logo
Accueil » Documents officiels » Rapports des experts » Région de Bruxelles-Capitale : rapport du Collège d’experts chargés du (...)

30/10/2018: Région de Bruxelles-Capitale : rapport du Collège d’experts chargés du contrôle des systèmes de vote automatisés

Élections communales du 14 octobre 2018


Ceci est une publication sans commentaire du rapport Bruxellois pour les élections communales de 2018.

La version texte a été mise en page à partir de la version officielle (copie jointe).

Voir aussi Bilan des élections communales du 14 octobre 2018 à Bruxelles pour une analyse.

Avant-propos

Suite à l’incident de Saint-Josse-ten-Noode, le Collège n’a pu terminer ses contrôles endéans le délai imparti pour la remise officielle de son rapport, certaines opérations ayant lieu après la date de remise du rapport. Il a donc remis un rapport provisoire qui est remplacé par le présent rapport définitif.

Le Collège considère le présent rapport comme son seul et unique rapport.

Le Collège n’a pas eu le temps matériel de procéder à la traduction de son rapport. Si, comme les rapports précédents, celui-ci devait être publié comme document parlementaire bilingue, le Collège demande au Parlement que la traduction qui en serait faite lui soit soumise afin de pouvoir l’adapter en vue de conserver dans les deux langues l’exactitude technique et les nuances de son contenu.

1. Le Collège

1.1. Composition du Collège

En vertu de l’article 10, § 1er, alinéa 2, de l’ordonnance du 12 juillet 2012 modifiée par l’ordonnance du 15 décembre 2017, MM. Jean-Marc Paul et Pascal Van de Walle sont, en tant que membres du Collège permanent désignés par le Parlement de la Région de BruxellesCapitale, membres effectifs de droit du Collège d’experts.

Le Parlement de la Région de Bruxelles-Capitale a désigné, lors de la séance plénière du 22 juin 2018, les experts suivants qui composent, avec les membres précités, le Collège des experts pour les élections communales du 14 octobre 2018 :

  • M. Emmanuel Willems : effectif ;
  • M. Olivier Markowitch : effectif ;
  • M. Karel Van Geyt : suppléant ;
  • M. Jérôme Dossogne : suppléant ;
  • M. Fabrice Dumortier : suppléant ;
  • M. Jean-Michel Dricot : suppléant.

En application de l’article 10 § 1 de l’ordonnance du 12 juillet 2012, ont été désignés comme président M. Jean-Marc Paul et comme secrétaire M. Jérôme Dossogne.

1.2. La mission

Le rôle, la mission et les moyens du Collège sont définis dans l’ordonnance du 15.12.2017 (M.B. 29.01.2017) modifiant l’ordonnance du 12 juillet 2012, dont le texte suit.

« Les experts contrôlent, lors des élections, l’utilisation, le bon fonctionnement et l’intégrité des systèmes logiciels et processus électroniques relatifs à la collecte des données, à la préparation des supports électroniques, à la totalisation, au calcul et à la diffusion des résultats ainsi que les procédures concernant la confection, la distribution et l’utilisation du matériel, des logiciels et des supports mémoire. Les experts reçoivent du Service public régional de Bruxelles les autorisations ainsi que l’ensemble des données, des renseignements et informations utiles pour exécuter leur mission.

Les membres des bureaux électoraux, les organismes visés à l’article 4, § 3, alinéa 2, de la loi du 7 février 2014 organisant le vote électronique avec preuve papier et les entreprises privées ainsi que leurs membres associés par les autorités compétentes au déroulement du processus électoral fournissent également aux experts le matériel ainsi que l’ensemble des données, renseignements et informations utiles pour exercer le contrôle tel que décrit à l’alinéa 1er.

Durant la journée électorale, les experts peuvent notamment émettre des votes de test dans les bureaux de vote. Ceux-ci ne seront ni scannés ni comptabilisés. Ils peuvent vérifier la conformité des informations imprimées avec le vote de test qu’ils ont émis précédemment, vérifier l’équipollence, au moyen du scanner mis à la disposition du public ou de tout autre scanner, entre le résultat affiché à l’écran et celui imprimé sur le bulletin papier.

Le Collège d’experts peut procéder à un audit des résultats afin de garantir la fiabilité et l’intégrité du système de vote électronique avec production d’un bulletin de vote papier. »

1.3. Le rapport

Au plus tard dix jours après le jour des élections, le Collège remet un rapport au Gouvernement et au Parlement de la Région de Bruxelles-Capitale. Ce rapport peut contenir des recommandations relatives au matériel et aux logiciels qui ont été utilisés ainsi qu’aux procédures qui ont été appliquées. (Ord. 12.07.2012 Art. 10 § 3)

2. Législation

Depuis les dernières élections communales de 2012, la législation concernant le vote électronique a fait l’objet de différentes ordonnances et résolutions apportant plusieurs modifications au vote électronique en Région bruxelloise :

  • la résolution du 24 juin 2016 relative au choix du système de vote ;
  • l’ordonnance du 20 juillet 2016 modifiant l’ordonnance du 12 juillet 2012 organisant le vote électronique pour les élections communales ;
  • l’ordonnance du 15 décembre 2017 modifiant le Code électoral communal bruxellois et l’ordonnance du 12 juillet 2012 organisant le vote électronique pour les élections communales.

Ces ordonnances et résolution ont également tenu compte des élections de 2014 et du rapport du Collège d’experts fédéral.

Les différences principales sont :

  • l’abandon de l’ancien système de vote électronique basé sur les cartes magnétiques ;
  • l’utilisation généralisée du nouveau système de vote avec preuve papier basé sur l’étude BeVoting des universités belges, SmartMatic ;
  • la présence dans chaque bureau de vote d’une machine réservée à la visualisation et qui ne peut pas servir à l’émission de votes ;
  • l’utilisation du nouveau système de collecte de données, de totalisation et de diffusion des résultats, Martine ;
  • une nouvelle procédure de recomptage des chiffres électoraux d’une urne (au moins) par le bureau principal en guise de contrôle ;
  • l’extension de la durée de la mission du Collège ;
  • l’extension de la portée de la mission du Collège ;
  • la remise au Collège par les présidents des bureaux principaux des supports mémoire le lendemain des élections ;
  • l’extension aux autres intervenants de l’obligation de fournir au Collège d’experts les informations dont il a besoin pour réaliser sa mission.

3. Description des systèmes

Les systèmes électoraux sont composés de deux ensembles fonctionnellement distincts mais qui communiquent entre eux à différents moments du processus électoral. Le premier, mis au point par la société SmartMatic, concerne les systèmes installés dans les bureaux de vote et la préparation des supports mémoire utilisés dans les bureaux de vote. Le second, dénommé « Martine » et développé par la société Civadis, prend en charge les systèmes de récolte et de gestion des informations en amont des bureaux de vote et, en aval, le regroupement, la totalisation et la production des résultats et procès-verbaux des élections dans les bureaux principaux.

Ces systèmes sont pour l’essentiel identiques à ceux utilisés pour les autres scrutins informatisés en Belgique : les différences se situent essentiellement au niveau de fichiers de configuration.

3.1. Description fonctionnelle globale

Avant les élections, le système Martine sert entre autres à récolter les données des candidats pour confectionner les listes. Les fichiers informatiques générés par cette opération sont intégrés à l’environnement de SmartMatic qui sert à la production des clés USB utilisées le jour des élections.

Le jour des élections, à la clôture des opérations dans le bureau de vote, la machine du président génère un fichier résultat « X7S » qui contient la totalisation des votes émis dans ce bureau.

Au bureau principal, le système Martine injecte ce fichier résultat dans un serveur central qui effectue la totalisation de tous les bureaux de la commune, calcule les résultats complets de l’élection et diffuse les résultats.

3.2. SmartMatic

3.2.1. Description fonctionnelle

3.2.1.1. L’urne et la machine du président

La combinaison machine du président / urne électronique existe en deux versions : la version utilisée pour la première fois en 2012 dans les communes de Woluwe-Saint-Pierre et de Saint-Gilles et une version 2018 utilisée dans les autres communes.

La version 2012 est constituée d’un ordinateur de type « portable » auquel sont connectés un hub USB muni de deux clés USB identiques, une urne électronique et un lecteur-enregistreur de cartes à puces. Les clés USB contiennent tous les logiciels du bureau de vote, tant pour la machine du président que pour les machines à voter. L’urne est composée d’un réservoir destiné à collecter les votes imprimés par les machines à voter et est coiffée par un scanner de QR-codes (code-barres bidimensionnel).

Dans la version 2018, le PC du président du bureau de vote s’apparente à un PC à écran tactile connecté au hub USB de l’urne qui lui fournit son alimentation.

3.2.1.2. La machine à voter

La machine à voter SmartMatic est un ordinateur basé sur des composants standard placés avec un boîtier particulier muni d’un écran tactile, d’un lecteur de cartes à puce et d’une imprimante intégrée. L’interrupteur, la prise pour le raccordement au réseau électrique, la prise pour le clavier, les connecteurs USB, le connecteur pour l’alarme sont situés sur la face arrière. Les seuls composants de l’ordinateur auxquels l’électeur a accès sont le lecteur de carte à puce et l’imprimante qui sont sur la face avant. Une machine à voter n’a ni clavier ni disque dur.

Deux versions de la machine à voter ont été utilisées lors de l’élection : la version originale datant de 2012 et une nouvelle version de 2018. Les deux versions diffèrent par la taille de l’appareil et par le positionnement du lecteur de carte à puce et de l’imprimante. Pour le reste, elles fournissent exactement les mêmes fonctionnalités.

3.2.2. La procédure électorale avec preuve papier

3.2.2.1. L’ouverture du bureau de vote avec preuve papier

La première opération consiste à démarrer la machine du président à l’aide des deux clés USB identiques qui lui ont été fournies en même temps que ses mots de passe.

Le président et son bureau vérifient le bon raccordement des différents éléments et démarrent la machine du président. Ensuite vient une phase de diagnostic de la machine du président et des périphériques raccordés (clés USB, urne, valideuse de carte à puce, clavier, souris…).

La machine du président demande de démarrer les machines à voter. Une des clés USB est nécessaire pour démarrer les machines à voter. Lorsque toutes les machines à voter sont prêtes, les clés USB sont réintroduites dans la machine du président.

3.2.2.2. Le déroulement du vote

Le vote est réalisé sur la machine à voter qui se trouve dans l’isoloir. La machine à voter imprime une preuve papier reprenant le vote sous forme lisible ainsi que sa représentation sous forme de QR-code.

Chaque électeur reçoit une carte à puce initialisée pour lui permettre de voter. Il l’emporte dans l’isoloir et l’introduit dans la machine à voter. Toute carte mal initialisée, non initialisée ou déjà utilisée est refusée. Cette carte ne sert qu’à démarrer l’opération de vote et ne contient aucune autre information ; elle ne sert pas à enregistrer le vote.

L’écran affiche des indications pendant toute l’opération de vote. Il est demandé à l’électeur de choisir la langue de l’interface. Il peut ensuite exprimer son vote (vote blanc, vote en tête de liste, un ou plusieurs candidats de la même liste). À chaque étape, il lui est demandé de confirmer avant de passer à l’étape suivante. Lorsque l’électeur a confirmé son vote sur l’écran tactile, le vote est définitif. Tant qu’il n’est pas confirmé, l’électeur peut annuler son vote et recommencer.

Après confirmation du vote, la machine à voter imprime le vote sous forme textuelle ainsi que sous la forme d’un QR-code sur un bulletin « preuve papier » et invite l’électeur à retirer la carte à puce. Dans un isoloir prévu à cet effet, l’électeur peut scanner le QR-code de sa preuve papier au moyen d’un scanner à main. Le contenu du QR-code est alors affiché à l’écran et l’électeur peut vérifier son vote.

L’électeur se dirige ensuite vers l’urne où il lui est demandé de placer le QR-code de son bulletin de vote au-dessus du scanner de l’urne. Après confirmation sonore et visuelle (sur l’écran du président) que le QR-code a bien été lu et enregistré par l’ordinateur du président, l’électeur introduit son bulletin de vote dans l’urne et remet la carte à puce au président ou à un assesseur.

3.2.2.3. La clôture du bureau de vote

À l’issue du scrutin, le bureau de vote est clôturé et un rapport reprenant les chiffres-clés est imprimé. Ce rapport est signé de manière manuscrite par les membres du bureau de vote et joint à leur PV.

L’urne est ouverte et les bulletins « preuves papiers » sont transférés dans une enveloppe. Cette enveloppe contenant les bulletins de vote est ensuite scellée. Le procès-verbal, les clés USB du bureau et l’enveloppe contenant les bulletins de vote sont emmenés au bureau principal.

3.2.3. Éléments techniques du système SmartMatic utilisé dans les bureaux de vote

Le système SmartMatic utilisé dans les bureaux de vote s’exécute à partir des supports mémoires de type clés USB. Ces clés USB contiennent tous les programmes et toutes les données nécessaires au fonctionnement des différents ordinateurs (machine du président et machine de vote) et périphériques (urne et scanner à main présent dans un isoloir).

Les clés USB sont produites de manière centralisée et sont strictement identiques pour tous les bureaux de vote, tant pour la version 2012 que pour la version 2018 du matériel SmartMatic. Elles ne deviennent spécifiques à un bureau de vote qu’après le premier démarrage et l’introduction du nom du bureau et du mot de passe correspondant.

À partir de ce moment, les clés ne peuvent plus être utilisées que pour ce bureau de vote spécifique.

La clé contient par ailleurs deux zones de stockage, appelées « partitions » en jargon informatique : l’une est propre et spécifique aux programmes qui tournent dans le bureau de vote le jour des élections. Dans ce rapport, elle est identifiée en tant que « partition SmartMatic ». L’autre sert au stockage des données et des résultats du bureau de vote qui doivent être transférés à l’environnement Martine pour la totalisation par commune et le calcul des résultats de cette commune. Dans ce rapport, elle est identifiée en tant que « partition Martine ».

3.2.3.1. Partition SmartMatic

À chaque bulletin de vote scanné par l’urne, une copie du vote exprimé est stockée dans un fichier avec extension « .VT » dans le dossier « /SAESLocal/SAES/Votes » de la clé. À la fin de la journée, ce dossier contient autant de fichiers « .VT » qu’il y a eu de bulletins scannés.

Au moment de la clôture des opérations, un fichier « résultat » avec extension « .X7S » est généré en deux langues (bilinguisme bruxellois oblige). Ces fichiers sont numériquement signés et cryptés de manière à ne pouvoir être décryptés que par l’application Martine chargée de les totaliser.

3.2.3.2. Partition Martine

À la clôture du bureau de vote, les fichiers « .VT » et « .X7S », ainsi que quelques autres fichiers de contrôle, sont copiés depuis la partition SmartMatic vers la partition Martine.

Parmi les fichiers de contrôle se trouve le fichier PDF qui sert à l’impression dans le bureau de vote du « Rapport des chiffres-clés d’élections communales – RBC ».

3.3. Martine

Martine est une plateforme en ligne multitâches, permettant, entre autres, la gestion de la structure de l’élection, du nom et du nombre des bureaux principaux, du nombre de bureaux de vote par commune et de leur adresse, des contacts, des actes de dépôts, des PV d’arrêts, des PV de dépouillement, des résultats de vote.

Les acteurs concernés par Martine sont :

  • les communes ;
  • les bureaux principaux ;
  • les candidats ;
  • le pouvoir organisateur.

3.3.1. Infrastructure

La solution repose sur un environnement virtualisé basé sur une distribution Linux CentOs/Redhat et VMware ESXi hypervisor. L’application se répartit au minimum sur 3 serveurs. Tous les modules sont déployés de manière redondante selon le principe du mode de fonctionnement « actif/actif ». Les bases de données et le filesystem serveur fonctionnent en mode « actif/passif ».

Au minimum deux lignes redondantes sont disponibles, une en production, l’autre en alerte. Les bases de données principales et de sauvegarde se synchronisent en continu. Les infrastructures sont équipées d’alimentation électriques, de connexions Internet, de switches, firewalls… redondants.

3.3.2. Logiciels

Martine est construite à partir d’ensemble de briques logicielles que l’on peut diviser en trois catégories :

  • « Web modules », conçus pour les utilisateurs ;
  • « Back end modules », pour gérer en arrière-plan les données et les résultats des candidats ;
  • « Support modules » à usage interne pour des tâches spécifiques.

3.3.2.1. Les modules

Martine propose les modules décrits ci-dessous.

3.3.2.1.1. MA1X (Web)

MA1X offre les outils pour préparer les listes électorales.

3.3.2.1.2. MA2X (web)

MA2X est utilisée par l’équipe du bureau de vote principal pour collecter les votes. Pour les bureaux de votes « papiers » les données sont encodées manuellement dans le système. Pour les bureaux de vote électronique, les données de vote sont obtenues via l’introduction de la clé USB SmartMatic. Les fichiers lus sont transférés vers MA2X et enregistrés pour des traitements ultérieurs.

MA2X s’occupe également de la production des résultats partiels et définitifs par bureau principal.

3.3.2.1.3. MA3X (web)

MA3X contient les informations relatives aux bureaux de vote et aux bureaux de dépouillement : les adresses et personnes de contacts, le président et le secrétaire du bureau, etc.

MA3X est également utilisé par MA1B (voir ci-dessous) et MA2X pour autoriser l’accès des utilisateurs authentifiés.

3.3.2.1.4. MA1L

MA1L sert à la préparation des actes de dépôt des candidats.

3.3.2.1.5. MA1B (Web)

MA1B va réceptionner les actes de candidatures avant d’aboutir à un procès-verbal d’arrêt définitif avec le détail des listes reçues de MA1X. MA1B enregistre aussi les listes finalisées dans le backend MARTINE.

3.3.2.1.6. MA3S

MA3S supervise les opérations effectuées dans MA3X par les communes et les bureaux principaux. Les modules « Collect » et « Calcul » permettent de suivre l’arrivée des fichiers sur les serveurs centraux du pouvoir organisateur. Le module « Cockpit » permet de suivre toutes les opérations effectuées par l’ensemble des modules.

3.3.2.1.7. DECRYPT (Support)

DECRYPT offre une interface de service à MA2X afin qu’il puisse lire et renvoyer des informations à partir de fichiers de résultats de vote chiffrés. Il est défini en tant que module distinct uniquement pour la sécurité. Il n’est pas accessible à partir d’Internet et peut donc être séparé davantage au niveau du réseau pour optimiser le contrôle d’accès. Le déchiffrement nécessite la clé de déchiffrement privée pour les fichiers lus à partir de clés USB.

3.3.2.1.8. MA1-COLLECT (Backend)

MA1-COLLECT est le point d’entrée principal pour les fichiers générés, avec interface de surveillance. Il effectue une validation simple des fichiers reçus et les stocke pour un traitement ultérieur par MA2-CALCULATE. MA1-COLLECT est également utilisé par MA2X pour lire les données de résultat nécessaires à la production de ses PV finaux.

3.3.2.2. Accès aux modules

L’accès aux modules destinés aux communes, aux bureaux principaux et aux formations politiques est conditionné par l’introduction d’une carte d’identité électronique avec le code pin associé. Ces modules sont : MA3X, MA1L, MA1B, MA2X.

Les utilisateurs des modules MA3X ne sont pas connus avant l’élection par les pouvoirs organisateurs. Ils sont désignés en interne par les communes (MA3C) ou par les présidents des bureaux principaux (MA3B). Un système de SPOC (« single point of contact ») a été mis au point pour permettre l’association d’un bureau avec ses utilisateurs. Martine associe à chaque bureau principal un login/password qui est transmis aux bureaux concernés par la voie officielle mise en place par le pouvoir organisateur.

