Élection des conseillers consulaires : vers un nouveau fiasco du vote sur Internet ?

En mai 2014, les Français résidant à l'étranger éliront pour la première fois leurs conseillers consulaires. Les électeurs pourront lors de ce scrutin voter par Internet : le processus de vote en ligne ayant été validé par le gouvernement et la CNIL.

Le fonctionnement retenu devrait être au final très proche de celui mis en place lors des législatives de 2012.
Un scrutin qui avait pourtant été entaché de nombreuses failles de sécurité, la possibilité d'usurpation d'identité avait, à l'époque, été démontrée. Des choix critiquables en matière de sécurisation du vote sur Internet qui laisse présager un nouveau fiasco ?

Le vote sur Internet proposé lors des élections consulaires

L’élection des conseillers consulaires, la première du genre, a pour objectif d'améliorer la représentation des Français de l'étranger en complétant l'élection de leurs 11 députés élus en 2012. Ces 443 conseillers consulaires participeront à la mise en place des politiques conduites pour les Français de l'étranger et constitueront un collège électoral chargé d'élire les sénateurs des Français de l'étranger. Les électeurs auront pour choix le vote habituel dans une urne mais aussi, fait rare en France pour des élections politiques, la possibilité de voter sur Internet. Un choix validé en mars dernier par le Ministère des Affaires Étrangères qui a choisi un système de vote en ligne identique à celui mis en place lors des élections législatives de 2012. Une décision surprenante puisqu'il avait été démontré la facilité avec laquelle il était possible d'usurper l'identité des électeurs lors de ce même vote en ligne. Le conseil constitutionnel avait même reconnu la présence de bulletins piratés lors de cette élection. La CNIL avait été peu regardante en la matière puisqu'elle avait validé les élections 2012 malgré les nombreuses failles de sécurité. Elle a de nouveau donné son aval aux processus de sécurité établis pour l'organisation de ces élections consulaires. Si l'utilisation des applets Java devrait être remplacé par des applets Javascript, ces derniers sont réputés pour être aussi peu sécurisés. Une validation étonnante puisqu'elle va a encontre des recommandations de l'ANSSI, l'agence nationale de la sécurité des systèmes d'information, qui a effectué en avril dernier une mise en garde relative à l'utilisation de Java.

Vers une nouvelle série de bugs ?

Java n’apparaît cependant pas comme le seul élément défaillant de la chaîne de sécurité : si les codes d'identification permettant le vote sur Internet sont reçus par courrier ou SMS et le mot de passe par email, il est facile de les récupérer. Il suffit pour cela d'indiquer sa date de naissance sur le serveur Web du ministère des affaires étrangères.
Une information qui reste facile à trouver sur Internet et peut amener des individus mal intentionnés à récupérer ses données afin d'usurper l'identité des électeurs pour modifier son vote.
Autre anomalie : l'arrêté du 4 mars du Ministère des Affaires Étrangères publié au Journal Officiel garantit dans son article 3 que « l'identité de l'électeur ne peut pas être mise en relation avec l'expression de son vote, à tout moment du processus de vote, y compris après le dépouillement. ». La solution retenue du prestataire de vote en ligne Sctyl va pourtant a l'encontre de l’arrêté. En stockant la signature du votant avec son bulletin crypté jusqu'au dépouillement, il est ainsi possible de faire le lien entre un bulletin de vote et son expéditeur. Reste à voir si la CNIL et le conseil constitutionnel garderont un œil sur ces élections qui devraient faire office de test grandeur nature pour le vote sur Internet.