Ceci est notre réaction au reportage de Radio-Canada, “Le vote électronique, une méthode risquée ?” (Téléjournal Estrie du Vendredi 9 septembre 2005). Transcription. Le point de départ de ce reportage était notre alerte de sécurité, résultant de notre article sur la machine Diebold Accu-Vote, lui-même basé sur le rapport[eng] de l’expert informatique Harri Hursti.
Tout d’abord un éclaircissement. Notre propos n’est pas prédire une catastrophe. Nous pointons des problèmes POTENTIELS. Mais n’oublions pas que l’enjeu est le pouvoir, objet de luttes depuis la nuit des temps. Les élections sont une forme civilisée et plutôt récente de ces luttes. Elles ne vont pas échapper par miracle à la délinquance.
Puis une explication. En règle générale, l’informatique permet de faire ce qui était auparavant manuel, à plus grande échelle, sans se déplacer et avec moins de personnel. Le vote électronique permet de compromettre une élection entière par une action unique.
Ensuite une précision. La démonstration de vulnérabilité de Harri Hursti ne s’est pas faite en laboratoire, ce qui laisserait penser à des conditions éloignées de la réalité, mais dans l’entrepot du service élections du Leon County (Floride), sur une machine ordinairement utilisée lors d’élections.
Enfin, nous insistons sur l’extrême facilité de la manipulation. M. Hursti parle d’« attaque solitaire exceptionnellement flexible nécessitant quelques centaines de dollars, des compétences techniques médiocres et une modeste capacité de persuasion (ou, au lieu de persuasion, un peu d’accès privilégié) » [1].
Me Sauvé déclare « Ces appareils ont été utilisés dans 120 villes, et il n’y a jamais eu de problème », et céde ainsi à une illusion classique : au motif qu’une élection s’est déroulée sans incident, elle serait intègre. Une des propriétés les plus désagréables d’une manipulation informatique est qu’elle passe inaperçue, pour peu que les résultats restent plausibles, et que le pirate ne fasse pas de grosse gaffe technique.
Me Sauvé assure qu’« au moment de l’élection, il y aura de la sécurité ». Nous lui rappelons que M. Hursti, dans ses conclusions, considère que les procédures opérationelles requises pour sécuriser le système seraient un fardeau insoutenable [2]. Encore une fois, la sécurité informatique n’est pas assurée en copiant les procédures issues des élections “papier”. Surveiller physiquement les machines le jour de l’élection (ou même depuis sa préparation) est insuffisant.
Notre recommandation d’« effectuer un recomptage manuel lorsque des anomalies sont détectées » a été mal comprise. Elle est en réalité de TOUJOURS effectuer un dépouillement manuel. Parce qu’il est évident qu’une manipulation informatique bien conçue ne créera pas d’anomalie. Nous sommes bien conscients que cela est difficile à entendre, puisque s’épargner la charge du dépouillement est une raison de passer au vote électronique.
Cette recommandation est directement inspirée de celles du Dr Mercuri[eng], qui travaille depuis 15 ans sur le vote électronique. Elle n’est pas une voix solitaire, de nombreux experts la suivent, ainsi qu’une majorité d’informaticiens [3]. Le principe est d’enregistrer et compter chaque vote de deux façons : électronique et papier. Dans tout système informatique critique, il est classique de dupliquer les processus. Les USA tendent depuis peu à imposer aux machines tout-électronique (DRE) l’impression d’un bulletin vérifié par l’électeur(explication de ce concept). Dans le cas des Accu-Votes de Sherbrooke, c’est finalement plus simple puisque le bulletin papier existe déjà au départ.
Il reste ensuite à trancher si on recompte tous les bulletins, ou une partie choisie aléatoirement [4]. Lourde tâche, puisqu’il n’existe à l’heure actuelle aucune mise en oeuvre satisfaisante du vote électronique. Les USA se sont heurtés à des difficultés de recompte manuel, juridiques ou parce qu’il n’était pas vraiment aléatoire. Comme nous n’avons pas d’illusions sur la volonté de dépouiller manuellement la totalité des bulletins, nous ne pouvons que suggérer, sans que cela nous satisfasse vraiment, de dépouiller 16% des bureaux de vote. Dans chaque bureau de vote serait lancé un dé (d’où le 16% = 1/6) afin de décider si le dépouillement aura lieu. Nous sommes désolés de ne pas être plus affirmatifs, mais nous ne nous sentons pas l’obligation de résoudre tous les problèmes que d’autres ont créés. Les signaler nous demande déjà beaucoup d’énergie. Nous ne nous prononcerons pas non plus sur l’intérêt du vote électronique, une fois correctement sécurisé par un recompte manuel...