La personne qui dispose du login/password du bureau peut s’enregistrer dans MA3x en introduisant sa carte d’identité et son code pin. Cette personne devient alors le SPOC principal pour ce bureau et pourra avoir accès par la suite à ce module en utilisant uniquement sa carte d’identité. L’utilisation du login/password n’est nécessaire que pour la première connexion.

Un SPOC peut désigner un SPOC backup dans son bureau.

4. Contrôles et constatations

4.1. Contrôles effectués avant le jour des élections

4.1.1. Confection des supports mémoire

Des membres du Collège ont visité les locaux où les enveloppes contenant les mots de passe et les supports mémoire utilisés pour les élections ont été confectionnés.

D’après les informations récoltées par le Collège, ce local est fermé à clé, sécurisé et uniquement accessible aux personnes autorisées.

4.1.2. Les rapports de l’organisme d’avis

L’organe consultatif agréé pour les systèmes de vote électronique tels que décrits à l’article 3 § 1 alinéa 2 de l’ordonnance du 12 juillet 2012 organisant le vote électronique pour les élections communales est la société PricewaterhouseCoopers (PwC).

4.1.2.1. Pour le système SmartMatic

La société PwC a été mandatée pour la vérification de l’adéquation des applications du système SmartMatic (convention PwC-SmartMatic du 30 avril 2018). L’analyse s’est focalisée sur l’application de préparation du système de vote, le système du président de bureau, l’urne, les machines à voter et l’application de recomptage. PwC a réalisé de multiples contrôles automatisés et a conduit des entrevues avec l’équipe en charge du développement.

Les experts ont reçu copie de l’avis définitif de l’organisme d’avis le 3 octobre 2018.

En ce qui concerne la certification du code source, le Collège des experts constate que l’analyse du code source repose essentiellement sur les explications données par l’équipe de développement de SmartMatic lors de trois séances de vidéoconférences limitées dans le temps. Dès lors, il apparait que le code source n’a pas été entièrement évalué.

4.1.2.2. Pour le système Martine

La société PwC a été mandatée pour la vérification de l’adéquation du système Martine (convention PwC-Civadis du 27 novembre 2017). L’analyse a été limitée au module MA2X et a porté sur (1) la sécurité, l’intégrité, la fraude et le secret du processus électoral, (2) la conformité à la législation, (3) le caractère fonctionnel et résilient des systèmes. PwC a réalisé de multiples contrôles automatisés et a conduit des entrevues avec l’équipe en charge du développement.

Les experts ont reçu copie de l’avis définitif de l’organisme d’avis le 9 octobre 2018.

Le Collège des experts note que de nombreuses vérifications et de nombreux tests réalisés n’ont pas été systématiques mais le furent sur la base de coups de sonde.

Le Collège des experts constate que PwC conclut son rapport d’analyse sous réserve que les derniers points d’attention relevés soient traités par la société Civadis pour le jour des élections. La mission de PwC se termine sur une certitude raisonnable mais non absolue que le système Martine est conforme.

Le Collège remarque aussi que le rapport de PwC se focalise sur des aspects d’ergonomie et de respect de la législation. Le Collège constate que les aspects liés à la sécurité informatique ont été traités de manière superficielle.

Le Collège s’étonne de ne pas avoir reçu l’avis de PwC concernant les autres modules du système Martine.

4.1.3. Authenticité des codes sources SmartMatic

Lors de la remise de son rapport, l’organisme d’avis PwC a également fourni au pouvoir organisateur et au Collège d’experts une clé USB contenant l’environnement, les outils, les procédures et les codes sources permettant la génération des logiciels en environnement SmartMatic.

Le Collège a procédé à une compilation de référence avec l’assistance de SmartMatic, la documentation étant par moment contradictoire et peu claire.

Le Collège a pu vérifier que les exécutables ainsi obtenus étaient pratiquement tous identiques à ceux utilisés le jour des élections, à quelques bytes près.

4.1.4. Analyse du système de vote et des codes sources

Le Collège d’experts a analysé succinctement, étant donné la courte durée de sa mission, la manière dont la sécurité informatique est mise en œuvre dans les différents systèmes, sur la base du code source et des documents techniques reçus des entreprises. Le Collège d’experts émet dans ce rapport une série de recommandations relatives à la sécurité des systèmes de vote et à la mise en œuvre des techniques cryptographiques.

Le Collège d’experts suggère aussi des mesures (sur la base de réalisations systématiques d’audits, de relectures systématiques des votes par les électeurs, de normes de qualité des codes sources et de la documentation) afin d’améliorer la transparence et la sécurité du processus électoral dans son ensemble, y compris au cours de la période précédant l’élection (développement du code source, génération et gestion des clés cryptographiques).

Le Collège d’experts constate qu’il a parfois été difficile d’obtenir des réponses aux questions posées à la société SmartMatic. De la même manière le Collège a constaté des difficultés de communication entre les sociétés SmartMatic et Civadis.

Globalement, le Collège constate un manque de procédure et de plan de crise pour gérer les incidents au niveau des logiciels et du matériel pendant et après les élections.

4.1.5. Analyse du CCB

4.1.5.1. Périmètre et méthodologie

Le Collège d’experts a pu rencontrer le Centre pour la Cybersécurité Belgique (CCB) et consulter les différents rapports rédigés par le Centre.

L’approche du CCB s’est concentrée sur plusieurs éléments :

  • la gestion de la sécurité au niveau processus ;
  • la sécurité du cycle de développement ;
  • des recommandations et le suivi de celles-ci ;
  • un exercice de pénétration du système de vote (pentesting).

En pratique, ces analyses ont été menées sous forme d’interview, en interaction constante avec les sociétés chargées de développer le système de vote (Civadis et SmartMatic), et/ou en parallèle de manière indépendante. La maturité organisationnelle des sociétés est également évaluée. Les résultats ont été présentés et classés selon (i) la vraisemblance du risque, (ii) sa difficulté de mise en œuvre et enfin (iii) l’impact sur les élections.

À la suite de ces analyses et exercices, le CCB conclut que le processus peut être amélioré mais que le niveau de sécurité de l’ensemble est suffisant pour organiser les élections dans de bonnes conditions.

4.1.5.2. Cycle de développement et gestion de la sécurité

Le CCB a conduit une série d’interviews et a analysé les documents fournis par les sociétés SmartMatic et Civadis. Globalement, le Collège d’experts constate que le CCB a identifié des vulnérabilités qui auraient pu être identifiées et corrigées par les entreprises avant de la mise en production.

4.1.5.3. Sécurité des machines à voter et de l’application de comptabilisation « Martine »

Lors de cette phase d’analyse, le CCB a procédé à des essais d’attaques et de protection du système (en mode dit « purple team »). Le CCB a relevé un certain nombre de points d’attention. Ils ont été transmis aux deux sous-traitants afin qu’ils puissent proposer des correctifs. Une réunion a ensuite eu lieu afin de passer en revue les actions qui avaient été prises.

Le Collège constate une différence notable dans la réaction des entreprises : (1) chez Civadis (en charge de Martine), l’ensemble des problèmes ont été soit entièrement corrigés, soit atténués au moyen d’un changement des procédures ; (2) chez SmartMatic, certains problèmes ont été atténués au moyen d’un changement des procédures et d’autres n’ont pas été résolus pour les élections de 2018.

4.1.6. Test du système de vote

Le Collège a réalisé les tests suivants sur des bureaux SmartMatic 2012 et 2018 :

  • ouverture d’un bureau de vote (démarrage urne et machine du président) ;
  • démarrage de machines à voter ;
  • émission de votes et visualisation de votes sur l’ordinateur de vote ;
  • décodage du QR-code à l’aide d’un logiciel du Collège et comparaison avec la version lisible du vote ;
  • décryptage des fichiers « .VT » à l’aide d’un logiciel du Collège et comparaison avec la version lisible du vote.

Tous ces tests se sont avérés concluants sur le plan logiciel.

Cependant, le Collège a noté qu’à plusieurs reprises, les systèmes SmartMatic mis à la disposition du Collège et des communes pour leurs démonstrations / formations se sont avérés défectueux. Cela a retardé les travaux du Collège et n’a pas permis à certaines communes de réaliser leurs formations dans des conditions normales.

Selon le SPRB, certains problèmes rencontrés pourraient être attribués à la version de démonstration du logiciel électoral.

4.1.7. Participation aux séances de formation

4.1.7.1. Formations des formateurs

Des membres du Collège ont assisté à une séance de formation organisée par le SPRB à l’intention des présidents des bureaux principaux et des responsables de l’organisation des élections au sein de leur commune.

L’objectif était de former le personnel communal, chargé à son tour de former les présidents et secrétaires des bureaux de vote, commune par commune. Il est à noter que le bureau de test installé dans le local de formation était en panne et que par conséquent il a été impossible de tester le système. La formation, très complète par ailleurs, n’a par conséquent pas permis d’effectuer des simulations.

4.1.7.2. Formations des présidents des bureaux vote

Des membres du Collège d’experts ont assisté aux formations des présidents et secrétaires de bureau de vote dans plusieurs communes. Ils ont constaté que :

– toutes les machines de votes n’étaient pas fonctionnelles, ce qui a rendu les démonstrations impossibles à Ganshoren et quasi-inopérantes à Woluwe-Saint-Lambert ;

– le formateur a, dans le cas de Ganshoren, indiqué qu’il était permis de démarrer le système informatique à partir de 7 h 30 même si le Bureau n’était pas constitué ;

– dans le cas de Ganshoren la formation a été donnée en alternance dans les deux langues pendant la même session. Les présidents ne maitrisant pas l’autre langue nationale n’ont par conséquent pu suivre que la moitié des explications ;

– des dossiers très complets ont été distribués aux participants, avec en annexe des copies des formulaires officiels (Koekelberg) ;

– de manière générale, l’accent est très bien mis sur le procédural et l’importance du suivi des procédures. La partie technique concernant l’utilisation du matériel de vote arrivant en fin de présentation, elle est plus lacunaire. En cas de problème, il est simplement conseillé de faire appel au helpdesk.

