13/06/2008: Arguments du ministère de l’intérieur...
Le 23 mai 2008, le Ministère de l’intérieur a distribué des annexes lors des auditions sur le vote électronique. Une de ces annexes concerne "la sécurité du vote automatisé (actuel)" et semble assez similaire à ce que Henry SNYERS, fonctionnaire au SPF Intérieur, a expliqué lors de son audition au Parlement Bruxellois.
Nous reproduisons ici ce document avec un certain nombre de remarques techniques des membres de PourEVA. Celles-ci sont disponibles sous forme de note en bas de page.
Annexe n°2
20080303_vers01_F
La sécurité du vote automatisé
Lorsque l’on parle d’élections libres et équitables, il y a lieu de comprendre que :
- tout citoyen peut émettre un vote sans y être contraint ;
- la fraude est exclue ;
- le secret du vote est garanti.
En premier lieu, il y a la législation électorale qui veille à ce que ces 3 caractéristiques soient présentes. Elle décrit en détail l’ensemble de la procédure qui doit être suivie. Elle prévoit aussi une "surveillance" de la bonne application de la procédure en prévoyant la présence de témoins et de représentants des partis politiques dans les bureaux électoraux.
1. Activités préparatoires
1.1. Contrôle du matériel de vote.
Dans le cadre de la préparation des élections, le matériel de vote est soumis jusqu’à deux fois (une première fois trois à quatre mois avant les élections, une deuxième fois après l’installation du matériel dans les locaux de vote) à un contrôle minutieux PourEVA : Est-ce que les machines sont ouvertes ? Est-ce que l’on vérifie les supports mémoires comme le bios ? En pratique des pays comme la France bien moins avancé que la Belgique ou la Hollande plus récemment appliquent des scellées sur les ordinateurs de vote afin que l’intégrité physique des ordinateurs puissent être vérifiée même par des non-spécialistes et vérifier qu’aucune modification a été exécutée. . Cette tâche est effectuée par le personnel communal et le suivi en est assuré par le SPF Intérieur.
Lors du dernier contrôle, on vérifie s’il n’y a aucune composante étrangère (par exemple un disque dur, une carte réseau) n’appartenant pas à la composition initiale de la machine à voter. Dans l’affirmative, celle-ci sont logiquement déconnectées.
On évite ainsi la présence de matériel/logiciel frauduleux sur l’ordinateur sur un support de mémoire distinct.
Les communes se chargent du transport sécurisé du matériel de vote vers les bureaux de vote, de l’installation et de la réalisation d’un test de diagnostic sur chaque appareil PourEVA : La réalisation du test de diagnostique consiste à insérer une disquette de test qui vérifie le bon fonctionnement, entre autre, du lecteur de carte et du crayon optique. C’est donc un test fonctionnel et non de sécurité. En pratique, on demande à l’ordinateur si il fonctionne bien... un matériel modifié serait préparé à répondre dans l’affirmative. .
Durant les années non électorales, un échantillon du matériel de vote et les conditions de stockage sont contrôlés, cette fois par le personnel du SPF Intérieur. Les résultats en sont communiqués, pour suite voulue, au Collège communal.
Conditions de stockage PourEVA : Ici on ne parle pas de la sécurisation du lieu de stockage ou de l’enregistrement de toutes les personnes qui ont accès aux ordinateurs de vote. :
- empilement de :
- maximum 3 caisses contenant les urnes ;
- maximum 4 caisses contenant les écrans (moniteurs) ;
- maximum 5 caisses contenant les ordinateurs (machine à voter, machine du président, machine de totalisation) ;
- maximum 3 caisse contenant des imprimantes.
- le degré d’humidité doit se situer entre 20 et 80% (degré d’humidité relative calculé sans condensation à mesurer au moyen d’un hygromètre) ;
- température entre 5 et 20°.
