Le défi de la sécurisation du vote sur Internet
Comparée à la Suisse qui vient d'autoriser le déploiement du vote sur Internet à l'ensemble de son territoire, la France reste bien en retard en termes de développement du vote électronique.
Le désir affiché par le gouvernement de placer la France au cœur des innovations numériques n'a pas encore permis au vote en ligne de se développer malgré sa capacité à limiter l'abstention.
Faute
en est aux premières expérimentations menées sur notre territoire
qui n'ont pas vraiment convaincu, que ce soit lors des législatives
2012 ou des primaires parisiennes de l'UMP qui ont mis en exergue les
failles de sécurité. Un vote sur Internet qui aurait pourtant tout
à gagner à fiabiliser ses processus de sécurisation pour parvenir
à s'imposer lors d'élections politiques.
Estonie et Suisse en avance sur le vote en ligne
En Europe, l'Estonie et la Suisse restent les pays précurseurs. L’Estonie, qui a fait ses premiers essais de vote sur Internet lors d'élections locales en 2005, l'a élargi dès 2007 aux élections nationales. En 2011 le vote en ligne concernait déjà 25% des suffrages exprimés. En Suisse, après plus de 10 ans d’expérimentations, le conseil d'état a donné en décembre dernier son accord afin d'étendre progressivement le vote sur Internet à l'ensemble du territoire. Un développement du vote sur Internet en Suisse qui ne s'est pas fait sans condition puisque le conseil d'Etat helvète a donné comme prérequis une meilleure sécurisation des processus de vote avec notamment la mise en place de la vérifiabilité. Une vérifiabilité qui permet aux électeurs d’examiner le contenu de leur bulletin émis en ligne afin de s'assurer qu'il n'ait pas été détourné à des fins malveillantes.
La France en retard sur le vote sur Internet
En
France, le développement du vote sur Internet n'a pas connu la même
évolution en étant considérablement freiné suite à des processus
de sécurisation peu fiables qui ont impacté les quelques
expérimentations ayant eu lieu sur notre territoire. Les élections
législatives de 2012 faisaient ainsi office d'essai grandeur nature
pour le vote en ligne qui était proposé à l'ensemble des français
résidant à l'étranger.
Si l’expérimentation rencontra un
certain succès auprès des électeurs, une succession de bugs
techniques a mis à mal le processus. Un informaticien nantais avait
ainsi montré qu'une
modification de l'applet Java permettait de modifier les bulletins de
vote, soit pour en détourner le contenu soit pour modifier
l'identité de l'électeur.
Une élue du parti socialiste, Axelle
Lemaire, avait alerté le conseil constitutionnel à ce propos.
Pourtant ni le conseil constitutionnel ni la CNIL ne prirent
réellement en compte ces défaillances techniques puisque aucune
nouvelle procédure de sécurité n'a été mise en place. Pour
preuve des incidents similaires eurent lieu lors des
primaires UMP à Paris en
mai 2013 : une élection qui avait tourné au fiasco du fait de
la facilité de détournement des bulletins électronique des
électeurs. Difficile dans ce contexte de comprendre pourquoi les
instances de validation des process de sécurité, en l’occurrence
la CNIL, n'ont pas fait pas évoluer ses recommandations pour éviter
que ce type d'incidents se renouvellent.
Mieux sécuriser le vote en ligne
Des incidents qui ont pour point commun d'avoir lieu au niveau du poste de travail de l'électeur : un élément qui apparaît ainsi comme le maillon faible de la chaîne de sécurité du vote sur Internet. L'utilisation d'applets Java est particulièrement visée : la facilité avec lesquels des pirates informatiques réussissent à modifier le code de ces applets en fait un élément particulièrement vulnérable. Exercer un meilleur contrôle de la chaîne de sécurité semble ainsi indispensable. Encore faudrait-il pour cela réussir à privilégier une sécurisation des bulletins de vote au niveau des serveurs plutôt que des postes de travail, élément moins facile à mettre en place et contrôler pour les prestataires de vote sur Internet. La vérifiabilité est l'autre enjeu de sécurité pour le vote en ligne : sa mise en place permettra aux électeurs de vérifier qu'il n'y a pas eu d'usurpation d'identité ni de modification de leur bulletin de vote.