Législatives 2012 : allez-vous vraiment voter sur ce machin ?!

Inscrit le 13/08/2002
24367 messages publiés
Envoyer un message privé
Guillaume Champeau , sujet ouvert le 11/05/2012 à 16:52

Si maintenant n'est pas le bon moment, à quel moment faut-il tirer très fort la sonnette d'alarme ?

Mercredi, nous révélions que l'arrêté qui organise le vote par internet pour les élections législatives de juin 2012 prévoit de recourir à un système opaque, qui ne fera l'objet d'un contrôle que par un seul informaticien. Un seul informaticien pour un million d'électeurs potentiels (les Français de l'étranger), et un seul informaticien dont on ne sait rien des modalités de désignation, et dont les critères d'indépendance sont des plus lâches.

L'opacité du système, que nous avions déjà dénoncé dans notre enquête sur le vote électronique aux élections présidentielles, était déjà inquiétante en soit. Elle n'a pourtant suscité aucune réaction de la part de la presse, qui ne semble pas prendre la mesure de l'enjeu démocratique.

Celle-ci serait la première à pousser légitimement des cris d'orfraie si elle voyait que les urnes dans lesquelles les électeurs glissent leur bulletin étaient opaques, ou qu'elles étaient placées dans une pièce séparée dont on fermerait la porte après chaque électeur en laissant quelques privilégiés à l'intérieur, libres de vider ou de bourrer l'urne à l'abri des regards indiscrets. Elle ferait des éditoriaux sanglants si l'on distribuait à chaque électeur une enveloppe de couleur différente, qui menacent à la confidentialité du vote au moment du dépouillement, ou si l'on priait chaque scrutateur de quitter les lieux. Tout ce qui serait susceptible de nuire à la sincérité et à la confidentialité du scrutin dans le vote traditionnel serait vu comme un coup de poignard dans la démocratie.

Mais le vote électronique, par un étrange scientisme, est à l'abri des critiques et des défiances. On le laisse progressivement s'installer, alors qu'il souffre peu ou prou de tous les défauts que l'on vient d'énoncer. En pire.

Puisqu'il est pratique pour les expatriés qui n'ont pas à faire le voyage au consulat, le vote par internet est accepté. Et tant pis si l'arrêté dit, texto, que dans certains pays "le secret et l'intégrité de leur vote ne pourront être garantis". Le pragmatisme ne s'embarrasse pas des symboles. Ni de la prévention.

On ne réfléchira au problème démocratique que trop tard, le jour où nous aurons en France un scénario à la Bush contre Al Gore, où l'absence de certitude sur la sincérité du scrutin attisera les soupçons et provoquera la division. Ne suffit-il pas déjà que le Conseil constitutionnel valide des comptes de campagne qu'il sait truqués ?

Heureusement, le pragmatisme peut aussi parfois rejoindre le pragmatisme, pour ceux qui refusent décidément de s'attacher aux symboles ou au doute préventif.



Suite à notre article, l'expert en sécurité web Paul Da Silva a voulu vérifier la fiabilité de la plateforme confiée à un prestataire espagnol, accessible sur la plateforme baptisée (lisez bien) monvotesecurise.votezaletranger.gouv.fr. Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.

"Pour les moins techniques d'entre vous cela signifie qu'au moins les tickets de support, si ce n'est l'ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n'importe quelle personne ayant des compétences dans le domaine...", explique-t-il. Potentiellement, toute la base de données est lisible et corrigible, comme si l'urne pouvait être dépouillée, vidéo ou bourrée à distance par n'importe quel quidam.

Contacté, Paul Da Silva nous assure avoir aucune nouvelle depuis qu'il a signalé la faille jeudi matin.



Lire la suite
80 réponses
Inscrit le 11/05/2012
39 messages publiés
A quand leur interdiction?
Inscrit le 23/10/2009
304 messages publiés
le mieux c'est quand même qu'il suffit de faire un DDOS sur la plateforme pour que plus personne ne puisse voter. et c'est à la mode, le DDOS.
Inscrit le 11/05/2012
39 messages publiés
C'est quand même inquiétant pour un pays qui vante l'exemplarité de sa "démocratie"
Inscrit le 20/09/2011
5137 messages publiés
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?

En gros, votre "expert" a lu le code HTML des pages, a repéré une adresse email qui n'était pas cachée (pourquoi l'email de la hotline serait cachée ???) puis a repéré une URL d'une page et a provoqué un code 500 "erreur".

Où a t'il montré la moindre faille de sécurité sur le système de vote ?

Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?
Inscrit le 13/08/2002
24367 messages publiés
zig, le 11/05/2012 - 17:09
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?


Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote. Mais tu peux fermer les yeux et faire confiance si tu préfères... libre à chacun.
Inscrit le 31/01/2011
657 messages publiés
vivement que ce genre de systeme soit bourré par un hackeur sympathique, + 120 000 voix pour françois mitterand ce serait marrant , ou zéro votant !!!

je me pose la question de savoir ce qui ce passera lorsque cet inévitable accident arrivera , la spoliation du droit de vote de plusieurs centaines de milliers d'inscrit . Une annulation pure et simple ou un "aller mourir" jusqu'à la prochaine niéléction?
Inscrit le 13/08/2002
24367 messages publiés
zig, le 11/05/2012 - 17:09
Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?


Une mauvaise solution à un vrai problème reste une mauvaise solution.
Inscrit le 19/05/2011
1185 messages publiés
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?

En gros, votre "expert" a lu le code HTML des pages, a repéré une adresse email qui n'était pas cachée (pourquoi l'email de la hotline serait cachée ???) puis a repéré une URL d'une page et a provoqué un code 500 "erreur".

Où a t'il montré la moindre faille de sécurité sur le système de vote ?

Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?


Si tu avais lu l'article correctement tu aurais facilement pu voir que ce n'est pas Numerama qui fait des conclusions, mais Paul Da Silva.

Tu as la gâchette facile, mais vise un peu mieux.
Inscrit le 19/05/2011
1185 messages publiés
Guillaume, le 11/05/2012 - 17:14
zig, le 11/05/2012 - 17:09
Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?


Une mauvaise solution à un vrai problème reste une mauvaise solution.


Moi je propose que ces gens là prennent des vacances et reviennent en France pour accomplir leur devoir civique.
Inscrit le 02/05/2012
7 messages publiés
Ouh le titre à la fois racoleur et culpabilisant...
Inscrit le 17/02/2009
10 messages publiés
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?

En gros, votre "expert" a lu le code HTML des pages, a repéré une adresse email qui n'était pas cachée (pourquoi l'email de la hotline serait cachée ???) puis a repéré une URL d'une page et a provoqué un code 500 "erreur".

Où a t'il montré la moindre faille de sécurité sur le système de vote ?

Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?

La procuration .
Comment on faisait avant l'air du numerique ?
Inscrit le 16/02/2011
29 messages publiés
Merci pour l'article Guillaume, enfin quelqu'un qui en parle

(Seul bémol, je ne suis pas "expert" mais consultant - ça évitera déjà 2/3 trolls)

Speaking of trolls :

zig, le 11/05/2012 - 17:09
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?

En gros, votre "expert" a lu le code HTML des pages, a repéré une adresse email qui n'était pas cachée (pourquoi l'email de la hotline serait cachée ???) puis a repéré une URL d'une page et a provoqué un code 500 "erreur".

Où a t'il montré la moindre faille de sécurité sur le système de vote ?

Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?


Pour ce qui est de l'adresse email il s'agit en fait de celle de la personne qui a envoyé le précédent mail au support (pas dans le HTML, en clair sur la page) - pas très grave dans l'absolu mais pas très rassurant non plus...

Pour l'erreur 500, lis en le texte (je sais c'est en espagnol mais c'est pas bien compliqué) il s'agit d'une erreur SQL due à un mauvais échappement des données entrées. Je te rejoins sur le fait que rien ne permet de statuer de façon définitive sur le fait que les données des votes sont stockées au même endroit à moins de faire le test (ce que je me refuse de faire pour des raisons d'éthique)... Sauf que vu comment le machin a été pensé jusque là le doute raisonnable existe. Le tout étant totalement opaque je maintiens que la sécurité de l'application dans son ensemble, vote compris, n'a pas un niveau satisfaisant d'un point de vue extérieur.

