Rapport sur l'usage du vote électronique par l'Internet pour les élections à l’Assemblée des Français de l'Étranger de juin 2006

 Bernard Lang, Directeur de Recherche en Informatique
23 juin 2006.
 

Introduction
L'état de l'art et le contexte
Quelques observation sur le déroulement du vote
Sur la transparence du système informatique
Sur le secret du vote
Sur la fiabilité des systèmes
Sur la maîtrise des techniques et des procédures
Sur le rôle des membres du bureau électronique et des délégués
Sur la vérification du vote
Sur la complexité de la procédure
Annexe : Précautions à prendre et questions à poser au cours de la procédure de vote
Remarques :
Relatives au Décret n° 2006-285 du 13 mars 2006
En rapport avec l'Arrêté du 6 avril 2006
Sources utilisées

Introduction

Ce rapport d'expertise porte sur le déroulement des opérations de vote électronique via l'Internet de juin 2006 pour l'élection de certains membres de l’Assemblée des Français de l'Étranger.  Cette mission d'expertise m'a été confiée par Madame Hélène Charvériat, Délégué Général de l'Union des Français de l’Étranger, par courrier électronique le 12 juin 2006.

Lorsque j'ai accepté de réaliser ce travail, je n'avais qu'une idée limitée du contexte, des engagements et des enjeux, même si j'étais déjà familier avec les questions du vote électronique. Je tiens à préciser d'entrée que, dans le cadre de ce rapport, mon expertise en informatique est une expertise généraliste. Cependant, il est peu vraisemblable, voire invraisemblable, qu'un seul expert puisse réunir toutes les compétences spécialisées requises par un système de cette complexité, compte tenu de l'importance des détails dans cette entreprise. Mon objectif, en conséquence, n'est pas de faire une analyse détaillée de la qualité technique du système de vote mis en place, mais plutôt d'analyser , au travers de divers indices, la maturité de cette « technologie » et l'état de son adéquation au besoin auquel elle entend répondre. Il ne s'agit pas de porter un jugement sur le travail ou sur les intervenants, mais bien plutôt de comprendre l'état d'avancement d'une entreprise importante, mais délicate et difficile.

L'état de l'art et le contexte

Les élections par bulletin secret sont l'un des fondements de la démocratie. Cependant, l'histoire des pratiques électorales se confond avec l'histoire des tentatives de contournement de ces pratiques, quels qu'en soient les buts ou les auteurs, avec ou sans le concours d'intermédiaires. La législation régissant l'organisation des scrutins a donc évolué pour tenir compte de ce problème, et garantir non seulement la sincérité du scrutin, mais aussi, et c'est important au même degré pour le respect des institutions, la confiance des parties en présence – notamment des électeurs[1]dans la réalité de cette sincérité du scrutin.

C'est ainsi que, de façon exemplaire, à la fois pragmatique et symbolique, l'article L.63 du Code Électoral dispose que « L'urne électorale est transparente. »  Ce n'est que l'une de nombreuses dispositions essentielles à l'établissement de cette confiance, mais qui est particulièrement symbolique en ce qu'elle exprime le besoin de transparence et d'observabilité par tous.

La sincérité du scrutin requiert deux conditions :

1.    que chaque électeur (et eux seuls) s'exprime en toute indépendance

2.    et que l'expression des votes ne soit par altérée, pendant ou après le scrutin, individuellement (ex. : détournement d'enveloppe) ou globalement (ex. : bourrage d'urne).

La liberté du vote, l'indépendance de l'expression du suffrage, ne peut être garantie que par le secret, en un sens extrêmement fort :

·       il ne faut pas que le vote puisse être observé ou déduit pendant ou après son expression,

·       et il ne faut pas que l'électeur puisse, de façon quelconque faire la preuve du sens de son vote.

Cela implique en particulier que le suffrage, une fois exprimé, perde tout lien avec l'identité de celui qui l'a exprimé.  Cela implique aussi que, si l'expression du suffrage peut être interceptée (vote à distance, par correspondance ou par l'Internet), des mécanismes soient mis en oeuvre pour éviter d'y associer l'identité de l'électeur.

La préservation de l'expression des votes est assurée par les procédures électorales (gestion de l'urne, dépouillement, émargement, etc.). L'ensemble est mis en oeuvre dans le bureau de vote par un président et plusieurs assesseurs, qui font partie intégrante de l'organisation du scrutin. Ici aussi, le risque d'interception d'un vote à distance peut requérir des mesures appropriées pour éviter que ce vote ne soit modifié.

La confiance dans la sincérité du scrutin est garantie par l'observabilité de l'ensemble des procédures par des représentants des parties. L'article L.67 du code électoral dispose ainsi que « tout candidat ou son représentant dûment désigné a le droit de contrôler toutes les opérations de vote, de dépouillement des bulletins et de décompte des voix, dans tous les locaux où s'effectuent ces opérations, ainsi que d'exiger l'inscription au procès-verbal de toutes observations, protestations ou contestations sur lesdites opérations, soit avant la proclamation du scrutin, soit après. » De même la puissance publique peut contrôler ces opérations en étant représentée par les membres du bureau de vote, et aussi par les commissions de contrôle des opérations de vote (article L85-1).