4.1.8. Entretiens avec les intervenants du SPRB

4.1.8.1. Manque de ressources

Au cours de ses travaux, le Collège a pu constater que les ressources à disposition de l’équipe en charge de l’organisation des élections étaient fort limitées. Le fait de se reposer sur une seule personne pour assurer la coordination de l’ensemble de l’organisation des élections fait courir un risque sérieux à l’ensemble du processus électoral.

4.1.8.2. Non-respect des procédures par certains présidents des bureaux principaux

Il a été rapporté au Collège que, bien que les listes aient été finalisées et validées par les présidents des bureaux principaux, certains ont encore constaté des erreurs dans celles-ci après leur signature formelle. Ces présidents ont alors exigé de pouvoir apporter des corrections à ces listes sans respecter la procédure imposée par la législation.

Vu les limites de temps pour la confection des supports mémoire, ces exigences de dernière minute ont contraint les services du SPRB à opérer dans l’urgence ces modifications en dehors de la procédure et des dispositions légales, ce qui a pu être la cause d’erreurs.

4.2. Constatations le jour des élections

Le jour du scrutin, les membres du Collège ont procédé à des contrôles dans les bureaux de votes et dans les bureaux de totalisation.

4.2.1. Contrôles dans les bureaux de vote

Les experts ont effectué des contrôles dans des bureaux de vote de la plupart des communes de la Région bruxelloise. Les contrôles ont été principalement de trois types : émission de votes de tests pour analyse ultérieure, réponse à un questionnaire-type, observation du déroulement des opérations.

4.2.1.1. Votes de test

Dans chaque bureau de vote contrôlé, des votes de test ont été émis par les experts du Collège, souvent en présence d’un assesseur désigné par le président du bureau de vote.

Les votes émis ont été contrôlés dans l’isoloir prévu pour la visualisation du vote conjointement par l’assesseur et l’expert. Tous les votes ont été fidèlement reproduits à l’écran.

Les bulletins ont ensuite été emportés par l’expert pour être analysés dans un environnement propre au Collège après le jour de l’élection.

4.2.1.2. Questionnaire

Un rapport basé sur un questionnaire-type a ensuite été établi par l’expert avec la collaboration du président du bureau de vote. Les incidents éventuels y ont été consignés. Ce rapport a été établi afin de pouvoir identifier les difficultés rencontrées et de proposer des recommandations en conséquence.

4.2.1.3. Bureaux de vote contrôlés

Les bureaux de vote qui ont été contrôlés sont repris dans le tableau ci-dessous.

Commune Numéros des bureaux visités
Anderlecht 20, 21
Auderghem 1, 5, 6
Berchem-Ste-Agathe 2, 8, 16
Bruxelles 29, 66
Etterbeek 5, 7, 9, 10
Evere 7, 9
Forest 6, 8, 34
Ganshoren 3, 4, 5, 6
Ixelles 48, 50, 51, 52
Jette 3, 4, 5, 6
Koekelberg 1, 4, 6
Molenbeek-Saint-Jean 17, 28, 35
Schaerbeek 25, 27
Saint-Gilles 16, 17, 18, 20
Saint-Josse-ten-Noode 1, 2, 4
Uccle 46, 47
Watermael-Boitsfort 16
Woluwe-Saint-Pierre 2, 3

4.2.2. Incidents dans les bureaux de vote

4.2.2.1. Clés USB non fonctionnelles

Description

Un souci de procédure a résulté en la non duplication de la clé USB maître (qui contient la dernière version du système des élections 2018) sur 68 clés USB. Ces clés USB non initialisées avec la dernière version des fichiers des élections 2018 sont soit restées vides, soit contenaient une version précédente du système des élections.

Certains bureaux de votes ont ainsi reçu une ou deux clés USB mal initialisées. Les machines de président et donc les bureaux de votes correspondants n’ont pu démarrer sur la base de ces clés incorrectement préparées (les machines des présidents ne démarrant pas du tout ou indiquant un échec lors de la vérification de la configuration du système informatique du bureau).

Lieu

Une quarantaine de bureaux au moins ont été impactés, majoritairement à Forest et Uccle, mais également dans d’autres communes. La répartition de l’erreur entre les communes semble aléatoire.

Impact

Le démarrage des bureaux de vote impactés a été retardé de plus d’une heure, dans certains cas de près de 3 heures (Schaerbeek).

Solution

En cas de problème avec le matériel des bureaux de vote, la société SmartMatic est contractuellement chargée de remplacer le matériel défectueux dans un délai défini selon le type de panne. Ce délai est fixé à 30 minutes pour les points qui bloquent les opérations de vote, ce qui était le cas. Dans certains bureaux de vote (Evere 9, Uccle 46) la firme Wincor, sous-traitant de SmartMatic pour les opérations d’assistance, a livré les clés USB selon la procédure.

Dans d’autres bureaux, par exemple Saint-Gilles 17, où un expert était présent, le délai n’a pas été respecté et le SPRB a fait envoyer par la police de nouvelles clés USB aux employés communaux qui ont été chargés de les délivrer aux bureaux concernés.

Il est apparu que les clés USB de remplacement n’étaientpas toujours dans une enveloppe scellée (Saint-Gilles 17),ce qui met à mal la chaîne de sécurité mise en place par le pouvoir organisateur et devrait faire impérativement l’objet d’une adaptation des procédures pour les élections futures.

4.2.2.2. Redémarrage après coupure de courant

Description

Une coupure générale de courant a eu lieu pendant les opérations de vote dans une école de Saint-Gilles où étaient installés des bureaux de vote. Les bureaux de vote ont été à l’arrêt pendant près d’une heure, entre 10 h 56 et 11 h 48.

Lieu

Saint-Gilles 16, 17, 18, 19 et 20.

Solution

Les instructions des présidents de bureaux de vote sont peu claires à ce sujet. Les machines ont été redémarrées avec succès sans changer les clés USB, mais dans une inquiétude généralisée. Comme les instructions l’indiquent dans le cas d’un démarrage en cours de journée, il n’a été fait usage que d’une seule clé à la fois, ce qui a ralenti les opérations de réouverture du bureau de vote.

4.2.2.3. Panne de machine de vote

Description

Certaines machines de vote sont tombées en panne pendant les opérations des votes.

Lieux

Anderlecht 20, Forest 8, Saint-Gilles 18, 27, Etterbeek 9, Schaerbeek 27.

Solution

Réessayer ou faire appel au Helpdesk.

4.2.2.4. Bulletin de vote oublié dans l’isoloir

Description

Une personne a oublié son vote dans l’isoloir de visualisation.

Lieux

Etterbeek 9, Forest 6 et 34, Ganshoren 4, Ixelles52.

Solution

Elles n’ont plus été utilisées.

4.2.2.8. Absence de lecteur de QR-code opérationnel

Description

La machine de visualisation des votes à l’aide du lecteur portable de QR-code n’a pas été démarrée à l’ouverture du bureau de vote. La procédure de démarrage d’une machine de vote ou de visualisation en cours de journée existe, mais elle est souvent ignorée lors des formations.

Lieux

Ganshoren 5 et 6, Jette 3.

Solution

Compléter les formations en particulier pour la gestion des pannes ou des problèmes techniques.

4.2.2.9. Le clapet de l’urne reste ouvert

Description

Le clapet de l’urne reste ouvert, créant une ambiguïté pour l’électeur (et un questionnement existentiel pour le président du bureau de vote : doit-il fermer son clapet ?).

Lieux

Etterbeek 7.

Solution

Poursuivre les opérations. Le clapet n’est pas indispensable au bon fonctionnement de l’urne.

4.2.2.10. Absence de votes de test

Description

Le bureau n’a pas émis de votes de test.

Lieu

Koekelberg 11.

Conséquence

En cas de détection d’un problème dans ce bureau il aurait été impossible d’opérer un contrôle sur les bulletins de test.

4.2.2.11. Scan des votes de test par l’urne

Description

Les votes de test émis par les membres du bureau de vote ont été scannés par l’urne.

Lieu

Schaerbeek 54.

Conséquence

Six votes supplémentaires sont comptabilisés dans l’urne sans que les bulletins n’aient été glissés dans l’urne.

Solution

Effectuer un recomptage au bureau principal après la clôture du bureau de vote.

4.2.3. Contrôles dans les bureaux principaux

Les membres du Collège se sont rendus dans les bureaux principaux suivants le soir des élections :

  • Bruxelles ;
  • Evere ;
  • Saint-Gilles ;
  • Uccle ;
  • Forest ;
  • Woluwe-Saint-Lambert.

4.2.4. Publication automatique des résultats des élections

Plusieurs présidents de bureaux principaux se sont inquiétés, dès avant l’élection, de ce que les résultats, partiels et définitifs, soient publiés sur le site des élections de manière automatique au rythme de l’insertion des clés USB. Cette procédure enlève de facto le contrôle des présidents sur le moment de la publication des résultats de leur commune. Or ce contrôle leur permet, dans les communes où cela s’avère nécessaire, de conserver le calme et une certaine discipline dans et autour du bureau principal jusqu’à la clôture du bureau.

La demande de plusieurs présidents de bureaux principaux est donc de ne plus publier automatiquement les résultats complets de leur commune, mais de leur permettre de choisir le moment de cette publication.

4.2.5. Incidents dans les bureaux principaux

4.2.5.1. Evere

Lors du contrôle dans le bureau principal d’Evere, la présidente a fait part au Collège de plusieurs remarques. Ainsi :

  • le ticket de l’urne n’était pas signé par tous les membres du bureau de vote n° 7 ;
  • certains présidents de bureaux de vote (bureaux n° 5, 11 et 17) n’avaient pas comparé les totaux de l’urne avec les listes de présences physiques des électeurs (R5 + R6) ;

La méconnaissance des procédures dans les bureaux de vote a généré une perte de temps dans le bureau principal : les présidents des bureaux de vote ont été obligés de retotaliser les listes d’électeurs (R5 + R6) avant de pouvoir se présenter devant le bureau principal.

La présidente du bureau principal a demandé au président du bureau n° 17 de retotaliser les listes d’électeurs. Cette demande a été interprétée comme une demande de recomptage manuel des bulletins de vote. Le sac contenant les votes, qui, de surcroît, n’avait pas été scellé, a à ce moment été ouvert dans la cafeteria. L’expert et la présidente en ont été informés immédiatement et le président du bureau de vote a remis les votes dans le sac et l’a scellé correctement.

4.2.5.2. Woluwe-Saint-Lambert

4.2.5.2.1. Clés USB oubliées par un président de bureau de vote

Description

Le président du bureau numéro 2 a oublié les clés USB dans son bureau. Celles-ci semblent être restées dans le bureau de vote et ont pu être retrouvées par le président du bureau de vote.

Conséquence

La sécurité des systèmes électoraux repose en partie sur respect des procédures. Dans le cas présent, une action malveillante aurait été possible, comme la destruction, le vol ou la modification des clés USB. Cela aurait retardé les opérations car l’urne aurait dû être rescannée intégralement.

4.3. Contrôles effectués après le jour des élections

4.3.1. Recomptage manuel d’urnes

Le système de vote électronique avec preuve papier permet de dépouiller à la main les urnes comme dans le cas du vote papier traditionnel.

4.3.1.1. Recomptage par les bureaux principaux

La nouvelle législation indique que « Le président du bureau principal doit opérer un recomptage manuel des chiffres électoraux des votes de listes pour au moins un bureau de vote par commune. Il peut décider également d’opérer ce recomptage par coups de sonde pour plusieurs bureaux de vote (art. 22/1 ordonnance vote électronique) ». Le Collège n’a pu prendre connaissance que d’une partie des formulaires R12 contenant le rapport de ces recomptages manuels par les bureaux principaux. Contrairement à ce qui est demandé sur les formulaires R12, ces rapports n’étaient pas tous accompagnés du fichier « CSV » produit par Martine correspondant au bureau concerné.

4.3.1.2. Recomptage par le Collège

Le Collège d’experts a également effectué un recomptage manuel des chiffres électoraux pour un bureau de vote dans chacune des communes suivantes : Auderghem, Saint-Gilles et Uccle. Cette opération s’est effectuée en présence du Collège juridictionnel et des témoins de parti des communes concernées.

Le Collège a développé un logiciel indépendant qui permet de totaliser les votes individuels présents sur la clé USB d’un bureau de vote (ce logiciel est donc différent de celui utilisé dans les bureaux principaux pour vérifier les résultats du recomptage manuel d’urnes).

Pour chaque bureau de vote analysé, le recomptage manuel a été comparé à la totalisation obtenue par analyse de la clé USB par le logiciel du Collège. Ils se sont avérés identiques sauf pour le bureau Saint-Gilles 17 où un vote blanc avait été déposé dans l’urne sans être scanné. Cette erreur avait été consignée au PV.

4.3.2. Vérification des votes de test

Les bulletins de vote émis par les experts dans les bureaux de vote le jour de l’élection ont été emmenés pour analyse.

4.3.2.1. Interprétation du QR-code

Le QR-code d’un échantillon de bulletins en provenance des bureaux de vote a été décodé à l’aide d’un logiciel créé par le Collège. Dans chaque cas testé le contenu du QR-code correspondait bien au vote indiqué en clair sur le bulletin, tant pour les partis que pour les candidats.

4.3.2.2. Relecture et recomptage des bulletins

Un des bureaux de vote contrôlés par les experts (SaintGilles 17) a été démarré en mode « recount ». Ce mode permet de faire relire les bulletins d’un bureau de vote par la tête d’urne et de procéder de la sorte à une nouvelle totalisation et à la clôture du bureau de vote. Les votes émis par les experts ont été introduits dans l’urne et le bureau de vote a été clôturé. Ceci a permis de réaliser deux tests distincts :

  1. Les fichiers des votes individuels cryptés et stockés sur la clé USB ont été décryptés. Leur contenu a été comparé à celui des bulletins de vote papier et s’est avéré correspondre.
  2. Les QR-codes des bulletins papier ont été interprétés et comparés aux fichiers de votes individuels de la clé USB. Le résultat s’est avéré correct.

4.3.3. Vérification des totalisations

4.3.3.1. Récupération des clés USB

Aux fins du contrôle par le Collège d’experts, l’ordonnance du 15 décembre 2017 prévoit qu’« Au plus tard le lendemain des élections, chaque président de bureau principal remet à l’attention du Collège d’experts, dans les bureaux du Parlement, les supports mémoire mentionnés à l’article 20 sous enveloppe scellée ».

Si la plupart des communes ont respecté cette disposition de l’ordonnance, d’autres, par contre ont pris quelques libertés :

  • dans la très grande majorité des cas, ce sont les secrétaires des bureaux principaux (et non les présidents) ou encore du personnel des administrations communales qui ont rapporté les supports mémoire au Collège d’experts ;
  • plusieurs communes n’ont pas rapporté les clés USB sous enveloppe scellée.
  • la commune de Bruxelles n’a rapporté ses supports mémoire que le surlendemain des élections ;
  • la commune de Forest a oublié les clés d’un bureau de vote et les a fait parvenir au Collège le surlendemain des élections ;
  • la commune de Woluwe-Saint-Lambert a placé les supports mémoire dans les enveloppes scellées contenant les bulletins de vote ;
  • les communes de Berchem-Sainte-Agathe, Ganshoren et Saint-Josse-ten-Noode ont déposé leurs supports mémoire auprès d’un secrétaire du Collège juridictionnel, fonctionnaire au SPRB. Celui-ci a fait parvenir les supports mémoire au Collège d’experts le surlendemain. De ces trois communes, seul le secrétaire du bureau principal de Berchem-Sainte-Agathe est venu au Parlement authentifier les supports mémoire de sa commune. Malgré un contact téléphonique, les secrétaires des bureaux principaux de Ganshoren et de Saint-Josse-ten-Noode n’ont donné aucune suite aux demandes du Collège de régulariser la situation. Les méthodes de contrôles et outils dont dispose le Collège lui permettent néanmoins de considérer les supports mémoire parvenus au Collège au nom des présidents des bureaux de ces deux communes comme étant authentiques.

4.3.3.2. Lecture des clés USB

Le Collège a mis au point un environnement informatique spécifique (système d’exploitation, logiciel) pour prendre une copie des supports mémoire utilisés lors des opérations électorales dans les bureaux de vote en vue de leur analyse et de leur exploitation.

Au moyen de cet environnement, le Collège a procédé à la prise de copies de toutes les clés USB de tous les bureaux de vote utilisées dans les bureaux principaux pour la totalisation. Il a également pris des copies des clés USB utilisées pour différents recomptage dans différentes communes. Ces recomptages avaient été décidés dans les bureaux principaux pour différentes raisons. Le scan des votes de références du bureau de vote ou l’annulation de bulletins de vote qui avaient été scannés mais pas encore déposés dans l’urne en sont deux exemples.

Le Collège a également pris copie et analysé des clés USB défectueuses le jour des élections. Le Collège a ainsi pu vérifier les explications fournies par le SPRB à propos des problèmes survenus lors du démarrage de certains bureaux de vote (cf. « Incidents dans les bureaux de vote – clés USB non fonctionnelles »).

Le Collège peut ainsi attester qu’il dispose pour ses contrôles de toutes les clés USB officielles utilisées pour le calcul des résultats des élections.

4.3.3.3. Vérification des clés USB

L’environnement de copie des supports mémoire du Collège a permis de procéder automatiquement à divers contrôles au moment de la copie ou tout de suite après :

  • comparaison des contenus des deux clés d’un même bureau ;
  • comparaison des logiciels systèmes d’exploitation, logiciels exécutables et des jeux de données (communes, listes, candidats, etc.) avec ceux d’une clé USB de référence ;
  • vérification et décryptage des fichiers « .VT » et « .X7S » des clés.

Le Collège n’a constaté aucune anomalie dans les clés récupérées et est convaincu de leurs authenticités. Les procédures en place, les sécurités cryptographiques en place lui permettent également de conclure qu’il s’agit bien des clés USB authentiques utilisées dans les différents bureaux de vote bruxellois lors des élections.

4.3.3.4. Retotalisation complète des clés USB par commune

Au moyen d’un outil logiciel reçu de SmartMatic et des différents mots de passe reçus du SPRB, le Collège a décrypté tous les fichiers de type « .VT » contenus dans les clés USB et qui représentent chacun un billet de vote. Le Collège a pu s’assurer de plusieurs manières que l’outil logiciel reçu de SmartMatic fonctionnait de manière licite :

  • à partir de ses propres votes de test émis le jour des élections dans les bureaux de vote, le Collège a obtenu les fichiers « .VT » et « .X7S » correspondants en procédant à un pseudo-recomptage (démarrage du bureau de vote avec le mot de passe de recomptage, scan des bulletins par l’urne, clôture du bureau). La clé USB contenait alors bien autant de fichiers « .VT » qu’il y avait eu de votes de test. Il les a décryptés et a bien retrouvé les votes exprimés ;
  • le code source des outils fournis par SmartMatic sont disponibles sur la clé USB remise au Collège par PwC lors de la remise du rapport de l’organisme d’avis. Le Collège avait demandé à SmartMatic le code source d’origine de l’outil fourni mais n’a pas obtenu de réponse à sa demande.

