Le défi de la sécurisation du vote sur Internet

Comparée à la Suisse qui vient d'autoriser le déploiement du vote sur Internet à l'ensemble de son territoire, la France reste bien en retard en termes de développement du vote électronique.

Le désir affiché par le gouvernement de placer la France au cœur des innovations numériques n'a pas encore permis au vote en ligne de se développer malgré sa capacité à limiter l'abstention.
Faute en est aux premières expérimentations menées sur notre territoire qui n'ont pas vraiment convaincu, que ce soit lors des législatives 2012 ou des primaires parisiennes de l'UMP qui ont mis en exergue les failles de sécurité. Un vote sur Internet qui aurait pourtant tout à gagner à fiabiliser ses processus de sécurisation pour parvenir à s'imposer lors d'élections politiques.

Estonie et Suisse en avance sur le vote en ligne

En Europe, l'Estonie et la Suisse restent les pays précurseurs. L’Estonie, qui a fait ses premiers essais de vote sur Internet lors d'élections locales en 2005, l'a élargi dès 2007 aux élections nationales. En 2011 le vote en ligne concernait déjà 25% des suffrages exprimés. En Suisse, après plus de 10 ans d’expérimentations, le conseil d'état a donné en décembre dernier son accord afin d'étendre progressivement le vote sur Internet à l'ensemble du territoire. Un développement du vote sur Internet en Suisse qui ne s'est pas fait sans condition puisque le conseil d'Etat helvète a donné comme prérequis une meilleure sécurisation des processus de vote avec notamment la mise en place de la vérifiabilité. Une vérifiabilité qui permet aux électeurs d’examiner le contenu de leur bulletin émis en ligne afin de s'assurer qu'il n'ait pas été détourné à des fins malveillantes.

La France en retard sur le vote sur Internet

En France, le développement du vote sur Internet n'a pas connu la même évolution en étant considérablement freiné suite à des processus de sécurisation peu fiables qui ont impacté les quelques expérimentations ayant eu lieu sur notre territoire. Les élections législatives de 2012 faisaient ainsi office d'essai grandeur nature pour le vote en ligne qui était proposé à l'ensemble des français résidant à l'étranger.
Si l’expérimentation rencontra un certain succès auprès des électeurs, une succession de bugs techniques a mis à mal le processus. Un informaticien nantais avait ainsi montré qu'une modification de l'applet Java permettait de modifier les bulletins de vote, soit pour en détourner le contenu soit pour modifier l'identité de l'électeur.
Une élue du parti socialiste, Axelle Lemaire, avait alerté le conseil constitutionnel à ce propos. Pourtant ni le conseil constitutionnel ni la CNIL ne prirent réellement en compte ces défaillances techniques puisque aucune nouvelle procédure de sécurité n'a été mise en place. Pour preuve des incidents similaires eurent lieu lors des primaires UMP à Paris en mai 2013 : une élection qui avait tourné au fiasco du fait de la facilité de détournement des bulletins électronique des électeurs. Difficile dans ce contexte de comprendre pourquoi les instances de validation des process de sécurité, en l’occurrence la CNIL, n'ont pas fait pas évoluer ses recommandations pour éviter que ce type d'incidents se renouvellent.

Mieux sécuriser le vote en ligne

Des incidents qui ont pour point commun d'avoir lieu au niveau du poste de travail de l'électeur : un élément qui apparaît ainsi comme le maillon faible de la chaîne de sécurité du vote sur Internet. L'utilisation d'applets Java est particulièrement visée : la facilité avec lesquels des pirates informatiques réussissent à modifier le code de ces applets en fait un élément particulièrement vulnérable. Exercer un meilleur contrôle de la chaîne de sécurité semble ainsi indispensable. Encore faudrait-il pour cela réussir à privilégier une sécurisation des bulletins de vote au niveau des serveurs plutôt que des postes de travail, élément moins facile à mettre en place et contrôler pour les prestataires de vote sur Internet. La vérifiabilité est l'autre enjeu de sécurité pour le vote en ligne : sa mise en place permettra aux électeurs de vérifier qu'il n'y a pas eu d'usurpation d'identité ni de modification de leur bulletin de vote.

Autour du même sujet