On constate donc que nous avons dans le processus de vote traditionnel deux composantes, dont l'une est chargée de la mise en œuvre d'un processus sécurisé et observable, et dont l'autre assure la confiance par des observateurs indépendants représentant les parties qui vérifient que ce processus est adéquatement respecté.

Cette analyse amène diverses observations :

1.    L'observation directe du déroulement d'un processus électronique n'est pas possible. Comment dans ce cas garantir la transparence des opérations pour établir la confiance ?

2.    L'importance des mesures destinées à garantir la sincérité du vote et la confiance des parties est aussi fonction de l'importance des enjeux.[2] Mais l'enjeu est maximum dans le cas des votes politiques.

3.    Peut-on envisager un risque limité quand il est destiné à éviter que des électeurs soient exclus du scrutin pour des raisons circonstancielles ?  C'est typiquement le choix qui a été fait quand on a autorisé le vote par correspondance pour les français de l'étranger, alors que ce n'est pas permis pour les autres.

4.    Le secret du vote ou l'intégrité de son expression sont chacun facile à assurer séparément, au détriment de l'autre : en ne transmettant pas le vote, ou en affichant publiquement le vote et son auteur (pour prendre des cas limites caricaturaux). C'est la combinaison des deux qui est complexe. Si la perfection n'est pas atteignable, y a-t-il de la marge pour un compromis entre ces deux objectifs nécessaires, compte tenu de circonstances spécifiques, par exemple dans le cas des français de l'étranger ?

De fait, l'utilisation de machines à voter électroniques, non connectées au réseau, est souvent soumise à la contrainte d'une traçabilité du vote par des bulletins physiques en papier.

5.    Si la fraude est plus difficile, plus technique, dans le cas du vote électronique, elle peut aussi être plus efficace, plus massive, en étant automatisée. Intercepter les courriers des votes par correspondance est une tâche considérable à grande échelle, alors qu'il est concevable que la violation des communications électroniques vers une adresse donnée soit automatisée.

6.    La confiance ne peut venir que des procédures et de leur transparence, et non des acteurs qui les gèrent, quels que soient leurs mandats : en période troublée, chacun est suspect pour une partie ou une autre.

 À ce jour, les machines à voter électroniques sont principalement utilisées de façon locale, déconnectées du réseau. Un nombre croissant d'états imposent en outre que le vote électronique soit accompagné d'une trace physique, sous la forme d'un bulletin visé par l'électeur, qui reproduit en fait le mode de scrutin traditionnel. Ce choix traduit en fait la prise en compte de ce que l'on ne sait pas garantir la sincérité du vote électronique dans l'état actuel des techniques. Le bulletin traditionnel, qui peut être recompté, est une garantie de recours principalement destinée à établir la confiance. Il peut être vu comme une forme de dissuasion contre la fraude. Et le doublement du processus électronique par le processus traditionnel permet de bénéficier d'une simplification de la gestion (dépouillement en particulier) en cumulant les contrôles des deux processus et donc en améliorant la sécurité.

Par contre, sans trace physique permettant le recomptage, se pose la question de la confiance que l'on peut accorder au système et à ceux qui le mettent en œuvre, car ce qui se passe dans la machine n'est pas observable, et les possibilités de contournement son multiples, sans parler des erreurs involontaires.

Ce problème devient inévitable dès lors que l'on considère le vote distant par l'Internet, car il est alors impossible pour l'électeur de contrôler directement un bulletin physique. Diverses études ont analysé les problèmes posés par ce type de vote, l'une des plus importantes concernant le projet américain SERVE[3]. Au problème de confiance envers les logiciels d'enregistrement et de comptage des votes s'ajoutent alors les risques inhérents à la connexion en réseau : attaque sur les serveurs de vote, attaques sur les machines des votants, et attaques sur les communications. Par exemple, on peut en particulier noter que, outre la compromission des ordinateurs privées par les virus informatiques, de nombreux agents ont la possibilité de modifier plus ou moins librement le comportement des ordinateurs privés, en principe exclusivement pour l'évolution ou la maintenance de logiciels s'y trouvant : logiciels de connexion pour AOL, mesures techniques de protections des droits pour Apple et d'autres, maintenance de logiciels d'application ou du système d'exploitation. Cela pourrait permettre à la fois de percer le secret du vote et d'en changer l'orientation.

En bref, on est conduit à définir des architectures complexes, qui posent un double problème :

1.    identifier les risques et les vulnérabilités,

2.    et les contrôler.

Il est manifeste que l'état actuel de l'art informatique ne semble pas permettre de contrôler les risques et vulnérabilités de façon à atteindre un degré de confiance qui approche celui des systèmes traditionnels. Encore pourrait-on au moins espérer accepter en connaissance de cause un certain degré de risques clairement identifiés.

