Alors qu’un quart du peuple estonien s’apprête à utiliser Internet pour voter aux élections européennes, un rapport de chercheurs démontre qu’il est possible pour une puissance étrangère de truquer le résultat de l’élection en piratant la plateforme de vote. Si le risque est limité à l’Estonie, il envoie un signal d’alarme aux pays tentés de l’imiter, et à toute l’Europe.

La campagne n’est pas achevée mais les élections ont déjà débuté. Depuis ce jeudi, une première partie des quelques 400 millions d’électeurs européens se rendent aux urnes, aux Pays-Bas et aux Royaume-Uni, pour élire les représentants qui siégeront au Parlement européen. Le scrutin s’achèvera dimanche, et permettra de connaître les 751 députés élus dans les différents états membres. Mais en Estonie, où le vote aura lieu comme en France le 25 mai, la sincérité du résultat est d’ores et déjà mise en doute, et certains craignent des manipulations venues de l’étranger. En particulier de la Russie.

Fidèle à une tradition contestée instaurée en 2005, les estoniens pourront utiliser dimanche le vote par Internet, pour désigner leurs représentants. Ils peuvent même le faire par anticipation depuis une semaine, leurs bulletins étant sauvegardés dans les serveurs de vote.

Le président estonien Toomas Hendrik Ilves fait du vote par Internet en Estonie un véritable objet de fierté nationale, un signe de la modernité (réelle) du pays en matière de nouvelles technologies. « J’ai donné mon e-voix. Ce n’est pas seulement pratique, c’est aussi un vote de confiance dans l’un des meilleurs systèmes (informatiques) au monde, un vote de confiance dans l’Etat estonien« , a-t-il tweeté jeudi dernier. 

Des attaques possibles pour manipuler le résultat

Mais c’est bien là le problème. Il s’agit d’un vote qui demande à l’électeur de faire confiance, et non d’un vote dont la confiance émane de la transparence. Or, des chercheurs qui ont créé le site EstonianVoting.org ont publié ce mois-ci une expertise technique très critique dans laquelle ils démontrent qu’il est possible de pirater le système de vote électronique pour influencer sur le résultat de l’élection.

« En se basant sur nos tests, nous concluons qu’un assaillant au niveau étatique, un criminel sophistiqué, ou un insider malhonnête peut mettre en échec les contrôles à la fois technologiques et procéduraux de façon à manipuler le résultat des élections« , concluent-ils dans leur étude (.pdf), où ils détaillent les méthodes qui peuvent être utilisées. Elles concernent aussi bien les attaques au niveau des serveurs de collecte des bulletins qu’au niveau des ordinateurs utilisés par les électeurs. Les deux méthodes ont été illustrées en vidéo :

https://youtube.com/watch?v=nm-a8jidUyA%3Flist%3DPL-8Wz65QY6XeDCO9eP_m0FXpcGHwtxzIQ

https://youtube.com/watch?v=oFv9udBEQrc%3Flist%3DPL-8Wz65QY6XdoiBWbTTCyy4Wn0tXmvQIy

« En résumé, il y a des manières abondantes par lesquelles un assaillant pourrait perturber le processus électoral et créer un doute sur la légitimité du résultat« .

Sans le dire explicitement, ils visent les manipulations qu’un pays comme la Russie aurait les capacités technologiques de réaliser. Et peut-être les intérêts politiques. « Etant donnée la situation géopolitique actuelle, nous ne pouvons pas écarter le risque que des attaques de niveau étatique ciblent le système dans les prochaines élections« , prévenaient-ils.

Un impact limité… pour 2014

En réaction à un article du Guardian qui faisait état de ces travaux, la Commission Electorale Nationale Estonienne a publié un communiqué dans lequel elle réfute les conclusions. « Nous croyons que le vote par internet nous permet d’atteindre un niveau de sécurité plus important que ce qui est possible avec les bulletins papiers« , a-t-elle réaffirmé, en assurant que rien de ce que les chercheurs ont démontré n’était pas déjà pris en considération, et qu’il n’était pas possible de truquer l’élection avec les méthodes décrites. Elle se glorifie du fait que depuis 2005 « le système a été utilisé dans six élections (municipales, nationales et européennes), sans un seul incident qui ait influencé le résultat« .

Mais comme le soulignent à leur tour les chercheurs qui répondent point par point, il est par nature impossible de démontrer qu’un vote électronique a été truqué. Il n’y a pas de traces exploitables. C’est d’ailleurs la grande critique que nous avions faite au Conseil constitutionnel, lorsqu’il a décidé de valider des élections trucables au motif qu’aucun trucage n’avait été démontré.

Concrètement, l’impact d’un éventuel piratage des élections européennes en Estonie serait évidemment très limité, ce qui rend improbable une telle attaque. Le pays ne doit élire que 6 des 751 eurodéputés, et si l’on se réfère aux scrutins précédents, seul un quart des électeurs estoniens utilisent le vote électronique. Mais la polémique doit servir de frein à une extension du vote par Internet à d’autres pays qui pourraient être tentés de suivre la même voie. 

Le statu quo demandé en France

En France, le vote par Internet est déjà permis pour les français établis à l’étranger, pour les élections législatives et les prochaines élections consulaires. Un récent rapport parlementaire a conseillé de ne pas l’étendre à d’autres scrutins, mais sans aller jusqu’à demander un moratoire là où il est déjà mis en place.

L’exemple estonien est d’autant plus remarquable que l’Estonie a fait des efforts inédits de transparence, en publiant le code source et toute la documentation de la plateforme de vote, ce qui n’est pas le cas en France où la plateforme de vote d’origine espagnole est un secret industriel privé, où même les rapports d’audit sont confidentiels, et où les petits candidats sont privés du droit de contrôler le vote.

L’on voit avec l’Estonie que même cette transparence n’est pas pleinement satisfaisante, puisqu’elle ne suffit pas à écarter tous les risques.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !