La Primaire populaire sera le plus grand vote en ligne de cette campagne présidentielle avec 467 000 inscrits. Mais certains s’inquiètent de la sécurité du scrutin et de l’usage des données récoltées. Numerama a interrogé les organisateurs.

La Primaire populaire, l’initiative citoyenne qui souhaite organiser un vote pour départager certains candidats de gauche à la présidentielle, revendique ce 24 janvier 2022 son nombre final d’inscrit : 467 000 personnes. Autant d’enregistrés qui pourront participer au vote d’investiture en ligne du 27 au 30 janvier 2022.

L’initiative est (très) loin de faire l’unanimité. La plupart des gros candidats comme Yannick Jadot (EELV), Jean-Luc Mélenchon (LFI) ou, dans une moindre mesure, Anne Hidalgo (PS) refusent déjà d’accepter le résultat. Reste surtout Christiane Taubira, qui cherche à utiliser ce scrutin comme un tremplin.

Mais cette initiative n’est pas uniquement la cible de critique sur le plan politique : à l’instar du patron de la France Insoumise Jean-Luc Mélenchon, certains s’inquiètent ouvertement de la sécurité de la plateforme et de l’usage des données qu’elle recueille. Est-ce que le dispositif est à la hauteur de ses ambitions ? Numerama a interrogé la Primaire populaire et l’entreprise qui organise le vote sur le dispositif mis en place.

Des inquiétudes propres aux scrutins en ligne

La Primaire populaire n’est pas le premier vote en ligne de cette campagne présidentielle. La primaire des écologistes en septembre 2021 puis celle (fermée) des Républicains début décembre ont déjà eu recours à ce mode de désignation.

Les trois votes sont d’ailleurs passés par le même prestataire, Neovote. Une entreprise française spécialisée dans les suffrages en ligne, et « homologuée par le Conseil d’État, le Sénat, l’Assemblée nationale, le ministère de l’Intérieur et la DGSI », d’après son site. De plus en plus de formations politiques adoptent le vote en ligne, motivées par une organisation plus simple (un scrutin « traditionnel » demande une grosse logistique, des moyens humains, financiers) et face aux différentes contraintes imposées par la crise sanitaire.

Ici, le vote en ligne de la Primaire populaire inquiète surtout pour le risque de fraude et l’utilisation éventuelle des données récoltées par l’organisation. En effet, l’inscription en ligne est réalisée à l’aide de plusieurs données : un mail, un numéro de téléphone, nom et prénom, ainsi qu’un code postal optionnel.

Neovote et la Primaire populaire défendent de fortes garanties de sécurité

Pour ce qui est de la sécurité, des codes de confirmations sont envoyés par SMS et par mails pour valider l’inscription, et des vérifications sont ensuite menées à l’aide d’une carte bancaire (sans que de l’argent soit retiré du compte en question). Il n’est pas possible de réutiliser un mail ou un numéro de téléphone, et le site explique qu’une carte peut être utilisée seulement deux fois. Une triple vérification (téléphone, mail, carte) que la Primaire populaire et l’entreprise Neovote décrivent à Numerama comme forte, et permettant de réduire une majeure partie du risque de fraude.

Inscription primaire pop carte déjà inscrite
La validation avec une carte bancaire est défendu par les organisateurs comme une garantie forte // Source : Capture écran Numerama

Les votes en lignes sont très strictement encadrés par la loi et la Cnil, des garanties de sécurité sont demandées par défaut pour que le scrutin puisse être organisé. « On a pris les normes qui sont demandées, et on les a multipliées », explique Victor Grezes, un des chargés de projet de la Primaire populaire qui s’occupe des aspects techniques, dont la plateforme de vote. Avec ce dispositif, « l’idée n’est pas de contrôler l’identité, mais de restreindre la fraude. »

Restreindre, car ces mesures ne sont pas efficaces à 100 %. À l’aide de numéros de téléphone accessibles en ligne (des burners) et de mails créés pour l’occasion, Numerama a réussi à créer 3 comptes avec le même nom, et depuis la même IP (le numéro d’identification d’un appareil connecté à un réseau, auquel a accès la primaire populaire). La confirmation par carte bancaire a pu être contournée en utilisant des cartes tickets restaurant, qui disposent de la même norme de sécurité dite 3F, comprendre une carte qui a un cryptogramme de vérification à 3 chiffres à son dos.

Inscription primaire pop numéro faux num irlandais
Des burners étrangers (ici un numéro irlandais) fonctionnent parfaitement // Source : Capture écran Numerama

Une fraude possible, mais pas de quoi fausser le scrutin

Il est néanmoins indéniable que cette contrainte d’une carte bancaire réduit grandement la possibilité d’une fraude de grande ampleur. « Il est compliqué de se procurer des centaines de cartes françaises », pointe l’entreprise Neovote. « On ne s’intéresse pas tant au fraudeur qui a trois ou quatre cartes, ce qui nous intéresse c’est de bloquer un acteur majeur comme un État qui essayerait d’influer sur le scrutin

La Primaire populaire et Neovote concèdent d’une même voix que la fraude existe, « de la même manière qu’elle existe dans les scrutins [physiques] », mais que l’ampleur de la participation assure d’un impact moindre et d’un résultat représentatif. Victor Grezes veut rassurer : « On est extrêmement confiant. On a fait tout ce qu’on pouvait, et les mécanismes tiennent. Même si on est jamais à l’abri d’une attaque

Il est toutefois intéressant de noter que si l’équipe de la Primaire populaire assure que des systèmes supplémentaires sont mis en place pour réduire la fraude en scrutant notamment les adresses IP, les trois comptes faits par Numerama sur la même adresse IP et au même nom sont toujours fonctionnels ce 24 janvier 2022.

Interrogée sur les détails des mécanismes de sécurité supplémentaires qui sont mis en place en cas de problème comme une cyberattaque, Neovote renvoie aux obligations du secret défense auquel l’entreprise doit s’astreindre. L’entreprise assure toutefois que « tous les voyants [de surveillance de la menace] sont au vert », et qu’elle est prête en cas d’ingérence.

Une dernière garantie soulevée est le mode de scrutin. Le jugement majoritaire (où chaque électeur juge tous les candidats) laisse moins de place à la manipulation qu’un scrutin uninominal (où l’électeur choisit un seul candidat).

« La primaire populaire n’a jamais les données de carte bleue des inscrits »

Concernant la conservation des données, il n’y a pas de quoi s’inquiéter, d’après Victor Grezes de la Primaire populaire : « la liste d’inscrits, qui compose notre liste électorale, est accessible au prestataire et en interne. Mais à un groupe de personnes extrêmement restreint, et avec là aussi des garanties de sécurité : authentification double facteur, données segmentées… ». L’association défend avoir récolté « le moins de données possibles ».

Une partie de ces informations de contacts seront toutefois transmises au vainqueur pour l’aider à mener sa campagne électorale, si toutefois vous cochez la case en notifiant accepter cette démarche (il est donc possible de refuser). On parle d’ici des informations de contacts et géographiques, une précieuse base de données pour un candidat.

De nombreux doutes se sont cristallisés sur les cartes bancaires qui, comme évoqué précédemment, servent de garantie de sécurité pour limiter la fraude. « Évidemment que la Primaire populaire n’a jamais les données de carte bleue des inscrits », rassure Victor Grezes. C’est Neovote, qui explique stocker les données de façon sécurisée sous forme de hache. Une méthode cryptographique qui permet de calculer une empreinte numérique au lieu de stocker les données de façon lisible. « Concrètement, Neovote n’a jamais accès à vos coordonnées bancaires », insiste l’entreprise.

La multitude d’arnaques qui existent sur le web explique la frilosité que peut avoir un internaute à utiliser ses données bancaires. Mais ces dernières sont assurément moins sensibles qu’une photo de carte d’identité par exemple. Une carte bancaire est une donnée périssable, qui peut se changer, quand un vol d’identité peut faire des dégâts pendant des années.