14/11/2006: Comment frauder lors d’une élection communale sans trop de connaissances informatiques?
ou...Scénarios de fraude possibles lorsque les procédures de sécurité mises en place dans le cadre du vote automatisé ne sont pas respectées (comme à Ixelles le 8 octobre 2006).
Avec le vote papier, tout le monde comprend que l’urne doit être scellée, tout le monde sait que l’urne doit être vide et tout le monde peut vérifier que les bulletins de vote que l’on donne aux électeurs sont vierges.
Avec le vote électronique, les assesseurs et le président du bureau de vote ne comprennent plus bien les possibilités et les dangers de fraude. Ils ne sont donc plus à mêmes de comprendre les raisons pour lesquelles des procédures de sécurité ont été mises en place et la nécessité de les respecter.
Lors de son audition par le collège juridictionnel le 13 novembre 2006 suite à une plainte déposée pour non-respect des procédures, j’ai été étonné et interpellé par le manque d’imagination de scénarios de fraude dont a fait preuve le Président du collège d’experts de la Région de Bruxelles-Capitale :
Annulation des élections à Ixelles : deuxième séance publique du Collège juridictionnel.
En tant qu’informaticien de formation intéressé à la sécurité informatique et réseau, et en qualité de connaisseur du système de vote automatisé tel que pratiqué en Belgique, j’estime qu’il est de mon devoir d’expliquer quelles sont les possibilités de fraudes électorales qui pourraient être envisagées assez facilement par des personnes malveillantes dans le contexte notre système de vote électronique.
En particulier, il est important de montrer en quoi il est tout à fait primordial que les enveloppes contenant les disquettes avec les programmes et le code secret soient ouvertes devant le bureau de vote constitué (président, sécretaire et assesseurs ayant prêté serment) et les témoins de parti, et qu’après cette ouverture ce ne soit que des membres de ce bureau qui manipulent ces disquettes.
Une aide externe au bureau ne pourrait se faire que sous forme d’explications orales, aucune personne non membre du bureau et ne peut être autorisée à toucher les disquettes.
Cette procédure a en effet été mise en place car c’est la seule façon de garantir aux citoyens que les logiciels qui s’exécutent réellement dans les machines à voter et dans l’urne le jour de l’élection sont les bons logiciels c’est-à-dire ceux qui se trouvent sur les disquettes officielles.
Ce sont souvent les fraudes les plus simples qui marchent le mieux et si, en plus, elles ne nécessitent aucune compétence informatique, elles sont à la porté de tous.
Voici deux scénarios de fraude qui semblent tout à fait plausibles et réalisables. Le deuxième scénario aurait très bien pu se dérouler lors des dernières élections communales du 8 octobre à Ixelles vu la manière dont la commune a organisé les opérations électorales.
Premier scénario: le président fraudeur
Imaginons un président de bureau de vote ayant réussi à obtenir ou construire une machine à voter et une urne électronique ou tout simplement ayant fait appel à un complice dans une administration communale.
Pour organiser sa fraude, le président décide d’ouvrir seul les enveloppes contenant les disquettes et le code secret.
Disposant maintenant du matériel, du logiciel et du code, il peut simuler une élection et générer une disquette de résultats selon ses choix.
Il lui suffit alors de procéder normalement à l’élection et, à la fin de l’élection, de procéder à l’échange des disquettes de résultat.
Comment se protéger du président fraudeur?
Premièrement, il faut absolument que le président du bureau de vote ouvre les enveloppes contenant les disquettes et le code secret devant le bureau de vote constitué. De plus, les enveloppes devraient être de véritables enveloppes de sécurité qui, une fois ouvertes, ne peuvent plus être refermées.
Pour plus de sécurité, les disquettes et le code secret ne devraient être simultanément en possession du président qu’à la dernière minute. Il pourrait par exemple recevoir les disquettes à la maison alors que de son côté la commune serait en possession du seul code secret. De la même façon, nous recevons le code secret de notre carte de banque séparément de la dite carte.