Une fois les fichiers « .VT » décryptés, le Collège a utilisé un logiciel qu’il a développé pour effectuer une retotalisation complète de tous les fichiers « .VT » pour tous les bureaux de vote de toutes les communes.

Sur la base des totaux ainsi obtenus, il a procédé à une vérification complète des chiffres électoraux de toutes les listes de toutes les communes, tels que publiés sur le site web des élections https://elections2018.brussels/.

Le Collège n’a constaté aucune différence entre les résultats publiés et ses propres résultats à l’exception de la commune de Saint-Josse (voir plus bas « l’incident de Saint-Josse-ten-Noode »).

Afin d’essayer de vérifier l’origine du problème dans la commune de Saint-Josse, le Collège a également développé un logiciel pour effectuer une retotalisation à partir des fichiers « .X7S » produits dans les bureaux de vote pour être totalisés avec l’environnement Martine.

Cette deuxième totalisation a produit des résultats identiques à ceux obtenus lors de la totalisation à partir des fichiers « .VT ».

Ces deux retotalisations donnent pour les chiffres électoraux de toutes les listes dans chaque commune, à l’exception de Saint-Josse-ten-Noode, les mêmes résultats que ceux publiés sur le site des élections.

4.3.4. La nouvelle procédure de contrôle prévue par l’ordonnance

L’ordonnance du 15 décembre 2017 a prévu une procédure de contrôle : « Art. 22/1. Le président du bureau principal peut également décider d’opérer un recomptage manuel des chiffres électoraux par coups de sonde. Il procède à un tel recomptage en tout cas pour un bureau de vote par commune. Si des votes sont déclarés nuls en raison de la violation du secret du vote, ils sont déduits du résultat du bureau de vote correspondant. ».

Un formulaire spécifique R12 est prévu pour que les bureaux principaux indiquent leurs constatations. Le logiciel Martine dispose d’une fonctionnalité permettant au président du bureau principal de vérifier les chiffres électoraux des listes.

Le Collège a essayé d’obtenir des copies de ces formulaires auprès du secrétariat du Collège juridictionnel. Il n’en a obtenu que 9 pour les 18 communes de la région. Les constats du Collège par rapport à cette procédure sont repris ci-dessous.

4.3.4.1. Formulaires complets

4.3.4.1.1. Berchem-Sainte-Agathe, Etterbeek, SaintGilles, Forest

Le formulaire est complet et les chiffres du formulaire R12 et ceux du fichier digital correspondent. Ces chiffres du formulaire R12 et les totalisations du Collège correspondent.

Un membre du Collège est présent et assiste au recomptage à Forest. Les chiffres correspondent à l’exception d’un vote blanc. Le président de ce bureau avait signalé qu’un électeur avait déposé son bulletin dans l’urne sans le scanner.

4.3.4.2. Formulaires partiels

4.3.4.2.1. Bruxelles, Evere, Schaerbeek

L’impression du fichier digital provenant de Martine et comportant les résultats du bureau recompté est manquante. Cependant, les chiffres du formulaire R12 et les totalisations du Collège correspondent.

4.3.4.2.2. Ganshoren

L’impression du fichier digital provenant de Martine et comportant les résultats du bureau recompté est manquante. Les chiffres du formulaire R12 et les totalisations du Collège diffèrent d’une voix pour la liste 1 et une pour la liste 5.

Ni le formulaire R12, ni le PV du bureau principal R9 ne font mention de l’opération de recomptage ou de la différence dans les résultats obtenus. Le Collège conclut que la procédure n’a pas été correctement suivie.

4.3.4.2.3. Molenbeek-Saint-Jean

Le bureau principal a indiqué sur le formulaire R12 « pas de clé USB pour effectuer cette opération ». Le bureau n’a visiblement pas compris comment il devait procéder puisqu’il avait préalablement réalisé la lecture de la clé pour charger les résultats du bureau dans Martine. Le Collège ne peut par conséquent rien conclure.

4.3.4.2.4. Saint-Josse-ten-Noode

L’impression du fichier digital provenant de Martine et comportant les résultats du bureau recompté est manquante. Les chiffres du formulaire R12 et les totalisations du Collège diffèrent d’une voix pour la liste 4 et deux pour la liste 5. Le nombre de vote blancs n’est pas indiqué. Le PV du bureau principal précise à propos du bureau contrôlé que « La mallette du bureau de vote n° 5 n’était pas scellée ».

Ni le formulaire R12, ni le PV du bureau principal R9 ne font mention de l’opération de recomptage et de la différence dans les résultats obtenus.

Le Collège conclut que la procédure n’a pas été correctement suivie.

4.3.4.3. Formulaires absents

4.3.4.3.1. Anderlecht, Auderghem, Ixelles, Jette, Koekelberg, Uccle, Watermael-Boitsfort, Woluwe-Saint-Pierre

Le Collège n’a pas obtenu le formulaire R12 pour les communes suivantes et ne peut rien conclure :

  • Anderlecht ;
  • Auderghem ;
  • Ixelles ;
  • Jette ;
  • Koekelberg ;
  • Uccle ;
  • Watermael-Boitsfort ;
  • Woluwe-Saint-Pierre.

4.3.4.3.2. Woluwe-Saint-Lambert

Un membre du Collège est présent et assiste au recomptage. Les chiffres correspondent. Le Collège n’a obtenu le formulaire R12

4.3.5. L’incident de Saint-Josse-ten-Noode

4.3.5.1. Description des contrôles effectués par le Collège et constats

Comme expliqué plus haut, au moyen de ses outils et procédures, le Collège a procédé à la prise de copie des clés USB des différents bureaux de votes et à la totalisation des fichiers « .VT » (qui sont un équivalent électronique des bulletins).

Le Collège a alors procédé à un contrôle des chiffres électoraux de chaque liste de chaque commune. Il a tout de suite constaté une différence entre les résultats obtenus par sa totalisation et ceux publiés sur le site officiel des élections : ceux du site des élections étaient systématiquement inférieurs à ceux obtenus par le Collège.

Le Collège a alors demandé et obtenu les PVs (formulaires R9) des bureaux principaux de chaque commune. Ces PVs indiquent entre autres le nombre de bulletins de vote totalisés par bureau de vote. Il a immédiatement constaté un nombre anormalement bas de bulletins pour le bureau n° 2 de Saint-Josse-ten-Noode (58) par rapport aux autres bureaux (de 843 à 1009 bulletins).

Afin de déterminer si le problème se situait au niveau de la totalisation faite par Martine ou bien au niveau du système SmartMatic du bureau de vote, le Collège a décrypté le fichier « .X7S » généré par le système SmartMatic et en a analysé le contenu. Il a ainsi découvert que ce fichier ne contenait que la totalisation de 58 votes, mais qu’il renseignait 885 bulletins scannés et déposés dans l’urne. Il a également constaté que le nombre de votes totalisés dans ce bureau était bien de 58 et que tous les candidats avaient, dans ce bureau, un nombre de votes anormalement bas, et même nul pour une très large majorité d’entre eux.

Les 58 votes se répartissaient comme suit entre les listes :

Votes blancs
1 CDH + Indépendant 2
2 ECOLO-GROEN 8
4 DéFI 1
5 LB 25
8 N-VA 1
12 MR Open Vld 1
13 LISTE COMMUNALE 10

Le Collège a par ailleurs constaté que les clés USB contenaient effectivement 885 fichiers « .VT » correspondant aux 885 votes émis. Le Collège a ensuite procédé à la confection d’un environnement destiné à décrypter tous les fichiers « .X7S » de toutes les communes, à les totaliser et à comparer entre elles les deux totalisations du Collège. L’objectif était d’être assuré que d’autres erreurs plus petites et humainement indécelables ne s’étaient pas produites.

Cette procédure a permis de mettre en évidence que :

  • les résultats des deux totalisations du Collège pour toutes les autres communes donnent les mêmes résultats et que ceux-ci sont identiques à ceux du site officiel des élections ;
  • les résultats sur le site officiel des élections et dans le PV (le formulaire R9) du bureau principal de St Josse correspondent bien au fichier « .X7S » incomplet ne contenant que 58 voix comptabilisées par le système SmartMatic.

Le Collège en déduit que :

  • le problème est dû à une erreur du programme SmartMatic dans le bureau n° 2 à Saint-Josse-ten-Noode ;
  • ce problème ne s’est produit nulle part ailleurs à Bruxelles.

4.3.5.2. Échange d’informations avec les Collèges d’experts en Flandre et en Région germanophone

Le même système SmartMatic étant utilisé en Flandre et en Région germanophone avec des logiciels pratiquement identiques, le Collège a pris contact avec ses collègues des autres Collèges pour les prévenir du problème détecté. Ces autres Collèges ont procédé plus tard, avec le concours des firmes privées, à des contrôles supplémentaires et ont rapporté qu’un problème similaire s’était produit dans 6 communes flamandes.

4.3.5.3. Réunion avec le Collège juridictionnel, un représentant du bureau principal de Saint-Josseten-Noode et des représentants des firmes privées

Le lundi 22 octobre 2018, au Parlement bruxellois, une réunion s’est tenue entre le Collège d’experts, le Collège juridictionnel, un représentant du bureau principal de Saint-Josse-ten-Noode, un représentant du SPRB et des représentants des firmes privées. L’objectif de la réunion était une présentation du problème détecté par le Collège et l’examen des solutions techniques et légales possibles. Le représentant de la société ayant développé Martine a confirmé qu’il était techniquement possible au bureau principal de Saint-Josse-ten-Noode de remplacer les résultats erronés par des résultats provenant d’un recomptage d’urne.

Il a dès lors été convenu que le bureau principal de Saint-Josse-ten-Noode procèderait le vendredi 26 octobre 2018 au recomptage des bulletins de vote du bureau n° 2 de Saint-Josse selon les dispositions légales. Ce nouveau résultat pour ce bureau viendrait alors remplacer le résultat erroné de ce bureau et un nouveau formulaire R9 serait généré par le système Martine avec les résultats corrigés. Ces opérations ne se feraient que moyennant l’accord du Collège juridictionnel qui statuerait sur ces opérations le jeudi 25 octobre.

