17/10/2015: Critique du système Smartmatic
Depuis 2012 en Belgique, une partie des électeurs vote à l’aide du système de vote électronique fourni par la société Smartmatic (associée à la société Steria). Quels sont les problèmes soulevés par l’utilisation de ce système ? Nous nous intéresserons tant aux aspects pratiques, légaux et financiers qu’au respect des principes et des usages démocratiques.
Description du système
Le système est composé de 3 parties :
- La première partie est constituée d’un ordinateur avec un écran tactile qui est utilisé par l’électeur pour exprimer son vote, après avoir été activé par une carte à puce. L’ordinateur imprime un ticket à la fin du processus de vote avec un code barre en 2 dimensions et un récapitulatif du vote choisi en petits caractères.
- La deuxième partie est l’urne électronique sur laquelle il faut scanner le ticket pour qu’il soit pris en compte puis dans laquelle il faut ensuite introduire le ticket.
- La troisième partie est l’ordinateur du président de bureau qui sert à activer les cartes à puce et les autres ordinateurs, puis à clôturer le système à la clôture du bureau de vote pour sortir les résultats qui sont enregistrés sur deux clés USB.
Carte d’initialisation du système
Les cartes à puce permettant l’activation de l’ordinateur de vote, appelées aussi “jetons”, ont toutes la même apparence et couleur, que l’électeur soit belge, belge de l’étranger ou européen. Or de nombreux problèmes ont été constatés, où l’électeur ne recevait pas la bonne carte, et pouvait donc voter pour des élections auxquelles il n’avait pas droit.
Il faudrait donc prévoir des cartes à puce distinctes et facilement identifiables pour chaque type d’électeur afin de minimiser ce genre de problème et rendre visible une mauvaise attribution de carte.
Contenu du ticket
Comme expliqué ci-dessus, le ticket produit par l’ordinateur de vote contient deux parties : d’une part un code barre, et en-dessous, le récapitulatif des gens pour qui vous avez voté et/ou le parti, écrit en petits caractères, et cela par élection s’il y en a plusieurs.
Ce qui est un premier problème : contrairement au vote papier, s’il y a plusieurs élections, les différents votes figurent sur un même ticket. Cela pourrait permettre de faire des recoupements en fonction des votes choisis pour chaque scrutin.
Deuxièmement, le code barre imprimé n’est pas au format standard, ce qui vous empêche de vérifier ce qu’il contient avec votre smartphone par exemple. Or, selon la loi et la pratique en vigueur jusqu’ici, c’est bien ce code uniquement qui est pris en compte par le système pour enregistrer votre suffrage.
Enfin, il serait souhaitable que le ticket contienne la mention du nom et du numéro de bureau de vote où il est émis à des fins de contrôle.
Utilisation du ticket
Le ticket, une fois imprimé, doit être scanné par l’ "urne électronique" pour être pris en compte. Il faut donc le déplier pour pouvoir faire lire ce code barre par la machine, alors qu’avec le vote papier il est interdit de déplier son bulletin en dehors de l’isoloir. Il y a donc un risque d’atteinte au secret des votes.
Si un électeur qui a mal compris les instructions met son ticket directement dans l’urne sans le scanner, quelles conséquences cela entraine-t-il ? Le vote n’est pas pris en compte par le système, mais un éventuel recomptage des tickets donnerait dans ce cas un résultat différent.
Enfin la loi actuelle ne prévoit pas ce qui doit se passer si vous altérez votre ticket en écrivant quelque chose dessus par exemple. En vote papier, le bulletin serait écarté comme vote nul, mais ici, à moins que vous abimiez fortement le code barre, l’urne le scannera sans problème, et vous pourrez mettre votre ticket dans l’urne physique sans que quelqu’un remarque les signes sur votre ticket (qu’ils ne sont pas censés essayer de voir). Mais si on recomptait les tickets papier, ce vote serait comptabilisé comme un vote nul. Il y a donc dans la loi un flou juridique à ce niveau.
Ce mode de fonctionnement n’est d’ailleurs pas celui qui avait été prévu au départ par le rapport BeVoting, qui prévoyait un fonctionnement avec une urne passive et séparée du reste du système [1].
Contrôle du système
Si le système est en théorie plus contrôlable que ceux qui l’ont précédé, en pratique ce contrôle est quasi inexistant. Nous avons vu que l’auto-contrôle du code barre est impossible. Il existe normalement dans les bureaux de vote un autre ordinateur permettant de lire ces codes barre, mais ils sont rarement mis en avant et donc peu utilisés par les électeurs. De plus, cet autre ordinateur fonctionnant avec le même système que celui à l’aide duquel les électeurs votent ; si ce système a un bug, un code mal généré pourrait être de la même façon mal lu et donc ne pas montrer qu’il y a un problème.
Par ailleurs, point très problématique, la loi actuelle ne prévoit aucun comptage des tickets papier mis dans l’urne après leur scannage. Seul le Collège des experts peut organiser ces comptages s’il le souhaite. Mais vu ses moyens limités, en pratique il ne le fait que rarement. Il a pourtant constaté des différences dans les résultats dans la majorité des cas où il s’y est attelé.