Deuxièmement, il ne faut pas laisser le président de bureau de vote seul avec les enveloppes contenant les disquettes lorsqu’il se rend au bureau principal pour la totalisation. Le président doit être accompagné d’autant d’assesseurs et de témoins de parti que possible. Ceux-ci doivent accompagner le président jusqu’à ce qu’il ait donné les disquettes à un membre du bureau principal et qu’il ait reçu son récépissé. Les assesseurs et témoins pourront ainsi confirmer que ce sont bien leurs signatures qui figurent sur ces enveloppes. A partir de ce moment les membres du bureau principal et les témoins de parti dans le bureau de totalisation peuvent prendre le relais de la surveillance des opérations. De plus, les enveloppes devraient être de véritables enveloppes de sécurité qui, une fois fermées, ne peuvent pas être réouvertes sans laisser de trace.
Deuxième scénario: l’employé communal passionné d’informatique
Dans le cas où, contrairement au règlement, les enveloppes avec les disquettes et le code secret n’arrivent pas directement aux présidents, et que ce sont les communes qui se chargent de les distribuer.
Il arrive même, comme à Ixelles aux élections communales de 2006, que les présidents ne voient jamais la couleur de ces disquettes! En effet, 51 des 52 présidents de bureau ont signé une procuration autorisant le Service Population de la commune d’ouvrir les enveloppes. Selon la commune les présidents étaient, malgré la procuration, chaque fois présents à l’ouverture des enveloppes.
Supposons qu’un employé communal désire "aider" un parti politique à gagner les élections. Cet employé communal a accès aux bureaux de vote puisqu’il est chargé de les installer et peut ouvrir les enveloppes contenant disquettes et code secret.
Avec la complicité d’un président de bureau de vote,il peut préparer des disquettes de résultat que le président de bureau de vote intervertira à la fin de l’élection avec la bonne disquette.
Mais si par-dessus le marché il est féru d’informatique, il pourrait modifier légèrement le fonctionnement de la disquette officielle pour que le programme modifié produise les résultats qu’il désire voir inscrits sur la disquette.
Pour organiser une telle fraude, il n’est pas nécessaire de disposer du code source du programme des élections, il n’est sans doute pas nécessaire non plus de pratiquer une décompilation des logiciels. Ce qu’il faut c’est avoir le temps de simuler un grand nombre d’élections (pour avec le bon nombre d’électeurs dans les faux résultats) et le temps d’analyser et observer le fonctionnement du programme.
Si cet employé communal est celui qui démarre l’urne et les machines à voter, alors il lui suffit de démarrer les ordinateurs avec sa disquette et d’intervertir les disquettes à l’insu du président. Si cet employé communal n’est pas celui qui démarre les machines, il lui faut être un petit peu plus prudent afin que la disquette une fois utilisée pour démarrer la machine à voter ne présente plus aucune trace détectable de la fraude.
Comment se protéger de l’employé communal passionné d’informatique?
Il faut évidemment que la commune ne garde pas les enveloppes contenant les disquettes et le code secret. Il faut au minimum respecter les procédures, c’est ce que les citoyens attendent d’une administration qui prend part à l’organisation des élections.
Les contrôles des experts sont inopérants
On peut remarquer que les votes de référence émis par le bureau de vote ou par les experts sont inopérants contre ce type de fraude. Les copies de disquettes que le collège des experts prend ne peuvent rien révéler des fraudes telles que décrites.
Le bureau de vote constitué doit être attentif à ce que les scellés des enveloppes soient intacts et que les enveloppes contenant les disquettes et le code secret soient bien ouvertes en leur présence.
Conclusion
La fraude lors des élections par vote automatisé est possible et relativement simple à organiser et peut être conçue pour être indétectable par le collège d’experts.
Certaines fraudes ne nécessitent pas de connaissances en informatique ou seulement des connaissances limitées et sont donc à la portée d’un grand nombre de personnes.
Seul le respect strict des procédures peut permettre de limiter ces risques de fraude.
La commune d’Ixelles, en aménageant les procédures officielles, a pris le risque de mettre en danger la fiabilité des résutats et de ce fait, la démocratie. Même si aucune fraude n’a été prouvée, tout était en place pour les permettre. De ce fait, la commune d’Ixelles a aussi mis son personel dans une situation délicate de suspicion, ce que les règles en place avaient pourtant prévu d’éviter.
Seule la vigilance citoyenne et le respect des procédures pourront nous mettre à l’abri de tels scénarios. Ou bien purement et simplement l’abandon du vote automatisé.
David GLAUDE