4.3.5.4. Analyse du problème avec les techniciens de la société SmartMatic

Au terme de la réunion du 22 octobre, plusieurs opérations techniques sur des copies des clés ont été effectuées pour obtenir plus d’informations sur les circonstances pouvant déclencher le problème. Un examen des journaux de bords repris sur les clés USB du bureau de Saint-Josse-ten-Noode n° 2 a fait apparaître un retrait prématuré d’une des deux clés USB pendant la génération du fichier résultat destiné au système Martine.

Les techniciens de SmartMatic et le Collège ont également réussi à recréer des clés USB contenant tous les fichiers « .VT » mais sans les fichiers de clôture, et ont procédé à une clôture fictive du bureau de vote. Ils ont ainsi pu obtenir un fichier résultat « .X7S » dont ils ont pu examiner le contenu. Au moyen de ses logiciels, le Collège a pu constater que les résultats ainsi obtenus correspondaient parfaitement à ses totalisations. Les techniciens de SmartMatic ont pris une copie des clés afin de pousser plus loin leur analyse.

4.3.5.5. Résultat de l’analyse de SmartMatic

Le mardi 23 octobre 2018, le Collège a reçu plusieurs documents de SmartMatic dont une analyse technique du problème que leurs techniciens ont pu reproduire. Il est donc confirmé qu’il y a bien un bug dans le logiciel SmartMatic. Il s’agit, selon la firme, d’une « situation de compétition » (« race condition » en anglais) qui survient lorsque le programme calcule les résultats à partir des fichiers « .VT » sur la clé USB et que celle-ci est retirée puis remise en place. Cette manipulation réinitialise les compteurs de résultats pendant qu’une autre partie du programme continue de les incrémenter en lisant les bulletins.

Le fichier résultat qui est ensuite produit ne contient donc que des résultats incomplets.

4.3.5.6. Recomptage des bulletins par le Collège juridictionnel en présence du bureau principal de Saint-Josse-ten-Noode et de membres du Collège d’experts

Le 26 octobre 2018, à la demande du Collège juridictionnel, en présence d’un de ses membres, du Bureau principal de Saint-Josse-ten-Noode, de témoins de partis, et de membres du Collège d’experts, le directeur technique du projet « Élections 2018 » a procédé au recomptage par scan des 885 bulletins de vote du bureau n° 2. Les anciens résultats de ce bureau ont été effacés du système de calcul des résultats « Martine » et les nouveaux résultats y ont été enregistrés. Le système « Martine » a généré un nouveau formulaire R9, qui pour des raisons juridiques, n’a pas été signé par le bureau principal ; le PV officiel pour la commune de Saint-Josse-ten-Noode reste celui signé le soir du 14 octobre 2018 avec des résultats erronés.

À l’examen de nouveau formulaire R9, il est constaté que le recomptage a eu un impact sur la distribution des sièges entre les listes. Les membres du Collège d’experts ont récupéré les clés USB qui contiennent les résultats de ce recomptage et les ont examinées.

Le Collège constate :

  • que les clés USB utilisées pour ce recomptage sont authentiques et contiennent le logiciel du jour des élections ;
  • qu’à l’issue du recomptage, les clés USB contiennent bien 885 fichiers « .VT » (qui contiennent les votes individuels chiffrés) ;
  • que ces fichiers « .VT », une fois décryptés, correspondent aux mêmes votes que les 885 fichiers « .VT » enregistrés sur les clés USB du jour des élections ;
  • que le nouveau fichier résultat « X7S » ainsi obtenu fait bien état de 885 votes comptabilisés (en lieu et place des 58 de la version précédente) ;
  • qu’au moyen de ses logiciels de totalisation, le Collège obtient les mêmes résultats que ce soit à partir des fichiers « .VT » ou à partir des fichiers « .X7S » et considère donc ces résultats comme étant les résultats exacts pour la commune de Saint-Josse-ten-Noode.

Un peu plus tard dans la journée, le Collège a pu constater que le site officiel des résultats relatifs à la commune de Saint-Josse-ten-Noode avaient été mis à jour : « Bureaux dépouillés 12/12 (100,00 %) 26-10-2018 11:51 ». Le Collège a alors vérifié tant les chiffres électoraux de toutes les listes que les voix de préférences de tous candidats. Tous les résultats du site officiel des élections correspondent à ceux que le Collège a obtenus au moyen de ses deux totalisations indépendantes.

4.4. Diffusion du code source

4.4.1. Code source des logiciels SmartMatic

Le Collège a pu constater que la publication du code source du logiciel des machines de vote et des machines de présidents des bureaux de vote SmartMatic a bien eu lieu le jour des élections sur le site officiel des élections. L’ordonnance prévoit cependant que ce code-source soit publié dès leur agréation.

Le Collège a comparé ces sources avec celles reçues de l’organisme d’avis PwC ayant servi à la compilation de référence pour produire les exécutables utilisés le jour des élections. Le code source publié est identique à celui obtenu de l’organisme d’avis, à l’exception de certaines librairies tierces utilisées pour les matériels périphériques du bureau de vote. Le Collège ignore la raison de cette omission qu’il ne comprend pas, mais qu’il estime sans conséquence.

Le Collège a pu constater que, conformément à l’ordonnance, les éléments de sécurité ont été effacés du code source publié.

4.4.2. Code source du système Martine

Le code source du système Martine n’a pas été publié sur le site des élections à la date de rédaction de de rapport.

5. Recommandations

5.1. Recommandations spécifiques suite à l’incident de Saint-Josse-ten-Noode

[#2018-BXL.1-S] Le Collège estime que le problème de la non-totalisation de 827 votes valables, émis dans le bureau n° 2 de la commune de Saint-Josse-ten-Noode, est dû à un défaut de conception des routines de clôture du logiciel SmartMatic de la machine président du bureau de vote et à un défaut de conception au niveau des routines de validation des fichiers « .X7S » dans le système Martine. Le premier système a créé le fichier erroné, n’a pas détecté qu’il créait un résultat incomplet suite à une « situation de compétition » (en anglais « race condition ») et ne l’a pas contrôlé. Le second n’a pas détecté les incohérences qui apparaissaient dans ce fichier.

Le Collège recommande donc que les logiciels prévoient, lors de la phase critique que constitue la création, le transfert et la lecture d’informations entre les deux systèmes SmartMatic et Martine, des contrôles de cohérence au niveau des données à chaque étape. De nombreux contrôles sont déjà présents pour garantir l’authenticité du contenu ; il en faut également au niveau du contenu lui-même par exemple au niveau du nombre de bulletins déposés dans l’urne et du nombre de votes de l’élection, du chiffre électoral de chaque liste et du nombre de voix de préférences entre les candidats de la liste, etc. La firme SmartMatic doit en particulier examiner son logiciel pour déterminer s’il n’existe pas dans son code d’autres « situations de compétition » potentielles. Le Collège insiste pour que ces défauts de conception (« situation de compétition », absence de vérification de la cohérence du fichier produit, absence de vérification du fichier lu) soient corrigés et pris en charge par les firmes.

[#2018-BXL.2-S] Le Collège d’experts a pu constater à l’occasion de l’incident de Saint-Josse-ten-Noode que les procédures et la législation ne prévoyaient pas avec précision ce qu’il y avait lieu de faire en termes de diffusion des résultats provisoires sur le site officiel des élections lorsque des erreurs manifestes étaient détectées et qu’elles pouvaient être corrigées. Le Collège recommande que des procédures soient prévues pour que les résultats provisoires du site officiel des élections puissent être mis à jour lorsque des solutions techniques présentes au niveau des logiciels électoraux permettent, en respectant les procédures valides le jour des élections, de corriger des erreurs, comme par exemple, le recomptage d’urne par scan.

[#2018-BXL.3-S] Vu les nouveaux résultats obtenus pour la commune de Saint-Josse-ten-Noode le 26 octobre 2018 lors du recomptage des bulletins de vote du bureau n° 2, vu que ces nouveaux résultats correspondent en tout point à ceux que le Collège a obtenu par ses propres totalisations, le Collège d’experts recommande que le Collège juridictionnel se base sur ces nouveaux résultats provisoires pour la suite de ses travaux.

5.2. Recommandations concernant les procédures

[#2018-BXL.1] Le Collège d’experts recommande la mise en place d’un plan de gestion d’incidents contenant entre autres des procédures claires encadrant les incidents qui interviendraient avant, pendant ou après le jour des élections.

[#2018-BXL.2] Le Collège d’experts recommande que le contenu des clés USB soit systématiquement effacé après les élections.

[#2018-BXL.3] Le Collège d’experts recommande que les procédures prévoient un test systématique d’intégrité des clés USB produites pour les élections.

[#2018-BXL.4] Le Collège d’experts recommande que les procédures prévoient systématiquement, lors de la clôture des bureaux de vote, que le nombre de votes présents sur les clés USB soit comparé aux nombres R5 (électeurs absents) et R6 (électeurs ayant été admis à voter) du PV de bureau.

[#2018-BXL.5] Le Collège d’experts recommande que les procédures prévoient une identification claire, nominative et précise des personnes intervenant dans les bureaux de vote et dans les bureaux principaux lors des élections, en particulier des techniciens.

[#2018-BXL.6] Le Collège d’experts recommande que des enveloppes scellées soient prévues pour la transmission et le stockage des clés USB de remplacement pour le jour des élections.

[#2018-BXL.7] Le Collège d’experts recommande qu’une politique soit imposée quant à la manière de générer tous les mots de passe (longueur minimum et format aléatoire).

[#2018-BXL.8] Le Collège d’experts recommande que la partie textuelle du bulletin de vote contienne aussi le numéro de la liste, ainsi que le nom du canton ou de la commune dans lequel le vote a été émis.

[#2018-BXL.9] Le Collège d’experts recommande que les électeurs soient systématiquement informés et invités à relire la version lisible et la version encodée des votes qu’ils ont exprimés avant numérisation et insertion de ceux-ci dans l’urne. Pour ce faire, les mécanismes techniques permettant une telle lecture doivent être rendus disponibles et facile d’accès dans les bureaux de votes.

[#2018-BXL.10] Le Collège d’experts recommande que les codes sources satisfassent aux exigences et critères de qualité de l’état de l’art en méthodologie de développement sécurisé de logiciel (recommandation #2012-BXL.22).

[#2018-BXL.11] Le Collège d’experts recommande que le développement des logiciels du système de vote se fasse au moyen d’outils de développement standard, dans un code clair, lisible et pertinemment commenté et documenté. Toutes les procédures et spécifications permettant de produire les exécutables doivent être clairement décrites, être rendues disponibles et pouvoir être aisément reproduites (recommandation #2012-BXL.20). Tous les programmes, les librairies, leurs versions et leurs paramètres d’exécution doivent être documentés avec précision. Il s’agit d’appliquer les bonnes pratiques de développement.

[#2018-BXL.12] Le Collège d’experts recommande qu’un document de type « release note » clair soit obligatoirement rédigé à chaque mise à jour des logiciels des élections, de manière à mettre en évidence les nouvelles fonctionnalités, les fonctionnalités abandonnées et les modifications (permettant ainsi d’attirer l’attention des entités certifiantes et auditrices sur les tests qui devraient être plus particulièrement réalisés).

[#2018-BXL.13] Au vu des manquements constatés concernant le respect des procédures, le Collège d’experts recommande qu’un contrôle systématique soit effectué pour s’assurer de l’application de toutes les procédures.

[#2018-BXL.14] Le Collège d’experts recommande de ne plus utiliser les algorithmes MD5, mais bien de passer à SHA-2 (SHA-512) ou SHA-3.

[#2018-BXL.15] Le Collège d’experts constate que des clés AES-256 sont dérivées de mots de passe (mots de passe de présidents, mots de passe du « recount »,…). Ces mots de passe sont de 16 caractères exclusivement alphabétiques ce qui représente moins de 2^96 possibilités et donc une source d’entropie beaucoup plus faible que les 2^256 attendues.

[#2018-BXL.16] Le Collège d’experts recommande le nettoyage du code du système SmartMatic de manière à éviter tout code inutilisé dans le cadre des élections en Belgique.

[#2018-BXL.17] Le Collège d’experts recommande que la documentation SmartMatic détaille de façon explicite et précise la qualité, l’usage et la propagation des sources d’entropie et de génération des clés de chiffrement et de signature.

[#2018-BXL.18] Le Collège d’experts recommande que le cahier des charges décrivant les spécifications des logiciels des élections impose la rédaction d’un document de spécification de la sécurité. Ce document ne pourra avoir comme clause de non-responsabilité que les erreurs de la documentation ne sont pas de la responsabilité du créateur du logiciel, comme nous le trouvons dans le document correspondant produit par la société SmartMatic et remis au Collège d’experts en 2014 et en 2018. Le Collège insiste pour que cette obligation soit suivie d’effet.

[#2018-BXL.19] Le Collège d’experts recommande que le nombre d’essais pour entrer un mot de passe soit limité et qu’une politique claire soit mise sur pied et documentée par le SPRB quant à ce qui se passe quand le nombre limite d’essais est dépassé (attente d’un délai avant de pouvoir recommencer ou bannissement).

[#2018-BXL.20] Le Collège d’experts insiste pour que les résultats exhaustifs des élections soient rendus disponibles sur le site officiel des élections dans un format de données « open data » (JSON, CSV…) afin de faciliter les contrôles.

[#2018-BXL.21] Le Collège d’experts recommande que les présidents des bureaux principaux puissent choisir le moment de publication des résultats complets de leur commune et que cela ne se fasse donc plus nécessairement de façon automatique.

5.3. Recommandations faisant suite aux rapports du CCB

Après lecture des rapports du CCB, les recommandations suivantes sont émises par le Collège.

[#2018-BXL.22] Le Collège d’experts recommande la formalisation et la mise en place d’un plan de crise, tant au niveau de l’infrastructure matérielle que logicielle et de le compléter par un plan de communication et/ou un disaster recovery plan.

[#2018-BXL.23] Le Collège d’experts recommande que l’interface web de Martine soit renforcée de manière à résister aux attaques spécifiques sur les web services ; par exemple en menant systématiquement des audits automatisés via des produits de pentesting.

[#2018-BXL.24] Le Collège d’experts recommande de recourir systématiquement des authentifications à deux facteurs.

[#2018-BXL.25] Le Collège d’experts recommande de ne plus utiliser le chiffrement AES en mode CBC pour l’authentification.

[#2018-BXL.26] Le Collège d’experts recommande que les machines à voter soient protégées contre le démarrage du système sous un système d’exploitation inadéquat ; par exemple au moyen d’un secure booting (UEFI).

[#2018-BXL.27] Le Collège d’experts recommande la mise en place d’un processus formel de génération des clés cryptographiques.

[#2018-BXL.28] Le Collège d’experts recommande la mise en place d’un processus formel pour le patching et la mise à niveau des logiciels.

[#2018-BXL.29] Le Collège d’experts recommande que la documentation des systèmes soit générée et maintenue à jour pendant tout le cycle de développement et non uniquement à la fin.

[#2018-BXL.30] Le Collège d’experts recommande de séparer les canaux de livraison des clefs USB et des mots de passe.

[#2018-BXL.31] Le Collège d’experts recommande la mise en place d’un processus de génération des clés cryptographiques qui ne soit pas sensible au « key escrow problem » (extorsion de clés par celui qui la génère).

[#2018-BXL.32] Le Collège d’experts recommande de ne pas recourir à des mots de passe codés en dur (hardcoded) dans le code source et les applications finales.

6. Conclusion

Les élections communales du 14 octobre 2018 sont les premières à avoir fait usage sur l’ensemble du territoire bruxellois du système de vote basé sur l’étude BeVoting (2007) des universités belges et d’un nouveau système de collecte de données et de calcul de résultats.

L’introduction de ces deux nouveautés a manifestement occasionné une charge de travail supplémentaire au niveau de l’organisation des élections. Le Collège s’inquiète du manque de ressources à disposition de l’équipe en charge de l’organisation des élections et du manque de suivi adéquat des procédures, y compris par certains présidents de bureaux principaux. En particulier, les opérations de recomptage d’urnes n’ont pas toutes été effectuées de façon correcte.

Ces élections ont été marquées essentiellement par deux problèmes. D’une part, un nombre important de bureaux de vote ont démarré les opérations avec un retard significatif en raison de la distribution de clés USB mal ou non initialisées. D’autre part, le Collège a découvert une erreur importante quelques jours après l’élection dans le résultat publié de la commune de Saint-Josse-ten-Noode.

Si le problème des clés USB a été résolu en cours de matinée et n’a pas eu d’incidence sur les résultats, il a permis de mettre en évidence que certaines procédures doivent encore être améliorées, tout particulièrement lors de la confection des clés USB et de la remise aux bureaux de vote des clés USB de remplacement. Ces constats ont fait l’objet de recommandations du Collège.

Le second problème, nettement plus critique, n’a été détecté que plusieurs jours après le scrutin. Alors que ce problème aurait dû être signalé par la machine du président du bureau de vote et par le système Martine et qu’en l’espèce il aurait pu être décelé par le bureau principal, il n’a été repéré que par le Collège d’experts. Le Collège a en effet coutume depuis plusieurs scrutins de développer ses propres logiciels, indépendants de ceux des firmes, afin de vérifier les résultats des élections.

Pour la commune de Saint-Josse-ten-Noode, les logiciels du Collège ont identifié une incohérence dans les résultats d’un bureau de vote. Dans ce bureau, sur les 885 votes émis, 827 votes, pourtant présents sur les clés USB et pour lesquels il existe un bulletin preuve papier, n’avaient pas été comptabilisés.

Afin de corriger cette erreur, un recomptage de tous les bulletins de ce bureau de vote par scan du QR-code a été effectué le 26 octobre 2018. Les nouveaux résultats ainsi obtenus ont été vérifiés par le Collège d’experts et publiés le même jour sur le site des élections. Le Collège conclut que, moyennant les opérations effectuées le 26 octobre 2018, les systèmes ont correctement récolté et totalisé les votes pour cette commune et invite le Collège juridictionnel à prendre ces résultats en compte pour ses travaux, plutôt que ceux du 14 octobre au soir.

Pour les 18 autres communes de la Région bruxelloise, le Collège n’a détecté aucune différence entre les chiffres électoraux publiés sur le site officiel des élections, ceux repris dans les PV des bureaux principaux et ceux des totalisations exhaustives du Collège. Le Collège en conclut par conséquent que les systèmes ont correctement récolté et totalisé les voix pour ces 18 communes.

Le Collège insiste sur sa recommandation spécifique à l’incident de Saint-Josse-ten-Noode. Celle-ci vise à remédier aux défauts de conception identifiés. Elle vise également à rajouter des contrôles de cohérence des résultats tant au niveau du système du bureau de vote qu’à celui du bureau principal.

Le Collège remercie tous les intervenants avec qui il a travaillé pendant sa mission de contrôle pour leur excellente coopération : les représentants des firmes et de l’organisme d’avis, le Collège juridictionnel, les membres des bureaux de vote et des bureaux principaux ainsi que le personnel des communes. Le Collège remercie particulièrement M. Trouveroy, directeur technique du projet « Élections 2018 ».

Jean-Marc Paul
Président

Jérôme Dossogne
Secrétaire

Olivier Markowitch

Jean-Michel Dricot

Pascal Van de Walle

Emmanuel Willems

Fabrice Dumortier