Je serai ravi de faire un audit, à mes frais, du système pour constater que j'ai tort... Mais franchement j'en doute, et là on parle de l'annulation pure et simple d'un million de vote à cause d'une plateforme conçue à l'arrache par une agence de comm'. àa me parait une raison suffisante pour gueuler sur une erreur 500 (encore une fois, due à une requête SQL non sécurisée) et une data exposure qui n'a juste aucune raison d'être là...
Inscrit le 15/04/2010
59 messages publiés
Et si même des failles SQL existent, on peut redouter la présence de failles XSS ou autre... Bref, un joli petit trou de sécurité.

Comme le dit bob3473, rien ne vaut la procuration.
Inscrit le 03/10/2008
1379 messages publiés
@Paulds : je rêve où t'as juste modifié ton User-Agent pour causer l'erreur ?
Inscrit le 16/02/2011
29 messages publiés
Non y'a autre chose derrière - le user-agent est toujours comme ça chez moi... Entre autres entêtes bidouillées...
Inscrit le 10/11/2008
3853 messages publiés
"l'ignorance coute plus cher que l'information"

La preuve mais a quel prix?

EDIT

http://manchot-enrag...de-vote-en-p2p/

A lire instructif
[message édité par jbsorba le 11/05/2012 à 18:15 ]
Inscrit le 24/08/2011
87 messages publiés
Prud'homales : une liste accablante de dysfonctionnements établie par la CNIL

Ce mois de mars 2012, nous publions la délibération de la CNIL prononçant un avertissement à l'encontre de Xavier Bertrand, Ministre du Travail, délibération que la CNIL a tenu à ne pas rendre publique. A l'audience, était présent du ministère, Jean-Denis Combrexelle, directeur général du travail.

http://www.ordinateu...accablante.html

La délibération. Les parties caviardées l'ont été par la CNIL, afin de protéger le secret industriel et commercial. Merci au citoyen qui l'a obtenue.
Inscrit le 20/11/2004
2070 messages publiés
Il n'y a plus de bouton flattr, sur l'article ?
Inscrit le 28/05/2003
479 messages publiés
Guillaume, le 11/05/2012 - 17:11

zig, le 11/05/2012 - 17:09

Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?


Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote. Mais tu peux fermer les yeux et faire confiance si tu préfères... libre à chacun.


Désolé Guillaume mais tu dis n'importe quoi... Pour avoir fait une centaine d'audits de sécurité, une faille sur une page n'implique absolument pas une faille sur une autre page...

Par ailleurs, la faille se situe sur l'appli web du helpdesk... L'IP de monvotesecurise.votezaletranger.gouv.fr est 217.111.179.113. Le screenshot pointe vers l'IP 212.36.65.19:13412...
[message édité par Nycom le 11/05/2012 à 18:26 ]
Inscrit le 11/05/2012
2 messages publiés
nosferatus, le 11/05/2012 - 17:12
vivement que ce genre de systeme soit bourré par un hackeur sympathique, + 120 000 voix pour françois mitterand ce serait marrant , ou zéro votant !!!


Merci pour le fou rire que vous m'avez donné !
Inscrit le 20/09/2011
5137 messages publiés
Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote.

Ou pas. Ce n'est pas parce qu'il y a une faille sur le système de hot-line qu'il y en a sur le système de vote. Ce n'est pas parce qu'il n'y a pas de faille sur le système de hot-line qu'il n'y en a pas sur le système de vote.

Je peux te parler en connaissance de cause : je développe et administre un site Web sur lequel les données sensibles ne sont pas stockées ni gérées de la même manière que les forums utilisateurs qui n'ont aucune valeur confidentielle.

Mais tu peux fermer les yeux et faire confiance si tu préfères... libre à chacun.

Et tu proposes quoi ?
Quel est le système que tu proposes pour que les expats (et notamment ceux qui habitent loin des centres de vote) puissent voter dans des conditions idéales de sécurité, de confidentialité et d'accessibilité ?

La procuration .
Comment on faisait avant l'air du numerique ?

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.


Il faut bien se rendre à l'évidence qu'il n'y a aucune solution satisfaisante pour les expats. Mais contrairement à ce que vous essayez de faire croire, le vote par Internet n'est pas la pire des solutions.
Inscrit le 09/10/2008
3223 messages publiés
Guillaume, le 11/05/2012 - 17:11
zig, le 11/05/2012 - 17:09
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?


Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote. Mais tu peux fermer les yeux et faire confiance si tu préfères... libre à chacun.


ne fait pas attention, il cherche surtout a en savoir plus, d'ailleurs certains assidus de Numérama devrait arrêter de répondre aux attaques bidons qui ne servent qu'a donner l'info pour ceux qui ne connaissent pas ou qui cherchent a savoir le pourquoi du comment..

des failles y'en a tout le temps...
Inscrit le 09/08/2010
598 messages publiés
bob3473, le 11/05/2012 - 17:29
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?

En gros, votre "expert" a lu le code HTML des pages, a repéré une adresse email qui n'était pas cachée (pourquoi l'email de la hotline serait cachée ???) puis a repéré une URL d'une page et a provoqué un code 500 "erreur".

Où a t'il montré la moindre faille de sécurité sur le système de vote ?

Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?

La procuration .
Comment on faisait avant l'air du numerique ?


Tout à fait la procuration ! Je vie à l'étranger et les personnes ayant voulu voter pour la présidentielle ont tous fait des procurations. C'est facile sa prend 2 minutes et on peu voter pour 3 personnes plus soit contrairement à la métropole ou c'est une par personne. Il y a aussi des consulats honoraires qui se trouvent dans les villes à 1 000km du bureau de vote et il est en mesure de délivrer les procurations. Bref, il est très facile de pouvoir voter sans passer par le net.

Pour la petite annecdote j'ai reçu 19 fois le SMS de mon identifiant de vote : | Législative 2012-Vote par internet M. **** pour rappel votre identifiant de vote est "10 caractères alpha numérique sans majuscules". www.votezaletranger.gouv.fr |
Pourquoi 19 fois ? Ne me posez pas la question.
Inscrit le 20/09/2011
5137 messages publiés
. Bref, il est très facile de pouvoir voter sans passer par le net.


Donc, comme je le disais plus haut :
1) le secret du vote n'a pas été respecté car tu as été obligé de dire à un tiers ce que tu souhaitais voter.
2) tu ne sais absolument pas pour qui tu as voté.

Donc tu as encore moins de garantie que pour le vote à distance (que ce soit par correspondance ou par Internet). Mais tu peux imaginer que certains ne soient pas satisfaits de ce manque de confidentialité et de sécurité de la procuration ?
Inscrit le 09/08/2010
598 messages publiés
zig, le 11/05/2012 - 18:30

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.


Il y a un truc qu'on appel des amis.
Inscrit le 11/05/2012
39 messages publiés
crasic, le 11/05/2012 - 18:39
zig, le 11/05/2012 - 18:30

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.


Il y a un truc qu'on appel des amis.


La famille accessoirement
Inscrit le 09/08/2010
598 messages publiés
zig, le 11/05/2012 - 18:39
. Bref, il est très facile de pouvoir voter sans passer par le net.


Donc, comme je le disais plus haut :
1) le secret du vote n'a pas été respecté car tu as été obligé de dire à un tiers ce que tu souhaitais voter.
2) tu ne sais absolument pas pour qui tu as voté.

Donc tu as encore moins de garantie que pour le vote à distance (que ce soit par correspondance ou par Internet). Mais tu peux imaginer que certains ne soient pas satisfaits de ce manque de confidentialité et de sécurité de la procuration ?


Tu sais les gens à qui tu confis tes enfants, qui gardent ton chien, avec qui tu rigoles. Et quand tu en as plus que un il y en a forcément un qui à les même opinions politiques que toi, que tu aimes. Tu connais ce sentiment ?
Inscrit le 20/09/2011
5137 messages publiés
crasic, le 11/05/2012 - 18:39
zig, le 11/05/2012 - 18:30

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.


Il y a un truc qu'on appel des amis.


Oui et alors ? En quoi cela accroit la confidentialité et la sécurité du vote ?