Apparemment il n'en est rien, car il semble bien que la complexité des interactions dépasse, pour le moment, ce que les concepteurs sont capables de prévoir ou d'évaluer, comme le montreront quelques exemples issus du vote de juin 2006.

De nombreuses expériences de vote par Internet ont été conduites dans diverses démocraties occidentales. Si ces expériences sont importantes, et seront vraisemblablement renouvelées, il ne semble pas que ce type de vote doive être adopté dans l'immédiat pour les scrutins les plus importants en raison de l'immaturité des techniques.[4]

Il est sans doute souhaitable qu'il en aille de même en France, afin de faire progresser ces technique dans l'intérêt d'une démocratie plus efficace et peut-être à terme plus sûre, mais sans pour autant prendre des risques excessifs qui pourrait au pire la mettre en danger, et qui pourraient surtout altérer la confiance du pays dans le processus démocratique et dans les institutions, et entraîner un rejet durable de toute évolution vers le vote électronique.

Il est donc important de relever ouvertement tout ce qui peut sembler problématique ou critiquable dans le processus mis en œuvre à l'occasion de ces élections de juin 2006. Et c'est important pour deux raisons :

1.    La première, sociale, est de préserver la confiance des citoyens en affichant clairement une volonté de totale transparence, y compris sur les faiblesses ou les défaillances du système.

2.    La seconde, technique, voire simplement scientifique, est tout simplement de disséminer la connaissance et l'analyse des problèmes afin d'en favoriser l'étude et la résolution.

Le vote électronique par l'Internet est fondamentalement un problème de sécurité. Un principe essentiel concernant la sécurité est qu'elle ne saurait être préservé par le secret, qui n'est généralement qu'un masque pour des insuffisances qui finissent toujours par être connues, souvent de façon dommageable. La vraie sécurité ne peut être obtenue que par l'identification des faiblesses et la mise au point de solutions qui y répondent.

Dans le cas précis du vote électronique, il s'avère en outre que l'immense majorité des citoyens a intérêt au bon fonctionnement des institutions et sera donc incitée, dans la mesure des compétences de chacun, à contribuer à l'amélioration et à la sécurisation des procédures, mais à condition d'avoir accès à l'information pertinente.

C'est dans cet esprit qu'il faut comprendre les commentaires qui suivent, et qui ne se veulent nullement des critiques définitives. C'est d'autant plus justifié que le déploiement des procédures de vote électronique n'est que partiel, et que c'est à l'évidence une expérience, ce que confirme en page 15 le rapport du député Jérôme Bignon[5]. Cette expérience doit être menée sur un enjeu réel, si l'on veut qu'elle soit conduite dans des conditions réalistes, et c'est le cas. Mais une expérience n'est utile que si on en analyse soigneusement les procédures et les résultats afin de pouvoir en tirer des conclusions utiles.

Quelques observation sur le déroulement du vote

Les commentaires ci-dessous se fondent sur la lecture de plusieurs documents, une visite du bureau de vote et une discussion avec quelques assesseurs. Tous les documents étant par ailleurs accessibles aux assesseurs et aux associations représentatives, nous ne reviendront pas sur les procédures ni sur l'architecture du système utilisé. Les étapes clés des procédures sont décrites pour l'essentiel, mais bien trop succinctement, dans le décret  n° 2006-285 du 13 mars 2006[6] et l'arrêté du 6 avril 2006[7]. L'architecture et les  traitements informatiques sont schématisés dans la série de « transparents » utilisés par la société Experian pour présenter le système lors de la « cérémonie de remise des clés et du scellement du système de vote » du 9 mai 2006.

Sur la transparence du système informatique

Une première remarque est que les documents mis à disposition du bureau de vote et des observateurs son grossièrement insuffisants pour se faire une idée précise de l'architecture utilisée et de son mode de fonctionnement et de ses faiblesses éventuelles. Seul le maître d'œuvre (Experian) et peut-être le maître d'ouvrage (MAE) ont accès à une information précise, ainsi peut-être que le Comité Technique chargé d'assister le bureau, mais qui est lui-même nommé par arrêté du ministre des affaires étrangères (article 12 du décret n° 2006-285 du 13 mars 2006). Ces informations sont sans doute aussi communiquées à l'expert indépendant chargé d'expertiser le système comme prévu à l'article 7 de l'arrêté du 6 avril 2006, mais qui est lui aussi choisit par le ministre des affaires étrangères.

Il ressort de cette analyse que le système informatique sur lequel repose la sincérité et donc la confiance du scrutin n'est auditable que par des représentants du maître d'œuvre et du maître d'ouvrage, mais aucunement par le bureau (président et assesseurs) pourtant en charge du « bon déroulement des opérations électorales » et notamment « de la mise en oeuvre des dispositifs de sécurité. » Rien n'indique par ailleurs que les délégués des associations représentatives, c'est-à-dire en fait des candidats, soient logés à meilleure enseigne.

Ainsi, non seulement le fonctionnement des systèmes n'est pas observable au sens physique, ce qui est une conséquence de l'informatisation des procédures, mais de fait il n'y a pas de véritable indépendance de l'audit ni aucune transparence quant aux procédures effectivement utilisées, à la différence de ce qui se passe dans un bureau de vote classique.

Ceci est d'autant plus inquiétant que, dans l'état actuel des techniques, un système de cette complexité contient nécessairement des bogues. Celles-ci ont peu de chance d'être identifiées dans de telles conditions de secret.

Sur le secret du vote

Comme je l'ai indiqué ci-dessus, les détails précis de l'organisation informatique du vote sont difficiles à déterminer. Il semble cependant que l'intégralité des procédures ait été confiée à la société Experian. Or, en page 36, section 3.5, le rapport du Forum des droits sur l'Internet[8] « recommande que les opérations de vote soient confiées à deux acteurs techniques différents et bien identifiés comme tels et dont les systèmes informatiques sont distincts, dédiés et isolés [...] :

·        Le gestionnaire des listes électorales, qui donne l'autorisation de voter ;

·       Le gestionnaire de l'urne électronique qui récupère les suffrages. »

La raison de cette recommandation est la même que celle qui justifie d'imposer la combinaison de trois clés pour procéder au dépouillement. Un secret est d'autant mieux gardé que le nombre de personnes ou de systèmes à compromettre simultanément pour y accéder est plus important.

Outre que la séparation totale des responsabilités doublerait la sécurité concernant la préservation du secret du vote, elle prémunirait mieux contre des erreurs architecturales en imposant de facto une totale séparation des systèmes. Les consoles de suivi des membres du bureau de vote électronique permettent d'interroger la présence d'une personne sur les listes électorales et aussi l'état d'avancement du scrutin pour divers bureaux de vote à l'étranger. Cela passe par un serveur, qui n'est pas en zone sécurisé, mais qui communique avec les deux systèmes chargé des listes électorales d'une part, et du recueil des suffrages d'autre part. Il n'y a pas a priori de raison de penser que cela donne lieu à une compromission de la sécurité du secret, mais pourquoi prendre ce risque inutile.  Les consoles du bureau de vote électronique pourraient aussi bien interroger deux serveurs indépendants, dans deux sociétés distinctes.

Sur la fiabilité des systèmes

Des erreurs de programmations ont été identifiées sur les consoles de suivi fournies aux membres du bureau de vote électronique. Il s'agit d'erreurs concernant des parties non critiques du système comme l'interrogation des listes électorales. Cela confirme cependant que le système n'est pas exempt de bogues.

Il faut se souvenir de ce que, si l'observation d'un comportement suspect ou étrange peut indiquer une bogue ou une attaque du système, l'absence de tels comportements observables ne saurait signifier que tout va bien.

Sur la maîtrise des techniques et des procédures

La mise au point de systèmes sécurisés complexes, devant préserver le secret et l'intégrité de données diverses et corrélées est toujours une affaires délicate. Dans le cas de l'organisation du vote par l'Internet de juin 2006, deux exemples nous semblent montrer que l'organisation du système et de sa sécurité n'est pas maîtrisée. Ceci est d'autant plus inquiétant que la plus grande partie du système de vote n'est pas observable.

Le premier exemple concerne une faiblesse de la préservation du secret. A l'évidence, si tous les inscrits Internet d'un même bureau votent dans le même sens, le secret de leur vote ne sera pas assuré car le dépouillement indiquera la nature du vote uniforme, et donnera la liste des votants. Cela se produit avec certitude quand il n'y a qu'un votant (comme ce fut le cas pour le bureau de Kaboul), et avec une probabilité relativement forte quand le nombre de votants Internet d'un bureau physique est faible. Il semble que, même si la situation a été gérée sur le tas, elle n'ait pas été correctement anticipée pour permettre une prise en compte pensée à l'avance, de préférence par le législateur. À l'évidence, l'électeur unique du bureau de Kaboul aurait du être prévenu à l'avance de ne pas participer au vote par l'Internet.

Un autre exemple, à l'inverse, concerne une procédure qui semble complètement inutile. Il s'agit du scellement dans des enveloppes des clés de décodage. Le président et deux assesseurs reçoivent chacun une clé, les trois étant nécessaires au décodage des données chiffrées. Il n'y a rien à redire à cette procédure. Mais pourquoi sceller chaque clé dans une enveloppe du commerce, scellée par la signature de celui (président ou assesseur) qui en a la garde ? Qu'est-ce qui les empêche d'ouvrir l'enveloppe, de faire une copie de la clef, puis de mettre à nouveau la clef dans une autre enveloppe identique, qui sera scellée de la signature de son gardien ?

Par contre, la combinaison de clés nécessaire au dépouillement du scrutin est un élément essentiel de la sécurité du système. Cependant 6 clés, et non 3 comme prévu par l'article 14 du décret  du 13 mars 2006, ont été produites. De plus, aucune information précise n'a été fournie quant aux combinaisons de clés permettant le dépouillement. Il semble, au vu de ce qui m'a été rapporté oralement, qu'une quelconque des trois clés de secours pouvait remplacer une clé principale non- disponible        .

Sur le rôle des membres du bureau électronique et des délégués

À l'évidence, l'organisation du bureau de vote électronique, avec son président, ses assesseurs et les délégués des associations a été structurée pour ressembler à l'organisation d'un bureau de vote traditionnel.

Si le souci de préserver l'image rassurante d'une structure démocratique familière est bien compréhensible, il n'est pas certain que ce soit avisé : cela tend en effet à susciter une perception erronée  de la situation réelle et du partage des responsabilités entre les intervenants. Le seul rôle réel du président est de pouvoir arrêter le vote si une anomalie grave lui est signalée. Pour le reste, le bureau électronique (situé à Paris) n'a connaissance que de façon indirecte de tout de qui se passe sur le site du système de vote (situé à Aix en Provence) : qu'est-ce qui prouve que l'urne est vide quand l'écran affiche zéro, ou que leur écran de télévision leur présente bien, à tout moment, la vrai salle informatique utilisée pour le vote ?  De même le président, ou le bureau, ne peut que demander aux agents locaux d'exécuter certaines procédures (le scellement par exemple) sans même savoir à quoi elles correspondent en réalité. J'ignore d'ailleurs si ils ont moyen de contrôler l'exécution effective de ces procédures. De même aussi, les membres du bureau ne disposaient pas d'une information claire sur les combinaisons de clés permettant de procéder au dépouillement.

Pour reprendre les propos d'un assesseur (que je cite de mémoire) : « le système est certainement auditable, mais pas par moi. » En clair, le bureau a un rôle purement formel et symbolique, et ne maîtrise nullement le déroulement des opérations. Cela n'a rien à voir avec un bureau de vote classique, où le président et les assesseurs gèrent le bon déroulement du vote et en maîtrisent tous les aspects.

Avec des bureaux plus symboliques que réels, ne risque-t-on pas une démocratie à cette image. Et ne vaudrait-il pas mieux assumer les différences en toute clarté, pour ne pas risquer, ici encore, la perte de confiance ?

Sur la vérification du vote

L'un des avantages des systèmes à bulletins est que le vote peut être recompté en cas d'incident ou de contestation. Je suis surpris de ce que, dans un système dont la complexité est très susceptible de causer des difficultés, on n'essaie pas de préserver une trace complète des communications entrantes et sortantes, observées de préférence par une machine indépendante et non connectée elle-même au réseau autrement que par la sonde d'observation. Cela pourrait (me semble-t-il, mais je sors un peu de ma compétence) permettre de rejouer un vote qui aurait eu des problèmes. Cela permettrait aussi de détecter ou d'analyser des attaques éventuelles contre le système de vote, en mode différé à partir de l'enregistrement de la trace, mais éventuellement en temps  réel sur la machine d'observation qui ne peut être compromise de l'extérieur car non accessible de l'Internet.

Rappelons que la résistance du système de vote aux attaques ne sera vraiment sollicitée que lorsque les enjeux le justifieront. On ne peut pas déduire grand'chose du fait que les attaques restent encore faibles à l'occasion des expériences de vote électronique.

Sur la complexité de la procédure

Dans une question orale[9], le sénateur Robert Del Picchia rapporte l'inquiétude des électeurs face à la complexité des procédures.  Si certains des problèmes rencontrés sont de simples questions de logistique, largement dues au caractère expérimental du scrutin, il reste clair que la sécurisation du vote entraîne nécessairement une certaine complexité. Il semble cependant qu'il y a là un rôle pédagogique à jouer pour les associations, en faisant valoir que cette complexité n'est que la traduction électronique d'une forme de complexité qui existe aussi dans les procédures traditionnelles, avec le déplacement au bureau de vote, la vérification d'identité, la remise de l'enveloppe normalisée, le passage dans l'isoloir, et le vote dans l'urne transparente contrôlé par le président et suivi de la signature du registre électoral.

Par ailleurs, cette complexité nécessaire ne préserve-t-elle pas, d'une certaine façon, le caractère symbolique du rituel électoral en évitant de banaliser l'acte de vote.

 Annexe : Précautions à prendre et questions à poser au cours de la procédure de vote.

 Ces quelques remarques ont été élaborées à l'intention des membres du bureau de vote électronique et des délégués des associations et concernent les démarches qu'il pourrait être utile de suivre dans le cadre d'une élection de ce type.

 Cette  élection 2006 est régie par le Décret n° 2006-285 du 13 mars 2006 [1] et un Arrêté du 6 avril 2006 [2]. Ce texte qui décrit le déroulement de la procédure est rédigé, à mon sens , dans des termes qui pourraient engager la responsabilité des assesseurs, voire impliquer les associations disposant d'observateurs, bien au delà de ce qui leur est matériellement possible d'assumer.

Cette annexe pour but de suggérer des précautions, attitudes ou démarches qu'il peut être utile de suivre, compte tenu des dispositions du texte. De façon générale, pour chaque acte, étape ou contrôle du processus de vote, il faut légitimement se poser les questions : Qui ? Quoi ? Quand ? Comment ? Où ? Et aussi noter de quelle façon vous l'avez observé ou accompli, notamment si une transmission électronique (laquelle ?) est utilisée pour effectuer l'opération ou pour l'observer.