Il est de plus difficile de détecter un éventuel problème dans les résultats. S’il y a une incohérence manifeste, on peut se douter d’un souci, mais si le résultat est faux mais a l’air cohérent, qui pourrait s’en rendre compte ? Une solution pour éviter cela serait que la loi prévoie de compter systématiquement les tickets papier dans un nombre significatif de bureaux tirés au hasard, pour comparer ces résultats avec ceux produits par le scannage. Et qu’en cas de résultats différents, un comptage systématique de tous les tickets soit prévu par cette même loi. Ce qui pose le problème du manque de lisibilité pour un humain du vote exprimé sur le ticket (taile de la police de caractères très petite).
Enfin, rien n’est prévu pour le contrôle de la prise en compte, de l’interprétation, de la comptabilisation et la totalisation des votes.
Utilisation des ordinateurs de vote
L’utilisation de l’ordinateur de vote et de son écran tactile ne va pas sans certains problèmes. Tout d’abord, utiliser des machines crée une barrière supplémentaire pour les personnes qui ont des difficultés avec la technologie, par exemple les personnes âgées. Cela complique aussi les choses pour les gens qui ont des problèmes d’illettrisme et qui sont encore nombreux en Belgique. En outre, cela accentue les problèmes d’accessibilité aux personnes en situation de handicap, pour qui le vote reste pourtant un droit humain fondamental.
Il y a également une augmentation de la possibilité d’erreurs de manipulation lors de la navigation entre les différents écrans de vote, par exemple si l’écran tactile est trop sensible comme cela a été constaté lors du scrutin de 2012 [2].
Il n’y a en outre pas de manuel facile à comprendre expliquant comment voter électroniquement à l’intérieur de chaque isoloir.
Enfin, l’utilisation de l’ordinateur fait que si vous constatez un problème de fonctionnement, voire un blocage du système, vous devez faire appel au président pour le lui signaler, avec le risque d’atteinte au secret de votre vote, ce qui ne peut pas arriver avec le vote papier.
Codes sources du système
Le code source du système est rendu public par le SPF Intérieur mais uniquement après les élections. Or il vaudrait mieux avoir le maximum de temps pour pouvoir analyser le code par qui le souhaite, afin de découvrir des éventuels bugs avant le jour de l’élection, car après on peut se retrouver avec des données définitivement perdues. Chaque changement doit être spécialement documenté. L’archive fournie actuellement est démesurée et de mauvaise qualité : fichiers binaires, manque de documentation, nombreux doublons.
Il serait donc souhaitable que le code source soit publié préalablement, idéalement accessible en tout temps, par exemple dans un dépôt public. Il est à noter que l’analyse qu’à pu en faire le Collège des experts a conclu que “la qualité des codes sources n’est pas suffisante”.
Rajoutons que si la publication du code peut forcer l’état a améliorer la qualité et être utile à nos chercheurs en sécurité, il reste illisible pour la majorité des citoyens non-informaticiens, et rien ne peut prouver que c’est bien ce code qui est utilisé pendant les élections.
Certification du système
La procédure prévoyant la certification, la vérification et la validation des logiciels et matériels utilisés doit être sérieusement améliorée pour permettre d’analyser ceux-ci en profondeur. En effet comme l’a montré le bug des élections de 2014, la procédure d’audit actuelle n’a pas détecté une simple erreur de programmation qui a eu des graves conséquences.
Il faut revoir cette procédure pour permettre qu’un audit réel et sérieux des logiciels et matériels utilisés soit réalisé, et qu’un défaut de cette réalisation puisse être sanctionné.
Il faut également que l’auditeur ne soit pas choisi ni rémunéré par la société fournisseur censée être contrôlée (ce qui engendre un conflit d’intérêt), et que le rapport de certification détaillé soit rendu public avant les élections.
Impression du ticket
Le ticket est généré par une imprimante à têtes thermiques sur du papier thermosensible. Ce n’est pas très respectueux de l’environnement, mais c’est loin d’être le principal problème.
Le plus gros souci est matériel : qui n’a jamais eu des soucis d’imprimante ? Les pannes régulières sont inévitables, et qu’est-il alors prévu si cela arrive au milieu de l’impression de votre ticket ? Vous devrez probablement appeler le président du bureau et briser le secret de votre vote. Ensuite le rouleau de papier pourrait aussi arriver à son terme au mauvais moment : même problème.
Le deuxième souci est la qualité du papier : elle est assez mauvaise comme tous les papiers thermiques. Le ticket est donc fragile et pourrait par exemple facilement se déchirer lors de manipulations.
Enfin, le problème des impressions thermiques est qu’elles s’effacent rapidement, il se pourrait donc qu’en cas de recomptage des tickets post-élections, une partie de ceux-ci ne soient plus lisibles.
Il faudrait donc envisager une solution d’impression de meilleure qualité.
Coût du système
Malheureusement nous avons peu d’information sur cet aspect, ce qui est en soi un premier problème. Les contrats d’équipement et de maintenance, ainsi que les informations budgétaires liées doivent être rendus publics.
Le coût d’achat de ces systèmes est loin d’être négligeable : l’équipement d’une partie des communes en Région flamande pour les élections de 2012 a coûté 36 M€ [3].
Selon les informations données par le SPRB au Parlement Bruxellois lors des [auditions d’expert], l’équipement des communes bruxelloises coûterait 7,5 M€.
Enfin selon une réponse donnée par le cabinet du SPF Intérieur récemment [4], le coût d’un vote avec Smartmatic est plus du double de celui d’un vote papier.
En conclusion, malgré la difficulté à mesurer le coût réel de ce système, une chose est sûre : cela coûte dans tous les cas plus cher, et cela pour des machines utilisées une fois tous les 2 ou 3 ans.