Tu sais les gens à qui tu confis tes enfants, qui gardent ton chien, avec qui tu rigoles

Je peux rigoler, voire confier mes enfants à des gens avec lequel je ne partage pas les mêmes opinions politique, y compris dans ma propre famille.
Encore une fois, quel est le rapport avec la confidentialité et la sécurité du vote ?
Démontre-moi que la procuration est plus sûre et plus confidentielle que le vote à distance, que ce soit par courrier ou par Internet.
Inscrit le 11/05/2012
5 messages publiés
Dans le cas de la procuration, tu choisis librement de faire confiance à une personne (même si c'est le 1er clampin venu, tu le choisis toi).
Là, par internet, on te dit de faire confiance à un quelqu'un (celui qui a conçu et exploite le système en question).
Tu ne vois pas la différence ?
Inscrit le 09/08/2010
598 messages publiés
zig, le 11/05/2012 - 18:57
crasic, le 11/05/2012 - 18:39
zig, le 11/05/2012 - 18:30

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.


Il y a un truc qu'on appel des amis.


Oui et alors ? En quoi cela accroit la confidentialité et la sécurité du vote ?

Tu sais les gens à qui tu confis tes enfants, qui gardent ton chien, avec qui tu rigoles

Je peux rigoler, voire confier mes enfants à des gens avec lequel je ne partage pas les mêmes opinions politique, y compris dans ma propre famille.
Encore une fois, quel est le rapport avec la confidentialité et la sécurité du vote ?
Démontre-moi que la procuration est plus sûre et plus confidentielle que le vote à distance, que ce soit par courrier ou par Internet.


"Je peux rigoler, voire confier mes enfants à des gens avec lequel je ne partage pas les mêmes opinions politique, y compris dans ma propre famille." et ??? quelle est la fin de ta pensée ?

Pour le reste en cas de litige il n'y aura aucun moyen de recompter de façon fiable. Seul 1 bout de papier est un bout de papier, il est non modifiable contrairement à un bit.
Inscrit le 20/09/2011
5137 messages publiés
Par ailleurs, la faille se situe sur l'appli web du helpdesk... L'IP de monvotesecurise.votezaletranger.gouv.fr est 217.111.179.113. Le screenshot pointe vers l'IP 212.36.65.19:13412...

Mr da Silva (consultant mais pas expert en sécurité informatique, j'ai bien noté la précision) : est-ce que vous confirmez que vous étiez bien sur le serveur du site Web de vote ou que vous avez fait les tests sur un autre serveur ?

De toute façon, je pense que vous avez lu cet explication ?

Si vous êtes inscrit sur la liste électorale consulaire 2012 et que vous avez choisi de voter à l'étranger pour l'élection de députés par les Français établis hors de France, les modalités de vote et dates sont les suivantes :
1) Modalités de vote :
vote à l'urne en personne
vote par procuration
vote par correspondance sous pli fermé
si vous en avez fait la demande à votre consulat avant le 1er mars 2012.
vote par internet


C'est-à-dire que seuls ceux qui en ont fait la demande pourront voter par Internet. Cela n'est en rien imposé.

Est-ce que vous pouvez également faire une analyse de sécurité des autres types de votes que sont la procuration et le vote par correspondance ?
Inscrit le 20/09/2011
5137 messages publiés
"Je peux rigoler, voire confier mes enfants à des gens avec lequel je ne partage pas les mêmes opinions politique, y compris dans ma propre famille." et ??? quelle est la fin de ta pensée ?

La fin de ma pensée ?
Qu'il n'y a pas de solutions véritablement acceptables pour expats (notamment ceux qui sont éloignés d'un centre de vote).
Mais que le vote par Internet ne présente pas plus, ni pas moins de problème que la procuration ou le vote par courrier.
Il ne s'agit pas de faire de scientisme à tout prix : je suis complètement opposé au vote par Internet en métropole ; mais il ne s'agit pas de tomber non plus dans l'obscurantisme et la paranoïa : mon dieu, ils peuvent trafiquer les votes, donc ils vont le faire.

C'est ce qui me sidère dans la malhonnêteté de la démarche : on prend un système et on lui applique des critères draconiens. Obligatoirement, il ne passe pas les tests.
Mais on oublie la deuxième étape : prendre les autres systèmes "concurrents" et leur appliquer exactement les mêmes critères que pour le premier.

Prends les autres systèmes (vote par procuration et vote par correspondance) et applique les mêmes critères de suspicion que ceux appliqués au vote par Internet : tu auras exactement le même résultat. Les votes à distance ou par procuration ne sont pas sûrs et présentent d'énormes failles de sécurité.

Le seul système véritablement sûr est le vote en personne (et encore, il y aurait des choses à dire). Mais comment faire quand le citoyen français se trouve loin du centre de vote ? Considérer que tant pis pour lui et qu'il ne votera pas ? Ou qu'il devra payer un avion et un hôtel pour aller voter ? Là, on aurait une véritable entorse constitutionnelle à l'égalité des citoyens.

Enfin, le dernier fond de ma pensée, il est expliqué plus haut par l'extrait que j'ai cité : les français expatriés ont le choix et seuls les volontaires voteront par Internet.



Pour le reste en cas de litige il n'y aura aucun moyen de recompter de façon fiable. Seul 1 bout de papier est un bout de papier, il est non modifiable contrairement à un bit.

J'espère que tu gardes ton argent chez toi sous ton matelas et que tu le confies pas à la banque parce que tu sais, maintenant, ils gèrent tout avec des ordinateurs et il leur suffit de modifier un bit pour que tu n'aies plus du tout d'argent.
Inscrit le 07/05/2004
878 messages publiés
Jamais de la vie.

Je me déplace et en 5 minutes j'ai voté.
Inscrit le 16/02/2011
29 messages publiés
Par ailleurs, la faille se situe sur l'appli web du helpdesk... L'IP de monvotesecurise.votezaletranger.gouv.fr est 217.111.179.113. Le screenshot pointe vers l'IP 212.36.65.19:13412...

Mr da Silva (consultant mais pas expert en sécurité informatique, j'ai bien noté la précision) : est-ce que vous confirmez que vous étiez bien sur le serveur du site Web de vote ou que vous avez fait les tests sur un autre serveur ?


Il dit qu'il voit pas le rapport...

merci pour la super démonstration, maintenant dans la vraie vie le serveur de base de données est ptet bien sur une troisième ip... genre comme dans 99% des installs qui doivent assumer un minimum de charge...

mais bien tenté... autre chose ?
Inscrit le 11/05/2012
5 messages publiés
zig et puce, tu oublies toujours la confiance librement donnée à une personne de ton choix (cas de la procuration).

À la différence du vote par internet où tu n'as pas le choix : tu dois faire confiance sans rien connaître à la "chose" à qui donne la confiance [ou ne pas voter (ou choisir un autre mode)]
Inscrit le 16/10/2011
1421 messages publiés
Déjà le simple fait qu'il n'y ait pas de connexion SSL...
Inscrit le 28/05/2003
479 messages publiés
Paulds, le 11/05/2012 - 19:50
Par ailleurs, la faille se situe sur l'appli web du helpdesk... L'IP de monvotesecurise.votezaletranger.gouv.fr est 217.111.179.113. Le screenshot pointe vers l'IP 212.36.65.19:13412...

Mr da Silva (consultant mais pas expert en sécurité informatique, j'ai bien noté la précision) : est-ce que vous confirmez que vous étiez bien sur le serveur du site Web de vote ou que vous avez fait les tests sur un autre serveur ?


Il dit qu'il voit pas le rapport...

merci pour la super démonstration, maintenant dans la vraie vie le serveur de base de données est ptet bien sur une troisième ip... genre comme dans 99% des installs qui doivent assumer un minimum de charge...

mais bien tenté... autre chose ?


Y dit qu'il voit pas le rapport non plus...

Rien ne prouve que la base de données est mutualisée...

La seule certitude est que la vulnérabilité identifiée est sur l'appli du helpdesk... L'article et votre démonstration cherchent à prouver que la faille impacte aussi la base de données de vote alors que vous n'en avez strictement aucune preuve...
Inscrit le 15/09/2011
115 messages publiés
zig, le 11/05/2012 - 18:30


Il faut bien se rendre à l'évidence qu'il n'y a aucune solution satisfaisante pour les expats. Mais contrairement à ce que vous essayez de faire croire, le vote par Internet n'est pas la pire des solutions.


