Allons, enfants de la Patrie, le jour de se réveiller est arrivé. Non content d'être encadré par un contrôle quasi inexistant, le vote par internet aux élections législatives est assuré via une plateforme qui démontre déjà des failles de sécurité potentiellement très graves.
Si maintenant n'est pas le bon moment, à quel moment faut-il tirer très fort la sonnette d'alarme ?
Mercredi, nous révélions que l'arrêté qui organise le vote par internet pour les élections législatives de juin 2012 prévoit de recourir à un système opaque, qui ne fera l'objet d'un contrôle que par un seul informaticien. Un seul informaticien pour un million d'électeurs potentiels (les Français de l'étranger), et un seul informaticien dont on ne sait rien des modalités de désignation, et dont les critères d'indépendance sont des plus lâches.
L'opacité du système, que nous avions déjà dénoncé dans notre enquête sur le vote électronique aux élections présidentielles, était déjà inquiétante en soit. Elle n'a pourtant suscité aucune réaction de la part de la presse, qui ne semble pas prendre la mesure de l'enjeu démocratique.
Celle-ci serait la première à pousser légitimement des cris d'orfraie si elle voyait que les urnes dans lesquelles les électeurs glissent leur bulletin étaient opaques, ou qu'elles étaient placées dans une pièce séparée dont on fermerait la porte après chaque électeur en laissant quelques privilégiés à l'intérieur, libres de vider ou de bourrer l'urne à l'abri des regards indiscrets. Elle ferait des éditoriaux sanglants si l'on distribuait à chaque électeur une enveloppe de couleur différente, qui menacent à la confidentialité du vote au moment du dépouillement, ou si l'on priait chaque scrutateur de quitter les lieux. Tout ce qui serait susceptible de nuire à la sincérité et à la confidentialité du scrutin dans le vote traditionnel serait vu comme un coup de poignard dans la démocratie.
Mais le vote électronique, par un étrange scientisme, est à l'abri des critiques et des défiances. On le laisse progressivement s'installer, alors qu'il souffre peu ou prou de tous les défauts que l'on vient d'énoncer. En pire.
Puisqu'il est pratique pour les expatriés qui n'ont pas à faire le voyage au consulat, le vote par internet est accepté. Et tant pis si l'arrêté dit, texto, que dans certains pays "le secret et l'intégrité de leur vote ne pourront être garantis". Le pragmatisme ne s'embarrasse pas des symboles. Ni de la prévention.
On ne réfléchira au problème démocratique que trop tard, le jour où nous aurons en France un scénario à la Bush contre Al Gore, où l'absence de certitude sur la sincérité du scrutin attisera les soupçons et provoquera la division. Ne suffit-il pas déjà que le Conseil constitutionnel valide des comptes de campagne qu'il sait truqués ?
Heureusement, le pragmatisme peut aussi parfois rejoindre le pragmatisme, pour ceux qui refusent décidément de s'attacher aux symboles ou au doute préventif.
Suite à notre article, le consultant en sécurité web Paul Da Silva a voulu vérifier la fiabilité de la plateforme confiée à un prestataire espagnol, accessible sur la plateforme baptisée (lisez bien) monvotesecurise.votezaletranger.gouv.fr. Or le constat qu'il dresse est alarmant. Outre le fait qu'il a pu voir en clair l'adresse e-mail utilisée semble-t-il par un internaute pour envoyer un mail sur la plateforme, Paul Da Silva a pu réaliser une injection SQL au niveau des "tickets de supports" qui permettent de contacter le service technique en cas de problème.
"Pour les moins techniques d'entre vous cela signifie qu'au moins les tickets de support, si ce n'est l'ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n'importe quelle personne ayant des compétences dans le domaine...", explique-t-il. Potentiellement, toute la base de données est lisible et corrigible, comme si l'urne pouvait être dépouillée, vidéo ou bourrée à distance par n'importe quel quidam.
Contacté, Paul Da Silva nous assure avoir aucune nouvelle depuis qu'il a signalé la faille jeudi matin.