1.2 Contrôle du logiciel.
Le fournisseur doit soumettre la version définitive du logiciel électoral à un organisme de contrôle agréé PourEVA : Le fournisseur à le choix de l’organisme de contrôle et c’est le fournisseur qui paye cet organisme... ce qui permet de douter de l’indépendance de ce contrôle. . Tant le matériel que le logiciel doivent être examinés en détails PourEVA : Dans le rapport du collège des experts de 2007 on note au point 5.1 (page 16) : "Il est à noter que l’attitude du SPF Intérieur vis-à-vis des rapports des organismes d’avis est fort peu critique. En effet, peu importe la qualité des tests, un rapport positif est visiblement accueilli avec un grand soulagement". . Rapport en est fait au Ministre de l’Intérieur. Lorsque l’administration a obtenu l’autorisation de procéder aux opérations nécessaires, le Collège d’Experts convertit d’abord le code source (logiciel électoral) en un programme exécutable. Cette exécution PourEVA : Le terme exact c’est compilation ou compilation de référence se fait sur un ordinateur prévu à cette fin, propriété du SPF Intérieur en présence de toutes les parties concernées (le Collège d’Experts, le SPF Intérieur, l’organisme de contrôle, le fournisseur du logiciel).
A la fin de cette phase et après approbation par le Collège d’Experts, deux copies du logiciel électoral sont faites. Une copie est remise au Collège d’Experts, une copie est mise à la disposition de l’administration (SPF Intérieur) afin de fabriquer les supports de mémoire destinés aux bureaux de vote et aux bureaux principaux de canton (bureaux de totalisation).
Ensuite le logiciel original (CD-ROM - enveloppe scellée) est rangé, en présence de toutes les parties concernées, dans un coffre à la banque.
Il est donc à tout moment possible de comparer le logiciel qui a été exécuté dans un bureau de vote PourEVA : En fait le logiciel d’un bureau de vote est stocké sur une disquette qui n’est pas protégée en écriture. Une fois que l’ordinateur a démarré, il est impossible de déterminer avec certitude quel logiciel s’exécute sur l’ordinateur et l’observation de la disquette ne prouve rien puisqu’un logiciel frauduleux pourrait après avoir démarré remis la disquette dans l’état attendu, à la manière de certain virus. avec celui qui est conservé dans le coffre.
La fabrication des supports de mémoire par l’administration se déroule dans un environnement sécurisé sous surveillance caméra (24/24 ; 7/7). Les impressions des écrans sont, avant de procéder à la finition définitive, soumises aux présidents des circonscriptions électorales pour contrôle et signature.
Après la finition et les contrôles nécessaires, les supports de mémoire sont placés dans des enveloppes scellées et remises aux présidents de canton PourEVA : Les présidents de canton de certaines commune ne respectent pas la législation et ne fournissent pas ces disquettes aux présidents de bureau. par transport sécurisé. Les éléments de sécurité nécessaires (mots de passe) sont glissés dans des enveloppes distinctes PourEVA : Néanmoins, le président de bureau doit selon la loi avoir à sa disposition les disquettes et le code secret. C’est un peu comme transporter sa carte de banque et son code secret... ensemble. .
Un membre du personnel du SPF Intérieur accompagne également le transport sécurisé.
Les codes sources des programmes utilisés sont publics et peuvent être téléchargés sur le site www.election.fgov.be. Par ailleurs, tout un chacun peut vérifier le bon fonctionnement de ces programmes PourEVA : En pratique, assez peu de personnes peuvent essayer de vérifier le bon fonctionnement de ces programmes. Il faudrait d’abord disposé du matériel informatique spécifique aux élections. Ensuite, aucun exemple de disquette ni les compilations de références ne sont fourni. Certain de ces logiciels ne peuvent être compilé que par des compilateurs propriétaires et non disponible dans le commerce. . Les codes sources du logiciel électoral sont mis à la disposition des partis politiques avant le jour des élections.
Toutes les livraisons se font contre accusé de réception signé.