Sauf qu'avec le système de procuration, il est impossible de tricher en masse sur une élection. Alors qu'il n'est pas possible de prouver que c'est aussi le cas avec le vote électronique. Juste pour cela, la procuration est une meilleure solution que le vote électronique.
Inscrit le 09/08/2010
598 messages publiés


Pour le reste en cas de litige il n'y aura aucun moyen de recompter de façon fiable. Seul 1 bout de papier est un bout de papier, il est non modifiable contrairement à un bit.

J'espère que tu gardes ton argent chez toi sous ton matelas et que tu le confies pas à la banque parce que tu sais, maintenant, ils gèrent tout avec des ordinateurs et il leur suffit de modifier un bit pour que tu n'aies plus du tout d'argent.


Et les relevés de comptes sont toujours envoyés par la poste non ?

Des fois j'ai l'impression que tu es une bonne femme qui veut absolument avoir le dernier mot ;-)
Inscrit le 16/02/2011
29 messages publiés
@nycom : mon raisonnement sert à prouver qu'il existe un doute....
Inscrit le 23/09/2010
162 messages publiés
Nycom, le 11/05/2012 - 19:58
L'article et votre démonstration cherchent à prouver que la faille impacte aussi la base de données de vote alors que vous n'en avez strictement aucune preuve...


Justement l'article pointe sur le fait c'est qu'il n'y a aucune preuve que ce ne soit pas le cas non plus...
Inscrit le 28/05/2003
479 messages publiés
Paulds, le 11/05/2012 - 20:06
@nycom : mon raisonnement sert à prouver qu'il existe un doute....


Totalement faux, ça prouve rien du tout. Si ce n'est qu'il peut exister des vulnérabilités sur n'importe quel site web.

"Pour les moins techniques d'entre vous cela signifie qu'au moins les tickets de support, si ce n'est l'ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n'importe quelle personne ayant des compétences dans le domaineâ€"

Les conclusions d'audit de sécurité sont basés sur des faits avérés, dont on a la preuve... pas sur les éventuels délires des auditeurs...
Inscrit le 11/05/2012
5 messages publiés
C'est vrai, la faille est sur leur helpdesk, a priori sur un système périphérique (quoique, on ne sait jamais ). Ce que cela montre, c'est que le "travail" a été mal fait. Quand on est un bon artisan (dans l'informatique ou ailleurs), on ne fait pas un bon boulot à un endroit et un boulot merdique dans un autre.
àa ne prouve rien, mais comme il a été déjà dit, ça génère un gros doute sur la fiabilité du système en question. Un bon artisan ne s'amuse pas à faire de la bouse s'il veut rester crédible.
Inscrit le 16/04/2012
106 messages publiés
voter?pourquoi faire?

mettre le president des zozos au pouvoir afin qu'il execute les ordres du FMI, alors les legislatives...

ce sera des elections truqées comme en Grece, ou on veut faire revoter pour que ça aille dans le bon sensImage IPB
Inscrit le 02/05/2012
3 messages publiés
zig, le 11/05/2012 - 18:30

Démontre-moi que la procuration est plus sûre et plus confidentielle que le vote à distance, que ce soit par courrier ou par Internet.

Ben la procuration ne risque pas les DDOS ou les injections SQL.
C'est surtout qu'une procuration faussée a un impact sur un seul vote.
Alors que le site de votes faussé à un impact sur beaucoup plus (pas le chiffre) de votes.

Donc la procuration est plus sûre.
Confidentielle, aussi. Ton ami (un odieux traître !) qui révèle tes choix politiques le dira sûrement à moins de personnes que ton choix affiché en clair sur une page internet.

Et je suis d'accord avec l'article, ce genre de site très important ne doit laisser la place à aucun doute !
Ce n'est pas quand il sera trop tard qu'il faudra apprendre que le site n'était pas assez sécurisé !
Inscrit le 08/09/2008
768 messages publiés
zig, le 11/05/2012 - 18:30
Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote.

Ou pas. Ce n'est pas parce qu'il y a une faille sur le système de hot-line qu'il y en a sur le système de vote. Ce n'est pas parce qu'il n'y a pas de faille sur le système de hot-line qu'il n'y en a pas sur le système de vote.

Sauf que si la boîte n'est pas foutue de sécuriser leur système de hotline, comment pourrait-on imaginer qu'ils sont capables de le faire avec le système de vote, donc le code source n'est pas disponible pour un audit d'envergure ?

zig, le 11/05/2012 - 18:30
Je peux te parler en connaissance de cause : je développe et administre un site Web sur lequel les données sensibles ne sont pas stockées ni gérées de la même manière que les forums utilisateurs qui n'ont aucune valeur confidentielle.

Bah si, sur un système de forum utilisateurs, il y a des données personnelles, et donc pour lesquelles tu as selon la loi française une obligation de moyens pour les protéger. Et tu nous avoues ici même que toi et ta boîte violez la loi française en ne mettant pas les moyens (que vous avez puisque vous les utilisez pour autre chose) de protéger les données personnelles de vos utilisateurs. Non, vraiment, sérieux tout ça...

zig, le 11/05/2012 - 18:30
La procuration .
Comment on faisait avant l'air du numerique ?

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.

La confidentialité comme la sécurité du vote restent supérieures avec la procuration que dans le système de vote par internet proposé. De plus, en cas de défaillance du système, seul un vote au plus est affecté. Avec le vote par internet, une défaillance et malice et c'est l'ensemble des votes faits par la plateforme qui est affectée. Mais bon, je vois que tu préconises la maximisation des risques de corruption et la minimisation de la sécurité et confidentialité du vote, pour au final très peu d'apport...

zig, le 11/05/2012 - 18:30
Il faut bien se rendre à l'évidence qu'il n'y a aucune solution satisfaisante pour les expats. Mais contrairement à ce que vous essayez de faire croire, le vote par Internet n'est pas la pire des solutions.

C'est une solution qui est pire que la situation actuelle. Quel est l'intérêt de dépenser beaucoup de pognon et de le filer à une boîte privée (étrangère qui plus est) pour avoir moins bien ? Aucun, sauf si l'objectif et d'exploiter le fait que ce qu'on achète est moins sécurisé et fiable...
Inscrit le 26/05/2009
1359 messages publiés
Je voterai jamais sur internet et puis mon bureau de vote est à 50m de chez moi, je vais pas faire ma feignasse et puis ça fait une ptite sortie
Inscrit le 08/09/2008
768 messages publiés
crasic, le 11/05/2012 - 18:33
Pour la petite annecdote j'ai reçu 19 fois le SMS de mon identifiant de vote : | Législative 2012-Vote par internet M. **** pour rappel votre identifiant de vote est "10 caractères alpha numérique sans majuscules". www.votezaletranger.gouv.fr |
Pourquoi 19 fois ? Ne me posez pas la question.

Wow, ça c'est une transmission sécurisée en plus le SMS... Le SMS ça va pour transmettre un code de confirmation qui n'est valable que 15 minutes, pas pour transmettre des identifiants pour voter... M'enfin a priori on n'est pas au bout des sorties d'aberrations complètes et on en viendra bientôt à se demander si c'est pas par dessein qu'on essaie de remplacer le système actuel par un système moins sécurisé et plus facile à frauder... Nan je rigole, en fait on se le demande déjà
Inscrit le 08/09/2008
768 messages publiés
Nycom, le 11/05/2012 - 20:12
Paulds, le 11/05/2012 - 20:06
@nycom : mon raisonnement sert à prouver qu'il existe un doute....


Totalement faux, ça prouve rien du tout. Si ce n'est qu'il peut exister des vulnérabilités sur n'importe quel site web.

Bah si, si une boîte fait une plateforme de support avec des failles monstrueuses qui ne devraient plus exister dans la moindre application faite par quelqu'un d'un tant soit peu compétent depuis qu'on est entré au 21e siècle (et même avant), il est plus que légitime d'avoir un doute dans leur capacité à faire une plateforme réellement sécurisée pour le vote par internet.

Donc la légitimité du doute, elle est très largement prouvée par cette faille. Ce qui n'a pas été prouvé, c'est l'existence d'une faille sur le système de vote lui-même, mais en même temps dans un contexte pareil, c'est à la boîte qui fournit l'outil de prouver qu'il n'y a pas de faille dans ce qu'ils essaient de vendre au vu du risque majeur pour la démocratie. Et clairement montrer qu'ils ne savent pas faire une bête plateforme de support sans avoir des failles de sécurité immondes, ça a plutôt l'effet inverse.
Inscrit le 02/04/2010
1029 messages publiés
zig, le 11/05/2012 - 18:57
crasic, le 11/05/2012 - 18:39
Il y a un truc qu'on appel des amis.

Oui et alors ? En quoi cela accroit la confidentialité et la sécurité du vote ?

En rien, mais si tu n'as pas confiance en tes amis, ta vie ne doit pas etre tres drole.
pour moi la reponse est simple un vote de cette maniere nest pas fiable ou tres peu de ce fait il met en peril la democratie francaise . pour cette seule raison je suis contre cette methode et n'en deplaise a ceux qui vivent loin d'un bureau de vote .
on fais tous des choix dans la vie . aller vivre a a l'etranger loin de tout moyens securise pour voter est un choix volontaire et dans la vie on doit assumer ses decisions et il est hors de question que les autres citoyens voir leur droits bafoue dans le choix de leur representants a causes de bulletins de votes plus que douteux.
Inscrit le 08/09/2003
4580 messages publiés
Merci pour cet excellent article !

Elle n'a pourtant suscité aucune réaction de la part de la presse, qui ne semble pas prendre la mesure de l'enjeu démocratique.

Mais depuis quelques temps, on se demande qui en a quelque chose à foutre de la démocratie et la presse plus particulièrement...
Inscrit le 26/02/2008
799 messages publiés
zig, le 11/05/2012 - 18:30

La procuration .
Comment on faisait avant l'air du numerique ?

Tu veux rire ?
La confidentialité du vote : inexistante puisque tu vas dire à un tiers ce que tu veux voter.
La sécurité du vote : inexistante puisque tu ne sais pas ce que va voter la personne.


Mais tu fais exprès là c'est pas possible autrement. Tu ne vois pas qu'il n'y a AUCUN rapport entre "déléguer son vote volontairement à quelqu'un de confiance avec les risques que cela comporte mais qui sont acceptés par l'électeur qui délègue" et le vote électronique tel qu'il est pratiqué ?

Le manque d'opacité de la procuration rendrait l'opacité du vote électronique acceptable ? On a vu mieux comme défense.
Inscrit le 26/02/2008
799 messages publiés
zig, le 11/05/2012 - 19:25
Pour le reste en cas de litige il n'y aura aucun moyen de recompter de façon fiable. Seul 1 bout de papier est un bout de papier, il est non modifiable contrairement à un bit.
J'espère que tu gardes ton argent chez toi sous ton matelas et que tu le confies pas à la banque parce que tu sais, maintenant, ils gèrent tout avec des ordinateurs et il leur suffit de modifier un bit pour que tu n'aies plus du tout d'argent.


Grossière erreur : tu confonds la trace et la valeur. Erreur commune sur internet, mais erreur quand même.

La trace informatique d'une valeur, ce n'est qu'une représentation. Si elle correspond à la réalité, c'est qu'elle représente bien la réalité. Si elle est fausse, c'est qu'elle ne représente pas bien la réalité. Ca ne veut pas dire qu'en effaçant la trace, la somme d'argent représentée disparaît. Ou alors c'est qu'il y a eu un vol de la banque, et là c'est très grave, mais ça arrive à chaque banqueroute, donc oui, c'est déjà arrivé et ça arrivera.

Ca n'a rien a voir avec le vote, ou la trace est le seul lien avec la réalité du vote et ou il importe que la trace corresponde à la réalité.

Donc comme d'habitude, analogie merdique entre choses qui n'ont rien a voir dans le but de semer confusion, discussions dans le vide, et générer de l'auto-satisfaction devant sta propre supériorité intellectuelle dans laquelle tu te vautres avec un plaisir qu'on devine infini. En gros, pauvre gars quoi.
[message édité par softangel le 12/05/2012 à 00:38 ]
Inscrit le 18/05/2010
275 messages publiés
... Bon ... Ca m'étonne ... personne la fait ... je me dévoue alors:

BEURK C'EST DU MICROSOFT.
Inscrit le 24/08/2010
51 messages publiés
Guillaume, le 11/05/2012 - 17:14

Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?


Voter par correspondance postale.
C'est pas terrible, mais le vote par internet est pire.
Inscrit le 24/08/2010
51 messages publiés
Paulds, le 11/05/2012 - 20:06
@nycom : mon raisonnement sert à prouver qu'il existe un doute....


L'enfer est pavé de bonnes intentions.
En montrant une faille, vous permettez à l'opérateur de la boucher puis d'expliquer qu'il ne peut y en avoir d'autre (cf. les longs commentaires de cette teneur).
C'est donc une erreur stratégique de s'aventurer sur ce terrain. Le seul argument à marteler est l'absence de transparence (qui empêche au passage de constater pas mal de dysfonctionnements).
Bien cordialement.
Inscrit le 24/08/2010
51 messages publiés
zig, le 11/05/2012 - 19:13


Si vous êtes inscrit sur la liste électorale consulaire 2012 et que vous avez choisi de voter à l'étranger pour l'élection de députés par les Français établis hors de France, les modalités de vote et dates sont les suivantes :
1) Modalités de vote :
vote à l'urne en personne
vote par procuration
vote par correspondance sous pli fermé
si vous en avez fait la demande à votre consulat avant le 1er mars 2012.
vote par internet


C'est-à-dire que seuls ceux qui en ont fait la demande pourront voter par Internet. Cela n'est en rien imposé.


Non, vous avez mal lu
seuls ceux qui en ont fait la demande pourront voter par Internet par correspondance, sinon c'est vote en personne, par procuration ou par internet
Inscrit le 24/08/2010
51 messages publiés
Matif, le 12/05/2012 - 01:30
zig, le 11/05/2012 - 19:13


Si vous êtes inscrit sur la liste électorale consulaire 2012 et que vous avez choisi de voter à l'étranger pour l'élection de députés par les Français établis hors de France, les modalités de vote et dates sont les suivantes :
1) Modalités de vote :
vote à l'urne en personne
vote par procuration
vote par correspondance sous pli fermé
si vous en avez fait la demande à votre consulat avant le 1er mars 2012.
vote par internet


C'est-à-dire que seuls ceux qui en ont fait la demande pourront voter par Internet. Cela n'est en rien imposé.

Il fallait lire :

Non, vous avez mal lu
seuls ceux qui en ont fait la demande pourront voter par correspondance postale, sinon c'est vote en personne, par procuration ou par internet
Inscrit le 23/09/2008
1745 messages publiés
zig, le 11/05/2012 - 17:09
Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?


Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote. Mais tu peux fermer les yeux et faire confiance si tu préfères... libre à chacun.


Je pense que dans ce cas précis la liberté d'opinion du troll zig est totalement hors de propos dans la mesure ou le vote électronique nous engage tous sur une pente bien savonnée.

Aucun gage de sécurité: ni pour les votants qui seront loggés nominativement, (la base de données obtenue pouvant ensuite être facilement valorisée), ni pour la démocratie, puisqu'une base de données à accès public depuis internet est une cible de choix pour qui sait s'y prendre. Vu l'enjeu il est inutile de se demander si elle sera la cible d'une attaque.

Donc, considérant la nature volatile de l'informatique couronnée de l'opacité des systèmes que l'on tente de nous imposer, le vote électronique est clairement un ennemi de la démocratie.

Voici le casting:

- Les abrutis qui interrogés dans la rue par BFMTV trouvent le vote électronique 'pratiques', sans voir plus loin que le bout de leur nez.

- Les décideurs qui confondent progrès et gadgetisation nuisible (peut-être aidés en cela par une semaine de vacances au soleil tous frais payés, allez savoir).

- Les sociétés privées qui vendent cette merde à prix d'or et pour lesquelles le business passe avant tout.

La démocratie, ça s'use lorsqu'on ne s'en sert pas, et malheureusement la notre présente déjà de sérieuses traces d'usure.
Inscrit le 23/09/2008
1745 messages publiés
Nycom, le 11/05/2012 - 18:25
Guillaume, le 11/05/2012 - 17:11

zig, le 11/05/2012 - 17:09

Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.


On rêve : il a réussi à casser le système de hot-line et donc Numerama en conclut que le système n'est pas fiable ?


Ne fais pas semblant de pas comprendre. Si une faille existe sur cette page, une faille pourrait exister sur les pages de vote. Mais tu peux fermer les yeux et faire confiance si tu préfères... libre à chacun.


Désolé Guillaume mais tu dis n'importe quoi... Pour avoir fait une centaine d'audits de sécurité, une faille sur une page n'implique absolument pas une faille sur une autre page...

Par ailleurs, la faille se situe sur l'appli web du helpdesk... L'IP de monvotesecurise.votezaletranger.gouv.fr est 217.111.179.113. Le screenshot pointe vers l'IP 212.36.65.19:13412...


Tout de même, une faille aussi grossière n'est pas rassurante car elle pue l'amateurisme. Se protéger contre les injections SQL c'est quand même le B-A BA de la sécurité.
Inscrit le 21/11/2007
271 messages publiés
while(feeders)
{
troll();
}
Inscrit le 04/08/2008
63 messages publiés
Nycom, le 11/05/2012 - 18:25

Par ailleurs, la faille se situe sur l'appli web du helpdesk... L'IP de monvotesecurise.votezaletranger.gouv.fr est 217.111.179.113. Le screenshot pointe vers l'IP 212.36.65.19:13412...



1) Non seulement ça mais le site de vote et le web du helpdesk ne sont même pas hébergés par la même société !

monvotesecurise.votezaletranger.gouv.fr 217.111.179.113
Hosting: Atlas-internet-solutions-sa

Helpdesk 212.36.65.19
Hosting: OGIC Informatica S.L. - ADAM Internet

2) Il est extrêmement peu probable que le helpdesk (peut-être un script du commerce) soit programmé par les mêmes personnes que le système de vote

3) Je ne connais aucune institution ou société au monde qui accorde le même niveau de sécurité à une application fondamentale et à un helpdesk public (c'est sans doute un tort mais c'est comme ça). On ne peut rien déduire de l'un qui concerne l'autre.

4) L'erreur 500.100 relevée... Elle se produit justement quand l'utilisateur tentant d'accéder à la page n'a pas les permissions suffisantes pour faire tourner un script...

"the user attempting to access the page does not have sufficient permissions to run the script " Source: Microsoft KB 255650

Ben oui, elle est pas allée loin la tentative d'injection. (OK elle a pu entrer, ne rien faire, mais entrer quand même : mauvais "parsing" vraisemblablement)

Pour autant je suis tout à fait d'accord pour dire que même ça, ça ne devrait pas arriver et qu'il y a un défaut qu'il faut corriger. Absolument, totalement, incontestablement... sauf que, tant pour le logiciel que pour le hardware et le datacenter, ça n'a rien a voir avec le système de vote.

Maintenant, je ne dis pas que CE système de vote précis est sans défaut ni suffisamment fiable : je n'en sais rien, et M. Da Silva ou Numerama, ou aucun contributeur non plus. Nous ne l'avons pas TESTE.

Je ne dis pas non plus que le vote par Internet en général est sans défaut : de par la nature même d'Internet, il y en aura toujours, mais, pour avoir souvent participé au dépouillement des bulletins de votes, je peux vous assurer que les risques potentiels du système traditionnel sont assez étonnants.
Tout ça manque d'etudes sérieuse et objectives, sans complaisance mais aussi sans théorie du complot ou sensationalisme. (Je respecte d'ailleurs tout à fait l'avis de Chantal Enguehard, directrice de recherche de l'Observatoire "Usage et technologie de vote" publié par Numerama, mais cela reste une étude encore trop limitée.)
[message édité par millerNA le 12/05/2012 à 06:44 ]
Inscrit le 26/05/2009
1359 messages publiés
millerNA, le 12/05/2012 - 06:38
pour avoir souvent participé au dépouillement des bulletins de votes, je peux vous assurer que les risques potentiels du système traditionnel sont assez étonnants.


Il y avait pas eu un dépouillement où un gars avait mis des bulletins dans ses chaussettes, il y a quelques années. Il me semble qu'il était encarté à l'ump.
Inscrit le 17/01/2006
3520 messages publiés
zig, le 11/05/2012 - 18:39
. Bref, il est très facile de pouvoir voter sans passer par le net.


Donc, comme je le disais plus haut :
1) le secret du vote n'a pas été respecté car tu as été obligé de dire à un tiers ce que tu souhaitais voter.
2) tu ne sais absolument pas pour qui tu as voté.

Donc tu as encore moins de garantie que pour le vote à distance (que ce soit par correspondance ou par Internet). Mais tu peux imaginer que certains ne soient pas satisfaits de ce manque de confidentialité et de sécurité de la procuration ?


Autant je suis d'accord avec toi sur le fait que Numérama va trop vite en besogne sur la sécurité du bousin, autant il y a une différence massive entre ça et la procuration :

Avec la procuration, au pire, UNE personne truque UN vote. Avec un système informatique mal conçu, une personne peut truquer la totalité des votes des français de l'étranger. Que fera-t-on si 100% des votes par internet des français de l'étranger sont remplacés par un vote pour Mickey Mouse ?
Inscrit le 01/04/2012
6 messages publiés
Bonjour
N'importe quel programme informatique peut comporter des backdoor, quelque fois très difficile à repérer, même pour un spécialiste
Je dis difficile à repérer mais c'est lorsque le code est libre, ouvert, or dans le cas du vote électronique le logiciel utilisé est systématiquement copyrighté et relève du secret industriel
àa revient à transférer, à fin de comptage, les bulletins votes dans un endroit inconnu, ceux ci étant comptés par des personnes inconnues, et ... à faire confiance après divulgation des "résultats"

La ficelle est vraiment grosse
Inscrit le 20/09/2011
5137 messages publiés
zig et puce, tu oublies toujours la confiance librement donnée à une personne de ton choix (cas de la procuration).


Tu peux toujours argumenter dans tous les sens que tu veux : la procuration ne donne strictement aucune certitude sur ton vote.
Je répète : elle oblige à l'abandon de la confidentialité du vote.
Elle est le seul système où le respect du votant n'est pas vérifié, ni certifié.

Il dit qu'il voit pas le rapport...

merci pour la super démonstration, maintenant dans la vraie vie le serveur de base de données est ptet bien sur une troisième ip... genre comme dans 99% des installs qui doivent assumer un minimum de charge...

mais bien tenté... autre chose ?

M. da Silva : personnellement je n'ai pas affirmé avoir démontré des failles.
Un intervenant sur le forum a noté des différences d'IP entre le serveur du vote par Internet et celui que vous prétendez avoir craqué.
Il n'est pas anormal de vous demander des explications.
Et vous ne pouvez pas vous en tirer avec une pirouette.

Que le serveur de base de données soit ou non sur la même machine, c'est peut-être une explication.

Mais vous avez affirmer quelque chose. Quelqu'un note un point anormal. ne vous en débarrassez pas à la légère.

Maintenant, est-ce que vous pouvez donner des présomptions sérieuses sur les défaillances du système de vote par Internet ou pas ?

zig et puce, tu oublies toujours la confiance librement donnée à une personne de ton choix (cas de la procuration).

Je n'oublie rien du tout.
J'explique juste que si on veut démolir le vote par Internet en expliquant que ce n'est pas sûr, il serait normal d'appliquer les mêmes critères de confidentialité et de sécurité sur les autres types de vote.
Et à ce moment-là, on verrait que le vote par procuration est le moins sûr d'entre eux.

Sauf qu'avec le système de procuration, il est impossible de tricher en masse sur une élection.

J'espère que tu plaisantes ?
Va voir dans les bureaux de vote sur les procurations : la majorité des militants PS, UMP, FN du quartier et autres ont des procurations de la part de résidents de maisons de retraites.

Et les relevés de comptes sont toujours envoyés par la poste non ?

Tu es trop drôle : tu n'as pas l'impression que les relevés de compte sont imprimés par des programmes informatiques. Qu'est-ce qui empêche ta banque de créer des lignes de débit bidon sur ton relevé de compte et de les imprimer ? Parce que tu as un morceau de papier, tu crois que tu es protégé ?

Des fois j'ai l'impression que tu es une bonne femme qui veut absolument avoir le dernier mot ;-)

Des fois j'ai l'impression que tu es un crétin sexiste.
Pardon : ce n'est pas une impression

Quand on est un bon artisan (dans l'informatique ou ailleurs), on ne fait pas un bon boulot à un endroit et un boulot merdique dans un autre.

Je pense que tu ne travailles pas dans le domaine privé.
Bien sûr que si : tu ne vas pas passer autant de temps à sécuriser un système sensible qu'à sécuriser un système sans aucune implication. Tu as un chef qui te demande d'être rentable, c'est-à-dire d'être aussi efficace que possible par rapport aux exigences du client.

Un bon artisan ne s'amuse pas à faire de la bouse s'il veut rester crédible.

Un bon artisan ne passe pas 85 heures à sculpter le manche de son tournevis.

Ben la procuration ne risque pas les DDOS ou les injections SQL.
C'est surtout qu'une procuration faussée a un impact sur un seul vote.
Alors que le site de votes faussé à un impact sur beaucoup plus (pas le chiffre) de votes.

Donc la procuration est plus sûre.
Confidentielle, aussi. Ton ami (un odieux traître !) qui révèle tes choix politiques le dira sûrement à moins de personnes que ton choix affiché en clair sur une page internet.

Il n'y a pas besoin de moyens techniques sophistiqués pour mettre un bulletin par procuration.
Quant à celui à qui tu indiques le choix de ton vote, tu es en train de m'expliquer qu'il ne peut pas faire une page Internet disant que Cham a désiré voter pour X ?
Tu es charmant dans tes arguments...

Sauf que si la boîte n'est pas foutue de sécuriser leur système de hotline, comment pourrait-on imaginer qu'ils sont capables de le faire avec le système de vote, donc le code source n'est pas disponible pour un audit d'envergure ?

je vais juste t'expliquer un truc :
J'ai développé et j'administre un système de données relativement confidentielles. Ces données sont cryptées et accessibles uniquement par des mécanismes que je ne t'expliquerais pas.
Ensuite, sur le même site, il y a des forums de discussions pour les adhérents de mon site : tu crois vraiment que j'ai passé des milliers d'heures à développer et sécuriser le système de forums ?

Bah si, sur un système de forum utilisateurs, il y a des données personnelles, et donc pour lesquelles tu as selon la loi française une obligation de moyens pour les protéger.

Tu confonds les obligations légales et les obligations de confidentialité sur la protection de données confidentielles.
Ne t'en fais pas choupinou : les données des forums sont parfaitement conformes aux obligations de la CNIL et de la loi de 1978. Mais pour les autres données qui ne sont pas dans le forum, il y a des mécanismes de protection qui vont largement au-delà des recommandations de la CNIL (il n'y a d'ailleurs aucune donnée personnelle des utilisateurs du système)

Et tu nous avoues ici même que toi et ta boîte violez la loi française en ne mettant pas les moyens

Excellent : tu ne sais pas de quoi tu parles mais tu sais que je viole la loi française.
J'en parlerais à la cour régionale des comptes et la CNIL qui sont venus par deux fois dans les 7 ans qui viennent contrôler ce système et qui n'ont trouvé aucun problème.
Mais toi, tu es certainement plus qualifié qu'eux pour parler d'un système dont tu ne connais rien.

La confidentialité comme la sécurité du vote restent supérieures avec la procuration que dans le système de vote par internet proposé.

Ca c'est une affirmation, ce n'est pas une démonstration.
Tu fais comme tu veux, mais arriver à faire croire que dire à quelqu'un d'autre la manière dont tu veux voter préserve la confidentialité du vote, c'est à se taper le cul par terre.

on, vous avez mal lu
seuls ceux qui en ont fait la demande pourront voter par Internet par correspondance, sinon c'est vote en personne, par procuration ou par internet

ceux qui ont fait la demande pourront voter par Internet sinon ils pourront voter par Internet ?
Faudrait penser à apprendre à lire, non ?

Aucun gage de sécurité: ni pour les votants qui seront loggés nominativement, (la base de données obtenue pouvant ensuite être facilement valorisée), ni pour la démocratie, puisqu'une base de données à accès public depuis internet est une cible de choix pour qui sait s'y prendre. Vu l'enjeu il est inutile de se demander si elle sera la cible d'une attaque.

Je pense que tu sais que les cahier d'émargement (manuels ou informatiques) peuvent être consultés par n'importe quel citoyen.


Je dis difficile à repérer mais c'est lorsque le code est libre, ouvert, or dans le cas du vote électronique le logiciel utilisé est systématiquement copyrighté et relève du secret industriel

Je vais te soumettre un problème :
je te donne l'accès ftp sur mon serveur de vote dans le répertoire vote/codesource
Tu pourras vérifier tout ce que tu veux.
Tu pourras même le compiler et vérifier la concordance du code compilé avec le répertoire vote/executable

Mais jamais tu ne pourras savoir que c'est le répertoire vote/executabletruque qui est présenté aux utilisateurs.

Alors code source libre ou pas, cela n'a aucune importance.
Inscrit le 20/09/2011
5137 messages publiés
zig et puce, tu oublies toujours la confiance librement donnée à une personne de ton choix (cas de la procuration).

À la différence du vote par internet où tu n'as pas le choix : tu dois faire confiance sans rien connaître à la "chose" à qui donne la confiance [ou ne pas voter (ou choisir un autre mode)


Les systèmes de vote à distance peuvent faire l'objet de contrôle a priori. On peut discuter de la validité ou pas de ces contrôles.
Ils peuvent également faire l'objet de contrôle a posteriori en cas de doute. On peut également discuter de la validité ou pas de ces contrôles.

Le vote par procuration ne présente aucune de ces garanties, ni a priori, ni a posteriori.
Si le vote par procuration se passait en présence d'un tiers (un huissier par exemple), je n'aurais rien à dire.
Mais là, on prend le problème pas n'importe quel bout :
1) tu dis à Marcel que tu veux voter Dupont
2) tu ne sais pas si Marcel a voté Dupont ou Dubois
3) tu n'as aucun moyen de le savoir
4) tu n'as aucun recours possible

Je ne conteste pas le fait que le vote par procuration soit un moyen pratique de voter quand tu en es empêché. Je conteste juste le fait que certains expliquent que le vote par Internet est moins sûr que le vote par procuration.
Je conteste le fait que ces personnes appliquent une grille de critères négatifs sur le vote par Internet et qu'ils n'appliquent pas la même grille sur les autres formes de vote.
Inscrit le 24/08/2010
51 messages publiés
zig, le 12/05/2012 - 14:04
zig et puce, tu oublies toujours la confiance librement donnée à une personne de ton choix (cas de la procuration).

À la différence du vote par internet où tu n'as pas le choix : tu dois faire confiance sans rien connaître à la "chose" à qui donne la confiance [ou ne pas voter (ou choisir un autre mode)


Les systèmes de vote à distance peuvent faire l'objet de contrôle a priori. On peut discuter de la validité ou pas de ces contrôles.
Ils peuvent également faire l'objet de contrôle a posteriori en cas de doute. On peut également discuter de la validité ou pas de ces contrôles.


Les contrôles a priori et les contrôles a posteriori sont envisageable dans le monde des Bisounours. Ils n'ont aucune validité opérante dans le monde réel.

De toute façon le vote par internet EST un vote par procuration : le choix de l'électeur est confié à un dispositif qui va transformer ce choix et, in fine, peut-être comptabiliser ce que l'électeur avait choisi, peut-être pas ; personne ne peut le savoir (et surtout pas l'électeur).
Il y a cependant - au moins - trois différences de taille :
- le système de vote reçoit plusieurs milliers de vote
- le système de vote a été conçu, réalisé, maintenu, etc. par des inconnus
- les entités indésirables présentes sur l'ordinateur de l'électeur peuvent aussi intervenir (changer le choix ou le dévoiler à des tiers)

Bien cordialement
Inscrit le 22/03/2012
19 messages publiés
Mehmnoch, le 11/05/2012 - 17:20
Guillaume, le 11/05/2012 - 17:14
zig, le 11/05/2012 - 17:09
Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?


Une mauvaise solution à un vrai problème reste une mauvaise solution.


Moi je propose que ces gens là prennent des vacances et reviennent en France pour accomplir leur devoir civique.


Encore faut-il pouvoir les prendre, ces vacances, et pouvoir se les payer... Pourquoi n'installent-ils pas simplement des bureaux de vote dans les ambassades ?
Inscrit le 20/09/2009
6106 messages publiés
Matif, le 12/05/2012 - 15:48
Les contrôles a priori et les contrôles a posteriori sont envisageable dans le monde des Bisounours. Ils n'ont aucune validité opérante dans le monde réel.


