Internet pour les Français·es de l’étranger semble être là pour durer, voire inspire les législateurs qui croient y voir un outil pour relancer l’engouement démocratique national. Après les élections consulaires de 2014 puis de 2021, les Français·es de l’étranger le reverront à nouveau pour les élections législatives de juin 2022.

Il offre incontestablement une meilleure alternative au vote par correspondance papier en s’affranchissant de l’aléa des envois postaux (perte ou retard) et des risques de fraude lié à la multiplication des intermédiaires. Mais son manque de transparence et l’opacité de ses procédures posent un réel problème. Raison pour laquelle la CNIL continue d’émettre un avis réservé.

La question se pose d’autant plus que le vote par Internet s’impose comme le principal dispositif de vote à l’étranger, à la place du vote à l’urne. Il concerne cette année 86% des votants aux élections consulaires, contre 43 % des votes exprimés en 2014. À l’inverse, le nombre de bureaux de vote a baissé de 26 % entre les deux élections consulaires, laissant certains électeurs sans aucune autre alternative que le vote par Internet. Des 482 bureaux de vote ouverts en 2014 (d’après l’arrêté du 18 avril 2014), seuls 357 le sont restés en 2021 (d’après l’arrêté du 4 mai 2021 modifié par les arrêtés du 26 et 27 mai) (voir sur ce lien la liste des bureaux de vote supprimés). En conséquence, la participation aux élections consulaires a même baissé en moyenne mondiale, passant de 16,61 % à 15,06 % entre 2014 et 2021.

Cet article revient sur les différentes questions soulevées par le vote électronique. L’outil pourrait apparaître comme utile en cas de difficulté de se rendre à l’urne, mais son déploiement ne peut justifier la fermeture accélérée des bureaux de vote et l’affaiblissement des garanties légales qu’offre le vote à l’urne, toujours inégalé. Son inutilité manifeste dans la lutte contre l’abstention bat en brèche un des arguments de ses défenseurs.

Il est en outre urgent d’exiger l’ouverture du code, comme les législations d’autres pays le prévoient déjà.

Un système opaque pour la CNIL bien que les risques de fraude soient faibles

Malgré le sérieux des opérations de vote observées, il est important de rappeler qu’après avoir étudié le vote électronique depuis 2003, la commission nationale de l’informatique et des libertés (la CNIL) considère que « les systèmes de vote existant ne fournissent pas encore toutes les garanties exigées par les textes légaux ». Elle reste donc « réservée quant à l’utilisation de dispositifs de vote par correspondance électronique pour des élections politiques », qu’elle considère « à haut risque dans la mesure où elles impliquent un nombre important d’électeurs, présentant un enjeu élevé dans un climat potentiellement conflictuel » (à la différence d’autres élections à risque inférieur comme l’élection des délégués de classe ou de représentants du personnel) (consulter ici l’avis de la CNIL).

La commission a souhaité rappeler que le vote électronique « présente des difficultés accrues au regard […] des principes fondamentaux qui commandent les opérations électorales (le secret du scrutin, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection) ». Ces difficultés existent « principalement à cause de l’opacité et de la technicité importante des solutions mises en œuvre, ainsi que de la très grande difficulté de s’assurer de l’identité et de la liberté de choix de la personne effectuant les opérations de vote à distance ».

L’avis de la CNIL n’a qu’une dimension consultative pour l’État, qui continue de promouvoir ce dispositif de vote. Cette réserve ne signifie pas pour autant que le dispositif utilisé n’est pas fiable, mais qu’il est risqué dans ce type de scrutin qui exige un haut niveau de transparence et de clarté au regard de l’ensemble des procédures de vérification, contre-vérification, exigence de simplicité et de transparence que prévoit le code électoral.

3 types de fraude

On peut distinguer trois types de fraude auxquels les opérations de vote électronique peuvent faire face.

- La fraude extérieure, comme des attaques ou manipulations extérieures du système. Le protocole des opérations de vote qui ont commencé le 19 mai et se sont terminées le 30 mai, prévoyait un certain nombre d’étapes de vérification et de contrôle permettant d’identifier toute intervention extérieure imprévue. Aucune attaque n’a été observée pendant le scrutin. Rien n’indique que ce protocole soit solide à 100 %, mais les opérations ont pu se dérouler normalement et si attaque il y a eu, elle n’a pas abouti ou n’a pas été détectée (ce qui reste peu probable).

- La fraude interne au bureau de vote, comme des manipulations effectuées par une partie des membres du bureau de vote, ou une action volontaire d’agents de l’État détracteurs dans le but de modifier le résultat du scrutin. Là encore, le protocole de vote prévoit la division des responsabilités au sein du bureau de vote, de sorte qu’un seul membre ne puisse pas réaliser d’opération sans la participation d’autres membres détenteurs de clefs ou de mots de passe. Les opérations de vote ont été accompagnées par des représentants de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et des experts indépendants, ainsi que des délégués d’organisations politiques qui ont pu poser toutes leurs questions. En dehors des opérations de vote, les équipements ont été maintenus dans un coffre-fort. Les opérations de vote ont été réalisées correctement et aucun membre ou délégué du bureau de vote n’a indiqué de suspicion de fraude au procès verbal.

- La fraude au moment du vote : ce troisième type de fraude concerne la vérification de l’identité de l’électeur ou l’électrice, et sa liberté de choix. Comme pour le vote par correspondance papier, l’électeur ou l’électrice n’est pas dans l’isoloir au moment du vote. Il ou elle peut avoir été induit à voter de différentes façons, voire ne pas avoir voté en personne, sans qu’il ne soit possible de le vérifier. Ce troisième type de fraude est inhérent aux votes par correspondance et peut devenir problématique si le vote par correspondance est majoritaire, comme ce fut le cas cette année.