2. La procédure de vote en quelques mots
<
2.1. Démarrage du bureau de vote.
Le démarrage se fait en présence de tous les membres du bureau PourEVA : Fréquemment le président de bureau ouvre les enveloppes scellées avant que le bureau de vote soit constitué. Ce genre de non respect des procédures ne permet plus aucune garantie sur les logiciels utilisés lors de l’élection ou de garantir qu’une simulation d’élection n’a pas été effectué dans les jours précédent. Rien n’est prévu au PV pour consigner ce genre d’événement, ni le président, ni les assesseurs ne comprennent la raison de ces procédures et la portée de ne pas les respecter. . Le président commence par contrôler l’urne. Après contrôle, celle-ci est scellée (collier Colson numérotés).
Chaque président dispose d’un mot de passe unique PourEVA : Si il oublie la lettre contenant le mot de passe, ce qui est fréquent, il est assez facile d’obtenir de la commune ou du ministère de l’intérieur le code nécessaire. , nécessaire pour démarrer son propre bureau de vote. Avant d’ouvrir le bureau de vote pour les électeurs, le président doit émettre des votes de référence. Au moyen de carte magnétiques, il/elle émet, sur chaque machine à voter, un ou plusieurs votes par élection et note les votes émis sur un formulaire prévu à cette fin.
Cette opération est répétée encore une fois à la fin de la procédure de vote (lors de la clôture du bureau de vote) à condition que tous les votes de référence émis soient visualisés sur chaque machine à voter. Lorsque pendant les opérations électorales, le bureau de vote doit faire procéder à la réparation d’une machine à voter, tous les votes de références sont visualisés après le redémarrage de la machine à voter. La réparation d’une urne doit être effectuée en présence du président.
Les contrôles nécessaires sont intégrés de sorte que tant lors du démarrage que pendant la procédure de vote, aucun support de mémoire d’origine étrangère ne peut être introduit.
2.2. La procédure de vote
Dans le bureau de vote, l’électeur reçoit une carte magnétique vierge PourEVA : Cette carte n’est pas vraiment vierge puisqu’elle contient l’information si l’électeur est belge ou non-belge afin de déterminer à quelles élections il peut participer. . Dans l’isoloir, l’électeur émet son vote sur la carte magnétique en désignant le candidat pour lequel il vote à l’aide du crayon optique sur l’écran de l’ordinateur. Ces informations sont enregistrées sur la carte magnétique. L’électeur glisse sa carte magnétique dans une urne électronique permettant de lire les informations enregistrées sur la carte. Le président dispose d’un ordinateur qui est connecté à l’urne. Les votes émis sont conservés tant sur la carte magnétique que sur un support de mémoire PourEVA : C’est cette mémoire qui a été perturbée lors de l’incident de Schaerbeek. . De cette manière, aucun vote ne peut être perdu (par exemple en raison d’une coupure de courant). Un recomptage est toujours possible.
Lors de la clôture du bureau de vote, les supports de mémoire placés dans l’enveloppe scellée PourEVA : Souvent l’enveloppe n’est pas scellée et le président transporte avec lui les disquettes et les codes secrets pendant son trajet du bureau de vote au bureau principal de canton. Parfois ce trajet prend un temps certain. de même que le procès-verbal, sont transportés vers le bureau principal de canton.
2.3. Totalisation.
Toutes les disquettes de tous les bureaux de vote de ce canton sont lus au moyen d’une machine de totalisation et les votes obtenus par chaque liste et chaque candidat sont additionnés. Ces résultats sont envoyés pour suite du traitement au SPF Intérieur. Dans le cadre du vote automatisé, les bureaux de dépouillement traditionnel n’ont plus de raison d’être.
Ici aussi le logiciel est téléchargé au moyen d’éléments de sécurité distincts (mots de passe). Le logiciel prévoit le dédoublement nécessaire des compteurs et le cryptage des données.
Toutes les données sont conservées chez le président de canton jusqu’au moment de la "validation" des élections.