Les précautions à prendre, que j'ai pu identifier comme potentiellement importantes pour la sincérité du scrutin, sont listées ci-dessous. Chaque question peut éventuellement donner lieu à une note dans le procès verbal, ou à des notes personnelles pour les observateurs. Il ne s'agit pas de vouloir contester ultérieurement le déroulement des opérations, mais surtout de pouvoir répondre précisément à toute question ou contestation. En outre, une trace précise des opérations est essentielle si l'on envisage de faire mûrir ce genre de procédure, ce qui me semble être le cas. Ces questions doivent donc être perçues par tous comme une démarche constructive, et non comme des actes de défiance, même si l'évolution des pratiques électorales est en grande partie une systématisation de la défiance vis-à-vis de tous les intervenants.

Par ailleurs, j'ai préféré être exhaustif dans la liste de mes questions, quitte à en avoir beaucoup, en laissant à chacun le choix d'en prendre ou d'en laisser selon son appréciation de la situation.

Remarques relatives au Décret n° 2006-285 du 13 mars 2006[10].

A)  Article 11 : « le bureau du vote par voie électronique veille au bon déroulement des opérations électorales, notamment en s'assurant de la mise en oeuvre des dispositifs de sécurité prévus. »  Disposez-vous d'une liste des dispositifs en question, et/ou d'une procédure pour vous assurer qu'ils ont bien été mis en œuvre ?  Le noter au procès-verbal.

B)  Article 11 : « Il vérifie le nombre et la qualité des personnes autorisées à accéder à chacun des traitements automatisés. » Avez-vous une liste de ces personnes et de leur qualité, ainsi que des critères d'autorisation d'accès, et ce pour chacun des traitements automatisés ? Disposez-vous d'une liste de ces traitements ? Ceci ne vous demande apparemment pas de contrôler qui accède effectivement à ces traitements, ni de déterminer la nature de ces accès.

C)  Article 11 : « A cette fin, les membres du bureau du vote par voie électronique peuvent accéder à tous moments aux locaux hébergeant les traitements automatisés. » Quelle est la nature de cet accès ? Dans quelles conditions peut-il s'effectuer ? En quoi cet accès est-il utile ou indispensable à la bonne exécution des tâches assignées au bureau de vote, auxquelles cette disposition fait référence ?

D)  Article 11 : « Toute intervention sur le système de vote fait l'objet d'une consignation au procès-verbal. »  Certaines anomalies (bogues informatiques) ont été constatées dans le système de suivi du vote par le bureau. Ces anomalies ont-elles été consignées ? Si elles ont été corrigées, ces corrections ont-elles fait l'objet d'une consignation ? Il semble légitime de considérer que le système de suivi du vote par le bureau fait partie du système de vote, dans la mesure où il participe au contrôle de la sincérité du scrutin.

E)   Article 14.I. : « Avant l'ouverture du vote par correspondance électronique, le président du bureau du vote par voie électronique et deux des assesseurs tirés au sort se voient chacun remettre une « clé de dépouillement » distincte, selon des modalités qui en garantissent la confidentialité. » Rien dans cet article n'indique que le bureau a la responsabilité de vérifier ces modalités. Cependant, cette procédure n'a pas été respectée, dans la mesure où des clefs de secours ont également été créées, dont une gardée par la société Experian. Ceci a-t-il été porté au procès-verbal, dans la mesure où les documents portant cette information semblent être (selon les mentions qui y figurent) la « propriété exclusive d'Experian. »

F)   Article 14.I. : « Le président du bureau du vote par voie électronique se voit également remettre l'ensemble des éléments qui lui permettra de vérifier avec ses assesseurs l'intégrité du système de vote par correspondance électronique. » Vérifier « l'intégrité du système de vote par correspondance électronique » est une tâche essentiellement technique. Il vous est bien entendu impossible de procéder à une telle vérification, et ce d'autant plus qu'aucun critère ni aucune procédure ne vous est fourni pour ce faire. Il semble donc important que vous notiez au procès-verbal (cela devrait déjà être fait) les éléments qui vous ont été remis, quand et par qui, en précisant que vous ne pouvez que faire l'hypothèse que ces éléments témoignent de cette intégrité, sans que vous puissiez effectuer vous-même la vérification technique de la chose. Il faut en outre distinguer le contrôle de l'intégrité initiale du système, puis de l'intégrité de son fonctionnement lors des étapes successives (déroulement du scrutin, fermeture, préservation de l'urne, liste des votants, dépouillement). Dans la mesure où vous devez contrôler cette intégrité, il importe de vous faire préciser quels seraient les signes vérifiables par vous de la violation éventuelle de cette intégrité, éventuellement pour divers types de violation. En principe, un tel document aurait du être préparé à l'avance. Si ces vérifications sont effectuées par des tiers, noter le nom des opérateurs, le lieu de l'opération et le mode d'observation.