Aucun des deux premiers types de fraude n’a été identifié pour les élections consulaires de 2021. Il n’en demeure pas moins qu’à la différence du vote à l’urne, les protocoles de sécurité prévus ont certes permis de minimiser ce risque, mais pas de l’annuler et encore moins de fournir toutes les évidences de façon simple et transparente pour le prouver.

Sécurité des réseaux de communication

Pour organiser le scrutin, l’État a procédé à deux envois massifs d’identifiants par e-mail et de mots de passe par SMS. Parce que de nombreux compatriotes se désinscrivent chaque année de la liste électorale pour ne pas recevoir de propagande politique, la DFAE (Direction des français à l’étranger du ministère des affaires étrangères) a utilisé la base de données du registre des Français de l’étranger au lieu de la liste électorale consulaire (LEC) pour envoyer les identifiants. Dans la plupart des cas, les e-mails renseignés sont les mêmes et les compatriotes ne savent pas distinguer les deux inscriptions. Mais la très grande majorité des problèmes rencontrés par les électeurs provenait du fait que l’e-mail avait été envoyé à une autre adresse.

Les services consulaires ayant communiqué sur l’importance d’actualiser ses coordonnées sur la LEC et non sur le registre, la liste du registre n’étant pas communicable aux candidats, l’actualisation en ligne de ses coordonnées étant difficile pour la modification des adresses mails et les consulats étant souvent fermés au public pour cause de pandémie, de nombreux électeurs se sont retrouvés dans l’impossibilité de voter, faute de pouvoir identifier l’adresse à laquelle avait été envoyée l’identifiant de vote.

Exemple de communication du ministère de l’Europe et des Affaires étrangères sur l’inscription électorale

Ces envois ont été confiés à deux opérateurs français : Orange pour les emails et Rétarus pour les SMS. Deux opérateurs privés dont les conditions de distribution n’ont pas été précisées aux délégués du bureau de vote. Car pour procéder à cet envoi sur l’ensemble de la planète, ces deux opérateurs sont passés par d’autres opérateurs intermédiaires dont la liste n’a pas été communiquée.

Une série d’erreurs ont été remontées au niveau des SMS, arrivés parfois tronqués (image 3) ou envoyés depuis un numéro inconnu ou commercial à la suite d’un message relatif à une course en taxi ou une facture à payer (image 2).

Exemple de SMS reçu au Brésil
Exemple de SMS reçu en Corée du Sud

Il a aussi pu être prouvé que l’e-mail adressé par le Ministère des affaires étrangères aux électeurs avec les liens d’accès à l’identifiant de vote, est passé par l’entreprise d’envoi massif d’e-mails commerciaux Mailjet, une entreprise fondée en France mais rachetée par l’étasunienne Mailgun en 2019. Or l’ANSSI avait assuré que ces envois seraient effectués depuis les serveurs du ministère. Malgré notre signalement, aucune explication ne nous a encore été fournie par l’ANSSI.

Experts indépendants versus ouverture du code

La loi française n’oblige pas la publication du code du dispositif de vote électronique et l’État a préféré s’appuyer sur les conseils de consultants recrutés par marché public pour accompagner l’État et le prestataire espagnol Scytl Innovating Democracy, expert en procédures de vote par internet. C’est aussi Scytl qui a coordonné les opérations de vote au dernier congrès du Parti communiste français (PCF) ou lors des primaires aux Etats-Unis dans 13 Etats en 2020. L’entreprise avait connu une instabilité courant 2020 avant d’être rachetée par le groupe Service Point Solution, du groupe Parangon.

Si le nom des experts consultants a été communiqué aux délégués du bureau de vote à notre demande, leurs rapports d’audit, eux, ne l’ont pas été, pas plus que les critères de sélection lors du marché public. C’est pourquoi nous partageons ci-dessous la liste des cabinets et personnalités sélectionnés. Sans pouvoir nous prononcer sur la qualité de leur travail, la méthode questionne par la faible transparence publique donnée au contrôle si important délégué à ces experts.

D’autres pays ont pratiqué différemment. C’est le cas du système de vote électronique développé par la poste suisse, partenaire de Scytl, et proposé au test à une dizaine de cantons. Avant d’autoriser l’utilisation d’un tel système, la loi fédérale suisse exige une certification préalable et la publication du code source. La poste informe avoir mené un test d’intrusion public entre le 25 février et le 24 mars 2019. À cette occasion, près de 3200 experts en informatique du monde entier ont tenté d’attaquer le système de vote électronique dans le but de détecter des failles. C’était également une exigence de l’État australien du New South Wales dont la législation exige la publication du code, à laquelle l’entreprise Syctl a dû se soumettre en 2019. Plus d’informations ici et ici.

Liste des cabinets et experts indépendants sélectionnés pour conseiller l’État lors des opération des vote en mai 2021 :

  • Cabinet Ernst&Young : en charge des audits de sécurité, de configuration, d’architecture et de la réalisation des test d’intrusion.
  • Cabinet Wavestone : analyse de risque et de l’accompagnement du ministère dans l’élaboration du dossier d’homologation.
  • Bernard Stark : direction de la mission d’expertise. Fondateur de la société Digimedia Interactivité, société spécialisée dans la fabrication et la mise en œuvre de système de vote électronique en présentiel (boîtier de vote) et à distance (internet).
  • Dimitri Mouton gérant de la société Demaeter, auteur de « Sécurité de la dématérialisation » (Eyrolles) et Sylvain Pham : mise en œuvre de la cérémonie et protocole des opérations de vote.
  • David Pointcheval : expert en cryptographie, directeur de recherche au CNRS au sein du département d’informatique de l’école normale supérieure (ENS).
Rechercher