Le recomptage d’un ou de plusieurs bureaux de vote est toujours possible. Ce recomptage se déroule sur un ordinateur indépendant de l’ordinateur initial sur lequel les votes ont été récoltés.
2.4. Transmission des résultats.
L’envoi des résultats se déroule dans un environnement sécurisé. Les données sont cryptées et signées au moyen d’une signature électronique.
3. Mesures.
Il est permis de se demander quelles mesures sont prises afin de garantir la sécurité du vote automatisé et de veiller à ce qu’il soit satisfait aux 3 caractéristiques susmentionnées.
3.1. Le jour des élections, le citoyen doit pouvoir émettre son vote sans y être contraint.
Afin de permettre au citoyen de se familiariser avec le vote automatisé, de nombreuses communes organisent des séances d’essai. Des démonstrations sont disponibles sur plusieurs sites Internet, des dépliants sont distribués, etc... . A proximité des locaux de vote est installé un ordinateur sur lequel l’électeur peut s’exercer. Dans le bureau de vote, l’électeur qui est confronté à des difficultés a également la possibilité de solliciter l’aide du président du bureau.
Par le biais de son site Internet, le SPF Intérieur permet à l’électeur de s’exercer au vote automatisé, tout d’abord de manière fictive et par la suite sur les listes de candidats déposées.
Le jour des élections, une armée de techniciens se tient prête à remplacer en un minimum de temps les machines à voter défectueuses.
Si cela s’avère absolument nécessaire, le président du bureau de vote peut décider de reculer l’heure de fermeture du bureau.
3.2. Eviter la fraude
Hormis les procédures déjà susmentionnées, une série de mesures organisationnelles et techniques peuvent également être énumérées :
- Pour chaqe élection, le codage des listes de candidats, l’introduction des paramètres des bureaux de vote et des bureaux principaux de canton et la confection des disquettes nécessaires pour le démarrage des systèmes de vote et de totalisation sont exclusivement réalisés par le SPF Intérieur. Les disquettes sont confectionnées dans un endroit sécurisé. Durant la confection, il est à maintes reprises fait usage de mots de passe. Un test est réalisé avec un nombre représentatif de disquettes.
- Le transport et la délivrance des disquettes se font toujours en présence du personnel du SPF Intérieur. Les mots de passe et les disquettes sont placés dans des enveloppes scellées distinctes. Les présidents des bureaux de vote entrent le plus tard possible en possession des disquettes et des mots de passe par l’intermédiaire des présidents des bureaux de canton.
- Pour chaque élection, un organisme agréé par le SPF Intérieur contrôle le bon fonctionnement des programmes.
- Les codes sources des programmes utilisés sont publics et peuvent être obtenus sur le site www.elections.fgov.be. Tout un chacun peut dès lors vérifier le bon fonctionnement de ces programmes.
- Un certain nombre d’experts, désignés par les Assemblées législatives, exercent une fonction de contrôle et de surveillance du vote automatisé. A l’aide d’un logiciel de contrôle, ils peuvent déterminer si les votes émis ont été correctement inscrits sur les cartes magnétiques et s’ils sont totalisés comme tels. Le contrôle est réalisé par les experts tant pendant la période précédant les élections que le jour même des élections.
- Afin d’empêcher toute manipulation du programme durant le scrutin, les ordinateurs ne sont pas équipés de disques durs ou de tout autre support d’information interne. Il n’y a pas de port USB, pas de carte réseau, ... L’installation du programme approprié sur l’ordinateur ne peut se faire que par le biais du lecteur de disquettes auquel le public n’a pas accès. En outre, la procédure d’installation du programme est sécurisée par un mot de passe qui est propre au bureau de vote et n’est connu que par le président du bureau électoral. Les ordinateurs ne sont pas intégrés dans un réseau.
- A chaque stade du traitement des données du vote automatisé, il est fait usage de programmes antivirus.
- Toutes les machines à voter sont équipées d’une "alarme" qui émet un signal d’avertissement destiné au président dès qu’il y a un problème avec le matériel de vote.