G)  Article 14.II. : « Les membres du bureau du vote par voie électronique constatent que l'« urne électronique » est vide et déclarent alors le vote ouvert. » Il importe de bien préciser que vous constatez que l'écran de contrôle mis à votre disposition indique que l'urne électronique est vide, et de ne surtout pas affirmer qu'elle est effectivement vide.

H)  Article 15.I. : « ... le président et les assesseurs du bureau du vote par voie électronique, après avoir déclaré le scrutin clos, vérifient l'intégrité du système du vote par correspondance électronique ... » Mêmes remarques que précédemment (F) : il vous est impossible de procéder vous-mêmes à une vérification technique. Il faut donc que l'on vous précise quels sont les éléments que vous devez vérifier et qui témoigneraient de cette intégrité, ainsi que les signes qui pourraient montrer que cette intégrité a été violée. Tout ceci étant à noter au procès verbal. Si ces vérifications sont effectuées par des tiers, noter le nom des opérateurs, le lieu de l'opération et le mode d'observation.

I)     Article 15.I. : « ... et procèdent au scellement de l'« urne électronique. » ». Pour vous il ne s'agit que de mots. Vous ne pouvez que constater et devez noter dans le procès-verbal les procédures suivies à cette fin, locales ou distantes, et les noms des personnes qui procèdent à ces opérations et votre mode d'observation.

J)    Article 15.II. : « Le dépouillement du scrutin des votes exprimés par voie électronique est public. » Si, pour l'un des bureaux de vote, l'ensemble des votants a voté pour la même liste, il s'ensuit que le vote de chaque votant n'est plus secret. C'est en particulier le cas si une seule personne d'un bureau vote électroniquement. De plus, le dépouillement étant public, ce vote sera donc public. Il est important de noter l'occurrence éventuelle d'une telle situation au procès-verbal, en précisant les bureaux de vote concernés.

K) Article 15.II. : « Le bureau du vote par voie électronique imprime à partir du « fichier des électeurs » les listes électorales consulaires ... » Il importe de noter au procès verbal dans quelles conditions il est procédé à cette impression : date, lieu, personnes, et la façon dont le bureau en a connaissance.

L)   Article 15.II. : « Il vérifie que le nombre de votes exprimés dans l'« urne électronique » pour chaque bureau de vote correspond au nombre de votants figurant sur les listes électorales consulaires comportant l'émargement. » Préciser au procès verbal si le nombre de votants est recompté à la main, ou s'il est simplement directement imprimé sur les listes électorales. Je ne suis cependant pas sûr que cela soit important.

M) Article 15.II. : « Les membres du bureau du vote par voie électronique procèdent au dépouillement qui est effectué pour chaque bureau de vote. » Noter la procédure suivie, le lieu de l'opération, les personnes qui l'effectuent, et le mode d'observation du bureau.

N) Article 18 : « Jusqu'à l'expiration des délais de recours contentieux, les supports d'information comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d'émargement, de résultats et de sauvegarde sont conservés sous scellés sous le contrôle du bureau du vote par voie électronique. » Il importe de noter la nature des supports sur lesquels ces informations sont préservées, et les mesures éventuellement prises pour en assurer la bonne conservation (duplication de l'information par exemple), ainsi que les mesures permettant d'authentifier ces informations dans le futur. Là encore, noter les personnes, dates, lieux d'exécution, modes d'exécution et/ou d'observation par le bureau. Préciser si les matériels conservés sous scellés comprennent les ordinateurs (lesquels) et dans quel état : allumés ou éteints, connectés ou non au réseau. Préciser ce qu'il advient des clefs de dépouillement, qui devraient logiquement rester sous la garde des personnes précédemment désignées (ou au moins être mises sous scellés).

En rapport avec l'Arrêté du 6 avril 2006[11] [2].

O) Article 7 : « Le système de vote fait l'objet d'une expertise indépendante ... Cette expertise est transmise au comité technique prévu à l'article 12 du décret du 13 mars 2006 ... »  Il peut être utile de préciser dans le procès-verbal si le bureau a reçu copie de cette expertise, et éventuellement quels membres du bureau.

P)   Article 9 : « Le contenu de l'urne électronique, la liste d'émargement et les états courants gérés par les serveurs de vote sont figés, horodatés et scellés automatiquement sur l'ensemble des serveurs. » Éventuellement noter que cette opération a eu lieu, et à quelle heure. Selon le texte elle doit être automatique.

