L’examen de l’application de vote par internet que 700 000 électeurs peuvent utiliser depuis mercredi pour les élections législatives révélerait la présence de failles de sécurité qui compromettent la confidentialité, voire l’intégrité du vote.
… qui compromettent la confidentialité, voire l’intégrité du vote.
Mercredi, le ministère des affaires étrangères a ouvert la plateforme de vote par internet pour les électeurs établis hors de France, qui sont encouragés à voter à distance pour les 11 députés des circonscriptions des Français de l’étranger. Numerama a déjà fortement critiqué le dispositif, en faisant remarquer que l’arrêté ministériel encadrant le vote par internet relevait d’une négligence ahurissante, ou en s’indignant de ce que le gouvernement a refusé que les délégués pourtant désignés par les candidats aux Législatives pour contrôler le vote aient accès au code source de la plateforme (laquelle a été sous-traitée auprès d’une société privée espagnole).
… le gouvernement a refusé que les délégués pourtant désignés par les candidats aux Législatives pour contrôler le vote aient accès au code source de la plateforme (laquelle a été sous-traitée auprès d’une société privée espagnole).
Les premiers éléments semblent prouver qu’il est possible d’intercepter les données d’un vote lorsque le HTTPS n’est pas activé, ce qui est autorisé par l’application malgré la position de la CNIL qui avait demandé que le HTTPS soit exigé pour garantir la confidentialité du vote.
L’algorithme de chiffrage du bulletin reposerait en effet sur des données transmises au navigateur, donc faciles à découvrir, à l’exception du mot de passe de l’électeur. Cependant celui-ci n’est composé que de six caractères alphanumériques en minuscule, ce qui rend sa découverte par “bruteforce” relativement aisée. Un hacker pourrait ainsi découvrir les identifiants de l’électeur par une attaque dite de “man in the middle”.
Selon ces experts, la façon dont le code de l’applet Java est rédigé poserait aussi de sérieux doutes sur les compétences des auteurs du système de vote.
Or même à considérer que l’applet serait parfaitement sécurisée, le problème reste entier s’agissant du serveur sur lequel sont recueillis les bulletins. L’opacité du traitement des bulletins étant déjà totale, il est difficilement admissible d’avoir ne serait-ce que des doutes sur la sécurité des données stockées dans les serveurs espagnols.
Comment mon ordinateur a voté à ma place (et à mon insu)
Numérama
Attaque bruteforce
Attaque dite de “man in the middle”