Ce n’est pas tout. Encore quelque chose de pénible à entendre. Ce recompte manuel ne doit pas être compris comme une vérification ponctuelle de la fiabilité de ces machines. Ou comme une opération de communication destinée à rassurer l’électeur. Il faudra le répéter à chaque élection à l’avenir, afin d’en garantir l’intégrité. Ne pas confondre fiabilité et sécurité.
Enfin, il faudra médiatiser cela, afin d’obtenir un effet dissuasif. Et définir la procédure en cas de discordance entre résultats papier et électronique. Le papier doit naturellement primer, mais le cadre légal peut en décider autrement.
La triste réalité est que la sécurité informatique, c’est compliqué et coûteux. Le recompte manuel reste le moyen le plus simple d’éviter une cascade de vulnérabilités informatiques. Pour peu que les modalités soient correctement définies, on retourne aux problèmes de sécurité du vote papier, très bien connus, et sans conséquences à grande échelle.
Une des recommandations de M.Hursti (citée dans le reportage de Radio-Canada, et à laquelle Me Sauvé semble adhérer) est l’examen des cartes mémoires après l’élection. Cet examen n’est même pas certain d’être probant. Très récemment, nous avons demandé à M.Hursti si un logiciel fautif placé dans ces cartes mémoires pouvait s’effacer lui-même une fois sa tâche accomplie (et se remplacer par sa version “officielle”). Il n’a pu se prononcer sur cette éventualité, tout à fait réaliste sur le plan technique, faute de documentation suffisante. Rappelons qu’il a travaillé à partir d’informations techniques (partielles) que le fabricant Diebold a laissées des années en libre accès sur un serveur internet, ce qui en dit long sur le souci de sécurité de cette société.
Il reste à aborder la délicate question de la totalisation des résultats. Ce qui suit est à confirmer. Nous n’avons pas de détails sur l’organisation des élections à Sherbrooke, et, à la différence du rapport Hursti, nous ne connaissons pas parfaitement GEMS. Aucun des deux ne concerne la France. Si notre voix est entendue, nous serons heureux d’approfondir nos recherches, dans l’idéal en association avec des citoyens québécois.
En résumé, le rapport bénéfices/risques est ici particulièrement désavantageux. Les bénéfices : on économise des additions nécessitant quelques personnes avec des calculatrices pendant, disons, une heure. Les risques : on emploie pour cela un ordinateur faiblement sécurisé. Mentionnons déjà qu’il fonctionne sous Windows, ce qui suffira à la plupart des informaticiens. Est-il ensuite nécessaire d’évoquer les péripéties du logiciel GEMS, plusieurs fois mis en cause aux USA par le Dr Thompson et M. Hursti entre Septembre 2004 [5] et Mai 2005 ? Faut-il même se demander si la ville de Sherbrooke le connecte à une ligne téléphonique (la possibilité existe de centraliser les résultats des bureaux de vote par informatique) ? D’autre part, l’hypothèse du double livre de GEMS rendrait insuffisant le simple rapprochement des tickets des Accu-Votes avec les chiffres de GEMS.
En conclusion, si nous déplorons que la ville de Sherbrooke minore les problèmes de sécurité de l’Accu-Vote, nous soulignons que ces machines ont été acquises parce qu’elles étaient autorisées. M. Hursti pointe plusieurs non-conformités aux standards US de la Federal Election Commission [6]. Sur quels critères le DGE (Directeur Général des Elections) évalue-t-il ces machines ? Y a-t-il examen du code source du logiciel intégré ? L’association BlackBoxVoting.org a envoyé le rapport Hursti à la Province du Québec. Il semble avoir été ignoré.
Que toutes ces considérations de sécurité ne nous fasse pas perdre de vue l’essentiel. Tout vote électronique sans dépouillement manuel, même réalisé sur des machines mieux conçues que l’Accu-Vote, est une confiscation de la souveraineté populaire au profit de quelques techniciens ou d’une société privée. Que tout cela ne passe pas pour de la légendaire arrogance française. Nos motivations sont altruistes. Nous nous désolons de voir que, comme en France, le vote électronique ne suscite aucun débat.
A ce jour, concernant le rapport Hursti, il n’y a pas eu de réponse de Diebold sur le fond. Il y a d’abord eu une lettre plus ou moins insultante à Ion Sancho, le directeur d’élections du Leon County (Floride) qui a autorisé la démonstration de vulnérabilité, puis de curieuses réponses à ses collègues[eng]. La société Diebold est probablement trop occupée à promouvoir désespérément ses nouvelles machines à écran tactile, surtout depuis que l’Etat de Californie les a rejetées pour manque de fiabilité [7].
Syndication/fil RSS 2.0