Q) Article 9 : « Le ministre des affaires étrangères reçoit en deux exemplaires la liste d'émargement et les résultats du vote sur cédérom portant une sérigraphie et non réinscriptibles. Une clé de chiffrement permet l'authentification des cédéroms et un condensé public en garantit l'intégrité. » Bien que la responsabilité n'en soit pas explicitement attribuée au bureau, cela fait partie des opérations de clôture. Il importe donc de noter la procédure de création des deux cédéroms, l'heure et le lieu de création, le mode de création, les opérateurs qui y procèdent, et le mode d'observation de la procédure. Il en va de même pour l'opération de chiffrement et la création du « condensé. » Il peut être utile de noter par quel procédé le « condensé » est rendu public. Il s'agit généralement d'une suite de quelques dizaines de chiffres et de lettres, qui devrait logiquement être annexée au procès-verbal. En ce qui concerne le chiffrement d'authentification, il semble important de noter qui a accès aux clés de chiffrement et de déchiffrement. Techniquement, la clé de déchiffrement peut être publique et il est même préférable qu'elle le soit. Il peut être utile de préciser au procès-verbal si c'est le cas, et éventuellement de l'annexer au procès-verbal. Il peut être utile de vérifier que la clé de déchiffrement fonctionne effectivement. Le rôle de ce chiffrement n'est pas de cacher une information, mais d'authentifier son créateur qui doit seul posséder la clé de chiffrement correspondant à la clé de déchiffrement.

R)  Article 10 : « Le 18 juin 2006, le président et les assesseurs du bureau de vote par voie électronique procèdent au dépouillement des résultats du vote électronique de chaque poste avant la fin du vote à l'urne en application de l'article 17 du décret du 13 mars 2006. » Noter à partir de quelle source se fait le dépouillement : l'urne originale ou l'un des cédéroms visés à l'article 9. Noter l'heure, le lieu, les intervenants, le mode d'observation des opérations. Comment vérifie-t-on l'intégrité de l'urne ?

Sources utilisées

·     La lecture de divers documents, dont ceux mis en référence dans les notes de bas des pages de ce rapport ;




[1]« Le défi essentiel auquel est confronté le vote électronique est l'étendue de la confiance que lui accorde l'électeur. »

Le vote électronique en France, Jean-Éric Gicquel, Petites Affiches, Nº 68, pp 5-9, 6 avril 2005.

[2]« Le niveau d’authentification demandé doit être proportionné à l'importance du scrutin. »  Recommandation du Forum des droits sur l'internet « Quel avenir pour le vote électronique en France », 26 septembre 2003, http://www.foruminternet.org/recommandations/lire.phtml?id=651 . Notons que tout en recommandant que « le vote électronique à distance [puisse] être utilisé par tous les Français de l'étranger pour les élections à l’Assemblée des Français de l'étranger, » le même texte (page 25, section 2.1.1.) « considère [...] qu'il serait illusoire en l'état actuel des techniques et des perceptions du corps électoral de prôner le déploiement du vote électronique à distance pour tous les scrutins, notamment pour les élections à caractère politique. »

[3] A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE), David Jefferson, Aviel D. Rubin, Barbara Simons et David Wagner, 21 janvier 2004, http://servesecurityreport.org/ . Traduction française : http://servesecurityreport.org/French.pdf .

[4] Le vote par internet aux élections politiques, les éléments du débat, Note de la Direction des affaires juridiques de Commission Nationale de l'Informatique et des Libertés, 28 mai 2006, http://www.cnil.fr/fileadmin/documents/approfondir/dossier/e-administration/Note_vote_internet_VD.pdf .
Il est surprenant que les références à ce document, apparaissant sur plusieurs pages du site de la CNIL au début du mois de juin 2006, en ait été retirées inexplicablement au moment du vote par l'Internet pour le Conseil Supérieur des Français de l'Étranger. Même sans vouloir préjuger des raisons de ces retraits, cela donne certainement une mauvaise impression quant à la volonté de transparence, pourtant très nécessaire, des pouvoirs publics. Et ceci est d'autant plus grave que la CNIL a précisément la charge de préserver les libertés vis-à-vis des usages abusifs ou dangereux des technologies de l'information et de la communication.

[5]Rapport de l'assemblée nationale n° 721 tendant à autoriser le vote par correspondance électronique des Français établis hors de France pour les élections du Conseil supérieur des Français de l'étranger, Jérôme Bignon, 25 mars 2003, http://www.assemblee-nationale.com/12/rapports/r0721.asp .

[6]Décret n° 2006-285 du 13 mars 2006 relatif au vote par correspondance électronique pour les élections de 2006 à l'Assemblée des Français de l'étranger, J.O n° 62 du 14 mars 2006, page 3831,  texte n° 3. http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=MAEF0610015D .

[7]Arrêté du 6 avril 2006 pris en application du décret n° 2006-285 du 13 mars 2006 relatif au vote par correspondance électronique pour les élections de 2006 à l'Assemblée des Français de l'étranger, J.O n° 92 du 19 avril 2006, page 5831, texte n° 7 http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=MAEF0610023A .

[8]Voir note 3 . Il est surprenant que cette recommandation n'ai pas été reprise par la CNIL. Cela est peut-être attribuable au fait que les délais ne permettaient plus de choisir une telle solution.

[9]Question orale sans débat n° 1010S de  M. Robert Del Picchia, JO Sénat du 30/03/2006 - page 890, et Réponse du Ministère délégué aux affaires européennes, JO Sénat du 12/04/2006 - page 3109, http://www.senat.fr/basile/visio.do?id=qSEQ06031010S .

[10]Cf note 6 .

[11]Cf note 7 .