Le vote sur Internet a commencé cette semaine pour les Français de l’étranger. Alors que 45 000 d’entre eux ont déjà voté, des doutes sur la qualité, la fiabilité et la sincérité du dispositif sont apparus. Soucieux de ne pas laisser la polémique l’emporter, le ministère des affaires étrangères a organisé un point presse improvisé vendredi pour déminer le terrain.

À la faveur de la réforme constitutionnelle de 2008, les expatriés français peuvent pour la première fois élire onze députés. Afin qu’ils puissent exercer pleinement leur droit de vote au même titre que les Français de métropole et d’outre-mer, il a été décidé de développer le vote par Internet. Cette solution s’ajoute aux trois autres moyens existants : le vote au consulat, la procuration et le vote par correspondance.

Pour ses promoteurs, le vote par Internet vise à répondre à une exigence constitutionnelle : l’accessibilité au suffrage. En effet, tous les expatriés ne vivent pas à proximité d’un consulat et seuls quelques-uns sont prêts à parcourir 500 ou 1000 kilomètres pour glisser un bulletin dans l’urne. Et les alternatives, la procuration et le vote par correspondance, présentent des faiblesses évidentes.

Cependant, le vote sur Internet est loin de donner entière satisfaction. D’une part parce que son fonctionnement est d’une grande opacité et d’autre part parce que sa fiabilité n’est pas absolument garantie. Des doutes sur la qualité technique de l’application mise à disposition des expatriés sont d’ailleurs apparus ces derniers jours. Sans parler de l’épisode assez ubuesque sur la version Java à utiliser.

Face aux interrogations croissantes sur le vote électronique, le ministère des affaires étrangères a organisé une opération de communication dans l’urgence, en envoyant les invitations jeudi soir pour un point presse le lendemain après-midi. L’occasion pour Bernard Valéro, porte-parole, et François Saint-Paul, directeur des Français de l’étranger, de déminer le terrain.

45 000 Français ont déjà voté par Internet

En préambule du point presse, et comme pour balayer les récents témoignages de Français de l’étranger qui rencontrent des difficultés pour voter, le ministère des affaires étrangères a tenu à mettre en avant l’intérêt qu’ont les expatriés vis-à-vis de ce mécanisme. En effet, 45 000 personnes ont pu voter par Internet pour les élections législatives, deux jours après l’ouverture du scrutin.

Pour le ministère, il ne faut pas oublier que la vie à l’étranger entraîne des contraintes particulières sur l’exercice du droit de vote. Sur les 2 millions d’expatriés, près de 1,1 million peuvent voter. Même si 800 urnes à travers le monde ont été mises en place dans les consulats, il faut des réponses spécifiques pour favoriser la participation parce que le cadre est différent.

« C’est la raison pour laquelle les Français établis hors de France peuvent bénéficier de modalités de votes complémentaires, auxquelles n’ont pas accès les électeurs en France. Le droit admet de telles différences de traitement lorsque les différences de situation le justifient. Ce qui est le cas pour les Français établis hors de de France » argumente le ministère.

La connexion chiffrée HTTPS est obligatoire

Soucieux de contrer les multiples inquiétudes qui sont apparues ces derniers jours, le ministère s’est efforcé d’y répondre point par point. François Saint-Paul s’est arrêté sur le protocole HTTPS en assurant que celui-ci est obligatoire pour accéder au vote électronique. C’est une condition de sécurité impérative, comme le confirme un intervenant sur Twitter.

Dans les faits, la recommandation de la CNIL est donc manifestement suivie pour cette élection. L’autorité de contrôle a en effet invité les pouvoirs publics à interdire le vote sur Internet si le protocole HTTPS n’est pas disponible pour une raison ou pour une autre. « Le secret et l’intégrité de leur vote ne pourront être garantis » sans lui, précise le Code électoral.

Le HTTPS offre toutefois une protection limitée, dans la mesure où des logiciels comme SSLStrip peuvent être utilisés pour atteindre les données transitant dans une liaison chiffrée. Cependant, le bulletin lui-même « est chiffré avec un algorithme cryptographiquement fort« . Autrement dit, la seule interception de la liaison sous HTTPS ne permet pas d’altérer le contenu du bulletin ou de le lire, selon le Quai d’Orsay.

La localisation de l’urne électronique

L’emplacement de l’urne électronique, c’est-à-dire le système qui réceptionne les bulletins dématérialisés des Français vivant à l’étranger, est en France. Le ministère assure qu’aucun élément critique du dispositif se situe hors de l’Hexagone. La position exacte de l’urne n’a toutefois pas été indiquée, François Saint-Paul se contentant de dire qu’il s’agit d’un endroit bunkerisé et situé hors des couloirs aériens.

Concernant le système informatique central, celui-ci « est situé pour les serveurs isolés dans les locaux du ministère à Paris et pour les serveurs en ligne dans les locaux du prestataire d’hébergement à Vendôme« . Sont critiques les opérations suivantes : génération des clés, publication de l’élection, édition des listes d’émargement…

Au début du mois, le blog HardKor a constaté que certains contenus web sont hébergés dans un centre de traitement de données géré par une société espagnole, Scytl. Pour le ministère, la participation d’une entreprise étrangère est la conséquence normale du développement de l’Union européenne et de l’évolution du Code des marchés publics, ouvrant la possibilité de faire appel à des sociétés européennes.

Un audit du code source mené par l’ANSSI et deux sociétés

Parmi les entraves à à la possibilité de vérifier l’intégrité de l’urne électronique, le Parti Pirate a remarqué que le code source des logiciels utilisés est indisponible, au motif qu’il s’agit d’un secret industriel. Le problème, c’est que cette décision pousse à une confiance aveugle alors que la démocratie a un besoin permanent et croissant de transparence.

Pour rassurer sur ce point, le Quai d’Orsay a indiqué que « le logiciel utilisé par le système de vote a fait l’objet d’une vérification par le ministère des affaires étrangères mais aussi d’une double analyse de code source disjointe par les experts de l’ANSSI et par les experts indépendants« . Les conclusions de ces expertises ont été positives, précise le ministère.

Par ailleurs, « le code source du logiciel audité fait l’objet d’une signature cryptographique afin de garantir que c’est ce logiciel et aucun autre qui est installé sur les serveurs mis en œuvre« . Ces mesures permettent d’assurer un niveau très élevé de sécurité et de fiabilité. Reste que dans la mesure où le vote est au centre de la démocratie, le système devrait être vérifiable et testable par tout ceux qui le souhaitent.

Une journalisation de tous les évènements

Conscient qu’aucun système n’est infaillible, le Quai d’Orsay précise qu’une « journalisation sécurisée des évènements applicatifs est mise en œuvre et utilise un chaînage cryptographique de son contenu afin de rendre inaltérable cette journalisation : une tentative de modification externe de ces journaux serait immédiatement détectée« .

Pour le ministère, ces journaux inaltérables mis à disposition sur un serveur de monitoring rendent transparentes toutes les interventions techniques sur le système de vote pendant le scrutin, qui ne peuvent se dérouler qu’avec l’accord du Bureau de Vote Électronique (BVE).

Et si une fraude est constatée ? Le BVE a la possibilité d’interrompre définitivement ces opérations de vote par Internet si la sincérité du scrutin, leur secret ou leur accessibilité n’est plus garanti. Dès lors, les suffrages déjà exprimés ne seront pas pris en compte, ni même dépouillés. Les Français de l’étranger devront opter pour une des trois autres méthodes restantes.

Au-delà des considérations techniques

Si le ministère des affaires étrangères s’est efforcé de rassurer sur le plan technique en évoquant toutes les mesures et tous les processus pour sécuriser le vote sur Internet, il demeure une question de fond irrésolue. Tout le système repose sur le principe de la confiance, alors que la transparence doit être l’élément au centre du dispositif, à l’image de ce qu’il se fait dans les bureaux de vote traditionnels.

Il est impossible pour ceux qui le souhaitent – et qui en ont les compétences – de vérifier le code source, de contrôler l’intégrité des serveurs utilisés pour générer la clé verrouillant l’urne électronique, de tester la sécurité des infrastructures ou de vérifier la qualité des logiciels mis en œuvre pour ce scrutin. Pour une démocratie cherchant à tendre vers l’exemplarité, un travail de fond reste à faire ici.

La fin du vote électronique pour ces élections aura lieu le 29 mai.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.