Du coup, vous confirmez bien que le contrôle démocratique n'est qu'un mythe dans le cadre du vote électronique. Dans le monde réel (contrairement au "monde des Bisounours"), le "vote électronique" n'est donc pas compatible avec le mot démocratie.
Merci pour vos précisions.
Inscrit le 28/06/2004
358 messages publiés
zig et puce, tu oublies toujours la confiance librement donnée à une personne de ton choix (cas de la procuration).

À la différence du vote par internet où tu n'as pas le choix : tu dois faire confiance sans rien connaître à la "chose" à qui donne la confiance [ou ne pas voter (ou choisir un autre mode)


Les systèmes de vote à distance peuvent faire l'objet de contrôle a priori. On peut discuter de la validité ou pas de ces contrôles.
Ils peuvent également faire l'objet de contrôle a posteriori en cas de doute. On peut également discuter de la validité ou pas de ces contrôles.

Le vote par procuration ne présente aucune de ces garanties, ni a priori, ni a posteriori.
Si le vote par procuration se passait en présence d'un tiers (un huissier par exemple), je n'aurais rien à dire.
Mais là, on prend le problème pas n'importe quel bout :
1) tu dis à Marcel que tu veux voter Dupont
2) tu ne sais pas si Marcel a voté Dupont ou Dubois
3) tu n'as aucun moyen de le savoir
4) tu n'as aucun recours possible

Je ne conteste pas le fait que le vote par procuration soit un moyen pratique de voter quand tu en es empêché. Je conteste juste le fait que certains expliquent que le vote par Internet est moins sûr que le vote par procuration.
Je conteste le fait que ces personnes appliquent une grille de critères négatifs sur le vote par Internet et qu'ils n'appliquent pas la même grille sur les autres formes de vote.


Je vais recentrer les trucs, car AVANT MEME QU'IL Y AIT UNE FAILLE, le vote par internet n'est PAS FIABLE.

Alors avant de raconter des conneries (j'en ai vu passer un certain nombre de ta part depuis le début, mais t'es pas tout seul) le vote doit répondre a plusieurs critères
1 Secret. on ne doit pas savoir pour qui toi tu as voté (isoloir)
2 publique. On doit pouvoir tout controler, depuis l'état initial (urne vide), a l'état final (résultat du bureau) en passant par toutes les étapes (urne transparent sans double fond, extraction des votes, et décompte)
3 empêchant les pression. Le fait qu'il y ait un espace publique entre l'isoloir et l'urne, et le fait que tu soit tout seul dans l'isoloir et vérifié, permet d'empecher d'apporter une qcq preuve sur ce que tu as voté.
4 permet un recompte des voix en cas de doute

La procuration, c'est dire "est ce que tu peux voter pour moi".
Une seule procuration n'est accepté par personne, cela pour éviter les fraudes.
La procuration n'a pas pour but de te fournir des informations sur le vote (tes points 3 et 4). Tu veux en être sur, ben tu te démerdes pour aller à un bureau de vote!

Le vote par correspondance... C'est une idiotie et une porte ouverte aux fraudes

Le vote par internet... c'est une énorme connerie et un hangar ouvert au fraudes.

Pour rappel le vote par internet
- n'est pas secret. Ton vote est mis en correspondance avec ton identité
- n'est pas publique, aucun controle du fonctionnement possible. Aucune confiance ne peut donc être donné dans le résultat.
- n'empêche pas les pressions sur les votants.
- ne permet aucun recompte de confiance.

Bref, ce n'est PAS un système de vote, et ne permet PAS de donner ton avis.
Par contre ca permet aux autorité de savoir pour qui tu as voulu voté.
Et ca permet aux personnes qui controle les résultats (ministère de l'intérieur) et/ou le code (industriel,...) et/ou l'hébergement de la pf d'orienter les décisions politiques en choissisant des


Maintenant a toi de nous apporter la preuve que le vote par internet empêche cela (audit par un tiers de confiance, certitude que le code qui tourne est celui audité, que la BD n'ait pas été remplie avant le vote, modifié après, ...)
Inscrit le 24/08/2010
51 messages publiés
Arys, le 12/05/2012 - 15:52


Encore faut-il pouvoir les prendre, ces vacances, et pouvoir se les payer... Pourquoi n'installent-ils pas simplement des bureaux de vote dans les ambassades ?

Il y a des bureaux de vote dans les ambassades.
Inscrit le 24/08/2010
51 messages publiés
MdMax, le 12/05/2012 - 16:22

Matif, le 12/05/2012 - 15:48
Les contrôles a priori et les contrôles a posteriori sont envisageable dans le monde des Bisounours. Ils n'ont aucune validité opérante dans le monde réel.



Du coup, vous confirmez bien que le contrôle démocratique n'est qu'un mythe dans le cadre du vote électronique. Dans le monde réel (contrairement au "monde des Bisounours"), le "vote électronique" n'est donc pas compatible avec le mot démocratie.
Merci pour vos précisions.


:-)
Les discussions, c'est bien, mais insuffisant. Il faut AGIR (car ce ne sont pas les partis politiques qui le feront à notre place) www.ordinateurs-de-vote.org/Vote-electronique-agissons.html
[message édité par Matif le 13/05/2012 à 13:28 ]
Inscrit le 15/03/2006
1921 messages publiés
Où a t'il montré la moindre faille de sécurité sur le système de vote ?

Un système fermé et non publié est par définition suspect.
Seul.un système ayant été revu publiquement peut être admis dans ce cas de figure.
C'est un principe fondamental de sécurité.
Et en ce qui concerne la démocratie le secret en dehors de l'isoloir, n'a pas lieu de pointer le moindre bout du nez.


Messieurs de Numerama : que proposez-vous comme solution pour qu'un français vivant à 1000 kilomètres d'un bureau de vote puisse voter dans les meilleures conditions possibles ?

Voter par procuration : la confiance dans un ami sera tjs olus grande que celle dans une machine pilotée par des intérêts PRIVÉS !
db
Inscrit le 26/04/2005
367 messages publiés
http://www.lepoint.f...-deuxieme-tour/

Présidentielle 2012, chiffres officiels:
Hollande 51.63% soient 17 977 639 voix
Sarkozy 48.37% soient 16 844 052 voix

Ca peut être utile 1 million de voix (mais pas assez)...
[message édité par SkeROy le 14/05/2012 à 11:10 ]
Inscrit le 13/08/2002
6904 messages publiés
un coucou à Paul l'auteur de l'excellent livre "piratons la démocratie"

Sinon, en tant qu'agence de dev web, je peux dire que c'est pas un boulot super... @guillaume : y'a eu un appel à projet, avec le cahier des charges ? quel ministère a payé ?

Le prob c'est qu'on sait pas si c'est même sur un dédié ou un mutualisé (va savoir...) et que cette faille pourrait induire une série de chose rigolotes (XSS, failles php, javascript, SQL (again)) tous les sites ont des failles car ils sont sur des serveur informatique (LAMP au hasard) qui sont eux même plein de failles.

Je conseille également le livre "le vote électronique, les boites noires de la démocratie"

Et re : https://addons.mozil.../sql-inject-me/

Le plus drôle c'est que ça prends 1 sec de se protéger http://www.php.net/m...cape-string.php
Inscrit le 24/08/2010
51 messages publiés
SkeROy, le 14/05/2012 - 11:09
http://www.lepoint.f...-deuxieme-tour/

Présidentielle 2012, chiffres officiels:
Hollande 51.63% soient 17 977 639 voix
Sarkozy 48.37% soient 16 844 052 voix

Ca peut être utile 1 million de voix (mais pas assez)...

Aucun rapport : il s'agit des élections LEGISLATIVES
Inscrit le 02/04/2010
1029 messages publiés
Prozac, le 12/05/2012 - 09:54

Que fera-t-on si 100% des votes par internet des français de l'étranger sont remplacés par un vote pour Mickey Mouse ?

Je ne sais pas pour toi, mais moi j'eclaterais de rire.
(Et mon "bulletin" virtuel serait dans le lot donc oui, je suis concerne.)
Inscrit le 09/08/2010
598 messages publiés
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux