Élections des représentant-es aux sections du CoNRS : un scrutin invérifiable !
Notre représentant au Bureau de vote a considéré ne pas pouvoir valider le scrutin du premier tour des élections aux sections du CoNRS. À la lecture de ses raisons, exposées dans la lettre ouverte ci-jointe, qu’il a adressé au bureau de vote, la branche CNRS de SUD Recherche EPST décide de soutenir sa démarche. Il faut noter que, malgré la réception (bien tardive) du rapport de l’expert entre les deux tours, ces raisons restent valables pour le deuxième tour. Au delà du discrédit éventuel qui pourrait être, à notre grand regret, porté à cette élection, c’est bien à un problème de fonctionnement démocratique que nous sommes confrontés.
Disons-le d’emblée : SUD Recherche EPST ne souhaite pas ici faire le procès ou le panégyrique d’un mode de scrutin ou d’un autre. Il s’agit simplement de s’assurer que les opérations se déroulent convenablement. Il y a là un réel enjeu de démocratie, et le « D » de SUD nous interdit de traiter ce point à la légère. C’est pourquoi nous désirons par cette publication alerter nos collègues sur différents points de vigilance.
Sans rentrer dans des considérations trop techniques, notons que les spécialistes [1] semblent focaliser l’attention sur deux points principaux :
• la sécurité des votantes et votants ; ceci implique par exemple la confidentialité du vote et la lutte contre la coercition [2]. Ce sont ce genre de considérations qui ont conduit, dans un bureau de vote « classique », à instaurer des isoloirs, dans lequel chaque électrice ou électeur peut glisser le bulletin de son choix dans une enveloppe opaque, après avoir pris plusieurs (en principe tous) des bulletins mis à disposition. C’est aussi pour lutter contre la coercition que l’interdiction de marques distinctives sur les enveloppes et les bulletins a été instaurée.
• La sécurité et la sincérité du scrutin, dont un élément essentiel est la vérifiabilité du résultat. Ainsi, dans un bureau de vote classique, les présidentes et présidents, les assesseures et assesseurs, les scrutateurs et scrutatrices contribuent à s’assurer que chaque électeur ou électrice met bien dans l’urne l’enveloppe préparée dans l’isoloir, que cette enveloppe reste à la vue de tous et toutes dans une urne transparente jusqu’au dépouillement qui est effectué par plusieurs personnes.
Il s’agit là de tenter de garantir que c’est bien le vote de chaque votant-e qui sera comptabilisé in fine. Les électeurs et électrices font en général confiance à la pluralité d’intérêt des personnes impliquées dans le contrôle du scrutin pour garantir la neutralité de ce contrôle.
À cela viennent s’ajouter d’autres considérations toutes aussi importantes pour la démocratie, comme l’accès au vote pour toutes et tous, la possibilité de substitution de personne (interception), choses qui doivent être analysées avant de la mise en place d’une solution de vote, etc., mais ce n’est pas notre propos ici.
Toutes ces mesures ne sont bien sûr pas des garanties totales, mais l’idée reste que le déroulement transparent de l’élection permet de limiter les possibilités de fraude. Il est indispensable que de tels dispositifs existent pour permettre à l’électrice ou l’électeur d’avoir confiance dans le système. Que les urnes restent sous la garde d’une seule personne, disposant des clés, et c’est tout le scrutin qui devient suspicieux. Qu’une personne arrive avec une enveloppe déjà préparée, et on peut se demander si son suffrage est réellement libre et consenti. Que toutes et tous les membres du bureau de vote appartiennent à une même organisation, qu’il n’y ait pas de scrutation indépendante, et la confiance est brisée.
Or, selon notre représentant au bureau de vote, et selon notre propre expérience, ces conditions ne sont pas réunies. Si la « protection » des votants semble assez bien assurée (aussi loin que peut en juger un non-spécialiste), le déroulement du scrutin lui-même se déroule dans une « boîte noire ». Lorsque vous avez voté, il vous a été proposé de télécharger un « certificat d’émargement » et un « certificat de vote », certificat « vérifiable », selon le message associé, via une application en ligne. S’il est assez facile de vérifier l’émargement, rien ne permet à la votante ou au votant de vérifier que c’est bien son choix qui a été encodé. De son côté, le bureau de vote a lui choisi des « clés de déchiffrement », qui ont servi à fabriquer les « clés de chiffrement » utilisées pour encoder le vote, puis saisi a nouveau ces mêmes clés au moment du dépouillement, avant de recevoir le résultat complet fourni par la machine. Entre-temps, chaque membre du bureau a eu accès à une application en ligne lui indiquant que les données de configuration du système n’avaient pas été altérées durant le processus. Ille avait également accès à la liste d’émargement, à des fins de vérification sur demande des votant-es uniquement.
APRÈS le vote, chaque membre du bureau a reçu des fichiers lui permettant, sur demande toujours, de rechercher un nom das la liste d’émargement, et une série d’empreintes correspondant à chaque vote. La seule opération possible semble être de vérifier la présence dans ce dernier fichier d’une empreinte qui serait communiquée par un électeur ou une électrice [3]. Une telle opération n’est pas envisageable, même en terme de vérification par échantillonnage, pendant le dépouillement.
Les votant-e-s ne savent pas ce qui a été mis dans l’urne, le bureau de vote ne peut vérifier que c’est bien la même chose qui a été dépouillé. L’expert fait bien mention d’une possibilité de "rejouer le dépouillement" en cas de contestation, mais à quoi cela peut-il servir quand ce sont les mêmes données et les mêmes traitements, fournis par la même société, qui sont "rejoués" ?
C’est cette absence complète de transparence qui a conduit notre représentant à refuser de signer le procès verbal du scrutin.
Le point crucial du problème est le fait que la société prestataire Voxaly, contrôle absolument toutes les étapes. Une attaque (externe ou interne) contre le système permet donc de modifier le résultat du vote. L’expert indépendant a vérifié le code qui lui était fourni, a vérifié que la « signature » de ce code était la même sur le système de vote … avec les outils fournis par la société Voxaly. Mais aucun système indépendant ne contrôle l’intégrité de « l’urne » elle-même, dont, par définition, le contenu change sans arrêt.
Un spécialiste du vote électronique à l’INRIA, qui a participé à une réunion préparatoire au CNRS, avait pourtant insisté sur le fait qu’un tel système [4] ne peut être sécurisé qu’à condition que différentes étapes du processus soient confiées à différentes organisations, indépendantes entre-elles [5], se contrôlant mutuellement de façon à ce qu’une attaque en un point donné ne puisse aboutir. Las, manifestement, ce genre de considérations, malgré nos rappels répétés, n’a pas eu l’heur de plaire à la direction du CNRS lorsqu’elle a conçu son appel d’offre et choisi un (et un seul) prestataire.
L’alerte de notre représentant n’a malheureusement pas non plus ému les autres membres du bureau de vote. Le président en aurait même déclaré à notre représentant qu’ « il faut savoir faire confiance » ! De notre côté, si nous professons que le vote, pour que la démocratie vive, doit donner confiance aux votantes et votants, les membres du bureau de vote sont justement là pour ne faire confiance à personne ! Il doivent être garantes ou garants du déroulement du vote, au nom de l’ensemble de la communauté !
Il ne s’agit pas ici d’imaginer de sourds complots internationaux, nous laissons ça à un ministre de l’éducation nationale, mais simplement de respecter un minimum de règles de déontologie.
Et rien dans la prestation de la société Voxaly ne peut nous porter à pousser plus loin la confiance. Ainsi, lorsque en préparation , nous nous étonnions du choix d’une société qui affirme, sur son portail commercial, développer une solution de « niveau 2 [6] avec des éléments de niveau 3 », alors que l’application de la grille de la CNIL nous plaçait en niveau 3, le représentant de Voxaly nous assurait de leur capacité à respecter le niveau 3. Pourtant, le rapport d’expertise reçu depuis confirme que la solution est de niveau 2 ! Lorsque nous avons signalé des difficultés lors de l’utilisation de la validation par téléphone fixe, aucune réponse n’a été apportée. Nous avons eu plusieurs remontées de personnes qui ont ainsi eu beaucoup de mal à voter ; une en particulier parlant de plus d’une « heure » d’essais successifs, avant d’y arriver, avec des appels incessant donnant des codes d’identifications obsolètes avant même d’être saisis. Surtout, puisque nous parlons de confiance dans le résultat, notre représentant signale que les clés de déchiffrement ont toutes été rentrées sur l’ordinateur portable de la personne de la société Voxaly ! Un simple espion sur ce PC suffit donc à connaître toutes les clés ! Quel crédit apporter à une société qui semble traiter autant à la légère la sécurité !