D’autres mesures qui doivent empêcher la fraude :
- Tout comme dans un bureau de vote traditionnel, le président du bureau de vote s’assure que l’urne ne contient aucune carte magnétique. Il scelle ensuite l’urne. PourEVA : Il ne peut toute fois s’assurer que l’urne est bien logiquement vide avec tous les partis à zéro vote avant que l’élection commence.
- Touts les fichiers qui sont enregistrés sur les disquettes dans le cadre du vote automatisé, tant durant la préparation et le vote en lui-même que lors de la totalisation, sont cryptés. Par ailleur, tout enregistrement est garanti par un code authentique afin d’éviter toute modification ultérieure.
- L’électeur qui veut s’assurer que son vote a été correctement inscrit sur la carte magnétique, peut effectuer un contrôle sur une autre machine à voter. PourEVA : La loi prévoit que l’électeur peut, après son vote, visualiser le contenu de sa carte magnétique uniquement sur le même ordinateur de vote et en aucun cas dans un autre ordinateur. Quand bien même l’électeur pourrait visualiser sur un autre ordinateur, toutes les machines à voter étant démarrée par la même disquette, il n’y a pas de raison de faire plus confiance à l’un d’entre eux qu’à un autre. La fonction de visualisation pourrait mentir de façon coordonnée avec la fonction d’enregistrement du vote, pire, le contenu de la carte magnétique pourrait être modifié pendant ou après la visualisation. Le vote est visualisé exactement sous la même forme et mise en page que pendant le vote, ceci ne permet pas a un électeur qui se serait trompé (par exemple en votant dans la colonne à gauche ou à droite) de détecter son erreur.
3.3. Garantir le secret du vote
Aucun moyen ne permet de savoir pour qui un électeur à voté PourEVA : Il est néanmoins facile de distinguer le vote d’un électeur non-belge de celui d’un électeur belge, simplement en regardant le nombre d’élection pour lequel il y a un vote valide. Ce danger est d’autant plus grand lorsqu’il y a peu d’électeur européen dans un bureau et la collecte par le collège des experts d’une copie de toutes les disquettes de résultat augmente le nombre de personne ayant accès à cette information et le risque que d’autres y ai accès . Les informations enregistrées sur la carte magnétique ne permettent en effet pas d’établir un lien avec la personne qui a émis le vote. En outre, les informations sur la carte sont rendues illisibles par cryptage PourEVA : Selon nos informations le contenu de la carte magnétique n’est pas crypté mais seulement signé pour garantir que l’urne n’accepte que des bulletins du même bureau. . Les votes sont enregistrés dans la mémoire de l’ordinateur en ordre aléatoire (’randomize order’) PourEVA : Selon l’analyse de la société afront, ce mélange n’est pas efficace et l’ordre original peut être retrouvé facilement. Il y a sur ce sujet une incompréhension entre les experts , de sorte qu’il est impossible de retrouver, par exemple en suivant l’ordre d’entrée, à quel candidat l’électeur a accordé sont vote.
Après que le vote émis a été correctement inscrit sur la carte magnétique, celui-ci est immédiatement effacé de la mémoire de la machine PourEVA : Ceci n’était pas fait jusqu’en 2003. Suite à une analyse indépendant que l’on ne doit ni au fournisseur, ni au collège des experts, ni à l’organisme de contrôle agréé. En 2004 le code a été modifié pour effacer certaines informations, mais d’autres traces du choix de l’électeur ne sont pas correctement effacées. C’est ce que nous révèle à nouveau l’analyse indépendante de la société afront. à voter de sorte que l’électeur suivant ne peut jamais récupérer le vote de l’électeur précédent.
3.4. Normes
Le matériel de vote satisfait à l’AR du 18 avrl 1994 "Arrêté royal fixant les conditions générales d’agrément des systèmes de vote automatisés et des systèmes électroniques de totalisation des votes".
Henry SNYERS
Luc SMET