L’examen de l’application de vote par internet que 700 000 électeurs peuvent utiliser depuis mercredi pour les élections législatives révélerait la présence de failles de sécurité qui compromettent la confidentialité, voire l’intégrité du vote.

Tout va toujours bien, madame la marquise ?

Mercredi, le ministère des affaires étrangères a ouvert la plateforme de vote par internet pour les électeurs établis hors de France, qui sont encouragés à voter à distance pour les 11 députés des circonscriptions des Français de l’étranger. Numerama a déjà fortement critiqué le dispositif, en faisant remarquer que l’arrêté ministériel encadrant le vote par internet relevait d’une négligence ahurissante, ou en s’indignant de ce que le gouvernement a refusé que les délégués pourtant désignés par les candidats aux Législatives pour contrôler le vote aient accès au code source de la plateforme (laquelle a été sous-traitée auprès d’une société privée espagnole).

Avant le lancement de l’application du vote, le consultant en sécurité Paul Da Silva avait déjà sonné l’alarme, en découvrant des failles sur le site consacré au scrutin électronique. Ses avertissements n’avaient pas été pris au sérieux, même si nous y avions vu la confirmation qu’il valait mieux boycotter le vote par internet.

Or il n’aura pas fallu longtemps pour qu’effectivement, des failles soient découvertes sur l’application de vote elle-même. C’est toujours Paul Da Silva qui en livre un compte rendu sur son blog, à travers deux autres expertises qu’il relate.

Les premiers éléments semblent prouver qu’il est possible d’intercepter les données d’un vote lorsque le HTTPS n’est pas activé, ce qui est autorisé par l’application malgré la position de la CNIL qui avait demandé que le HTTPS soit exigé pour garantir la confidentialité du vote. L’algorithme de chiffrage du bulletin reposerait en effet sur des données transmises au navigateur, donc faciles à découvrir, à l’exception du mot de passe de l’électeur. Cependant celui-ci n’est composé que de six caractères alphanumériques en minuscule, ce qui rend sa découverte par « bruteforce » relativement aisée. Un hacker pourrait ainsi découvrir les identifiants de l’électeur par une attaque dite de « man in the middle ». Et sauf erreur de notre part, le mot de passe reste le même pour le deuxième tour de l’élection, avec donc les conséquences que l’on devine (mise à jour : le mot de passe changera bien, comme nous le rappelle Metzgergine en commentaire).

Selon ces experts, la façon dont le code de l’applet Java est rédigé poserait aussi de sérieux doutes sur les compétences des auteurs du système de vote. Or même à considérer que l’applet serait parfaitement sécurisée, le problème reste entier s’agissant du serveur sur lequel sont recueillis les bulletins. L’opacité du traitement des bulletins étant déjà totale, il est difficilement admissible d’avoir ne serait-ce que des doutes sur la sécurité des données stockées dans les serveurs espagnols.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !