Débattre

Les machines à voter électroniques en débat...

Plus d’un million d’électeurs utiliseront des ordinateurs de vote en France en 2007. Ces machines, qui enregistrent les votes des électeurs pendant le scrutin puis les additionnent lors du dépouillement, sont introduites dans les bureaux de vote dans le but d’améliorer la procédure électorale (gain de temps, gain de personnels, gain d’argent…). Pourtant, à y regarder de plus près, les ordinateurs de vote ne sont pas sans poser de graves questions démocratiques. Sous couvert de modernité et de fiabilité, ces machines à voter peuvent jouer de mauvais tours. De nombreux pays étrangers en ont déjà fait les frais.

Dessin : François Cointe.

Ce texte a été élaboré à partir des documents de Chantal Enguehard, « Le vote électronique en France : opaque & invérifiable », et Pierre Muller, « Qui contrôle le vote électronique ? », avec son aimable autorisation.

Le code électoral français fixe dès 1969 le cadre légal du vote à l'aide d'ordinateurs de vote. Réservé aux communes de plus de 3500 habitants, le vote électronique doit se dérouler sur un ordinateur d'un modèle agréé par arrêté du ministre de l'Intérieur et doit vérifier un certain nombre de critères (le vote doit se dérouler dans un isoloir, doit être possible pour les personnes handicapées, doit permettre le vote blanc, etc.).

En pratique, le citoyen entre dans l'isoloir, consulte les choix présentés sur l'écran de la machine, choisit son candidat en pressant un bouton (ou bien à l’aide d’un crayon optique), son choix est alors affiché sur l'écran et l’électeur peut confirmer son vote avant de sortir de l'isoloir pour émarger.

Lors du dépouillement, le président du bureau de vote (en présence d'assesseurs) appuie sur un bouton, l'ordinateur donne les résultats sous la forme d'un ticket imprimé qui est agrafé au procès-verbal et dont les résultats sont recopiés sur ce même procès-verbal. Ces résultats sont également inscrits dans la carte mémoire de l'ordinateur de vote, qui peut être éventuellement transmise à la mairie pour totalisation (mais c'est le procès-verbal qui fait foi).

Un tel procédé présente certes des avantages en comparaison de la procédure traditionnelle par bulletin papier. Le premier est l’obtention rapide des résultats à l’issue du scrutin. L’économie du comptage manuel des bulletins papier entraîne également une diminution du nombre de scrutateurs volontaires (responsables du dépouillement) de plus en plus difficiles à trouver. Le deuxième avantage est lié aux coûts, grâce à l’économie de papier réalisée et à la possibilité pour les « petits » candidats de se dispenser d’une telle dépense. Enfin, les arguments en faveur de ces machines mettent en avant une réduction possible du nombre de bureaux de vote, une réduction attendue de l’abstention, ou encore une meilleure accessibilité aux handicapés.

Dessin : François Cointe.

Ces arguments sont dans l'ensemble recevables, mais ils ne sont, au fond, basés que sur des critères extrinsèques ne possédant qu’une valeur économique ou commerciale : gain de temps et d’argent notamment. Or, pour les électeurs et les citoyens que nous sommes, il s’avère important de mesurer plutôt les avantages et inconvénients des machines à voter sur des critères intrinsèques, et donc inhérents à une élection et à l’acte de voter lui-même.

Autrement dit, la procédure de vote via une machine à voter respecte-t-elle correctement les critères énoncés par notre code électoral ?

Cinq critères à respecter

Le code électoral français énonce cinq critères que doit respecter une élection : confidentialité, anonymat, transparence, sincérité, unicité.

Que le vote soit effectué par des bulletins papier ou des machines à voter, on peut aisément en conclure que les critères de confidentialité et d’anonymat sont dans les deux cas respectés : pour le premier, l’électeur dispose d’un isoloir et pour le second, l’émargement n’étant pas automatisé (en France tout au moins), il est dissocié du choix de l’électeur.

Penchons-nous maintenant sur les trois autres critères. Dans le cas des bulletins papier, la transparence est obtenue car le déroulement du scrutin et du dépouillement est public et vérifiable ; la sincérité, car le bulletin déposé dans l’urne correspond bien à celui que le votant a choisi ; enfin l'unicité, car il n'y a qu'un seul bulletin par votant.

C’est là où les choses sont beaucoup moins évidentes pour le vote électronique. Après avoir validé son choix en pressant sur un bouton, le votant n’a en effet aucun moyen de vérifier que le vote enregistré par la machine est bien effectivement celui de son choix. Il doit donc faire reposer son exigence de sincérité (et d’unicité aussi) uniquement sur la confiance qu’il attribue à la machine.

Dessin : François Cointe.

De même que, lors du dépouillement, les scrutateurs et les citoyens ne peuvent pas exercer leur pouvoir de contrôle, puisque l'ordinateur calcule automatiquement les résultats, et qu’en l’absence de bulletins papier, il n’est de toute façon pas possible de les vérifier ou de procéder à un recomptage en cas de désaccord sur les résultats. L’exigence de transparence repose donc elle aussi uniquement sur la confiance dans la machine à voter.

Dans ces conditions, pouvons-nous faire confiance à ces machines à voter ? En d’autres termes, certains enjeux de notre démocratie peuvent-ils ne reposer que sur la confiance attribuée, presque aveuglement, à des machines ?

Oui, répondent les fabricants de ces machines, car ce sont de « simples objets électroniques ».
Non, répondent des informaticiens, car ce sont de véritables ordinateurs. Quelles que soient les différences entre les modèles proposés, ces machines sont bien toutes des ordinateurs dotés d’un boîtier, d’une mémoire, d’un écran et d’un logiciel.

Or en matière d’informatique, nous ne sommes pas tous conscients de la fragilité de comportement d'un ordinateur. Cette fragilité des systèmes informatiques d'une manière générale est largement admise dans la communauté des informaticiens professionnels, qu'il s'agisse d'une fragilité due à des erreurs involontaires ou à des intentions malveillantes.

Des erreurs involontaires ou des intentions malveillantes

Dans le premier cas, l'ordinateur peut simplement dysfonctionner à cause d'une erreur dans son programme ou d'une panne matérielle. En aérospatiale par exemple, les programmes sont parmi les plus sûrs du monde car des vies humaines et des sommes considérables d'argent dépendent de leur bon fonctionnement. Les ingénieurs utilisent des techniques très avancées pour s'assurer que leurs programmes comportent aussi peu d'erreurs que possible, des techniques de vérification et de preuve peuvent être mises en œuvre pour les détecter et les corriger. Mais ils savent également qu'il en subsiste souvent. Lorsqu'un programme pilote une fusée, celle-ci atteindra son objectif, ou bien déviera de sa route et explosera, comme ce fut le cas pour Ariane 5.

Dans le deuxième cas, les informaticiens savent qu'il est facile de modifier un programme avec une intention malveillante par l'insertion d'un cheval de Troie, ou d'une porte dérobée. Ces mécanismes sont particulièrement discrets et quasi-impossibles à détecter car ils ne sont pas forcément statiques. Ils peuvent être générés par le programme et n'apparaître que pendant de brefs instants pour rester totalement invisibles le reste du temps. La présence d'un mécanisme de super-utilisateur peut aussi faciliter la corruption du système.

Si l'ordinateur modifie les votes, qui s'en apercevra ?

Seuls les résultats manifestement erronés parce qu'invraisemblables peuvent être détectés : si un candidat obtient davantage de voix qu'il n'y a d'électeurs, il est évident qu'il s'est passé quelque chose d'anormal. Or, en l’absence de support physique (impression d’un ticket papier confirmant le choix de l’électeur et conservé dans une urne) aucun recomptage manuel n’est possible. Le problème peut d’ailleurs être plus discret et n'affecter qu'un faible pourcentage des votes, cependant suffisant pour faire basculer le résultat, ou bien échanger les suffrages obtenus entre deux candidats.

Dessin : François Cointe.

Pour s’en convaincre, une équipe de l’université de Princeton a testé en septembre 2006 le piratage d’une de ces machines. Deux minutes ont leur ont suffi pour ouvrir la machine et en modifier la mémoire. La trappe de protection du terminal est d’abord crochetée à l’aide d’un trombone et une carte mémoire qui charge le logiciel pirate est insérée dans la machine. La carte est ensuite retirée. Un vote factice oppose ensuite George Washington à Benedict Arnold. Le premier devrait être élu par 3 voix contre 1. Abusé par le logiciel, le terminal fournit un résultat erroné, mais préservant le nombre de votes : 3 voix pour Benedict Arnold, 1 pour George Washington.

Quelques semaines plus tard aux Pays-Bas, Rop Gonggrij, pirate hollandais chevronné, parvient à installer sur une machine (différente de celle de Princeton) un code capable de détourner un nombre de votes déterminés vers un candidat choisi.

Cette même équipe a récemment démontré qu’il est possible de connaître le choix d’un électeur en analysant les ondes électromagnétiques émises par les machines jusqu’à une portée de 25 mètres, ce qui remettrait aussi en cause la confidentialité du vote.

Scénario de polar peu probable diriez-vous ? Pas si fictif que ça !

De nombreux autres pays utilisent ces ordinateurs depuis plus longtemps que nous. Les États-Unis, par exemple, utilisent des ordinateurs de vote depuis les années 1990. La Belgique a démarré les expériences de vote électronique en 1991 et cela concerne actuellement 44 % des électeurs. Au Québec, les élections municipales du 6 novembre 2005 se sont déroulées à 95 % à l'aide d'ordinateurs. Même si ces ordinateurs de vote diffèrent d'un pays à l'autre (par exemple, quelques-uns impriment un bulletin papier), néanmoins ce sont tous des systèmes informatiques et ils effectuent tous un dépouillement automatique.

L’expérience de ces pays montre qu’ils ont tous vécu de nombreux incidents : de la simple panne d’ordinateurs (décalant de plusieurs heures l’ouverture des bureaux de vote), au constat de résultats aberrants (plus de voix que de votants, votants non-enregistrés). Bien entendu, seules les situations de dysfonctionnements manifestes ont pu être détectées. Il est fort possible que des dysfonctionnements soient passés inaperçus car les résultats énoncés par l'ordinateur n'étaient pas aberrants. Une inversion du nombre de suffrages obtenus par deux candidats est par exemple indétectable (car le résultat n'est pas aberrant) et invérifiable… les conséquences en sont pourtant très lourdes sur le plan démocratique.

Contrôler l'intégrité et la sûreté des ordinateurs de vote

Que ces dysfonctionnements soient dus à des erreurs involontaires ou à des intentions malveillantes, la possibilité de les détecter et les éviter repose pour l’essentiel sur le contrôle de l’intégrité et de la sûreté des ordinateurs de vote. Le système (matériel, logiciel, paramètres), une fois certifié, ne doit pas être modifié, et ne doit pas pouvoir être modifié. C’est en tout cas ce que défendent des chercheurs en informatique qui se sont, très tôt, intéressés à l’ordinateur de vote et préconisent des critères inspirés de ceux en vigueur en sécurité informatique.

Outre le contrôle de son intégrité (pas de modification possible), le système (matériel, programmes, circuits intégrés supplémentaires, documentation) doit être ouvert. Il doit pouvoir être inspecté à n'importe quel moment, même s'il est protégé par le secret industriel, car les systèmes propriétaires (au code source gardé secret) que l'on ne peut pas vérifier sont fortement suspects.

Dessin : François Cointe.

Le système doit être disponible, doit pouvoir être utilisé à n'importe quel moment et protégé contre toute tentative, frauduleuse ou non, de corruption de son fonctionnement.

La méthode de développement du système (architecture, implémentation, maintenance, etc.) doit minimiser les erreurs (bugs) et l'insertion malveillante de lignes de programme ayant pour intention d'en corrompre le fonctionnement. Il existe différentes techniques visant à accroître la sûreté d'un système, mais aucune de ces méthodes n'est infaillible. Tester un programme avec succès ne prouve en rien sa fiabilité : la moindre inversion de la valeur d'un bit peut provoquer une erreur de une, 1024 ou encore 65 536 voix.

Les mémoires sur lesquelles sont inscrits le programme et les paramètres ne doivent être accessibles qu'en lecture pour éviter toute modification ultérieure, tandis que les mémoires recueillant les votes doivent être non réinscriptibles (once-writable memories).

L'architecture du système, son implémentation, les pratiques de développement, les procédures à suivre pour l'utiliser et les procédures de tests doivent être suffisamment documentées. La documentation doit également décrire quelles mesures de sécurité ont été prises concernant chacune de ces étapes.

L'intégrité de toutes les personnes impliquées dans le développement, l'utilisation, l'administration ou le stockage d'ordinateurs de vote doit être vérifiée.

Enfin, il doit être possible de recompter les votes manuellement par l’impression d’un bulletin ou ticket papier validé en isoloir par l’électeur, ou tout autre moyen garantissant l’anonymat du vote.

Une procédure légale insuffisante

Or, aujourd’hui, la procédure mise en place par les pouvoirs publics ne permet pas de garantir le respect de ces critères. Le ministère de l’Intérieur, à l’origine du cadre de fonctionnement de ces ordinateurs, délivre les agréments aux constructeurs en se basant entièrement sur le rapport rendu par l’organisme d’inspection (Bureau Veritas ou Ceten-Apave). Celui-ci examine UN ordinateur à un moment donné et non TOUS les ordinateurs fabriqués. En fait, cet organisme doit simplement vérifier la conformité du modèle de la machine à un cahier des charges qui semble plutôt répondre à des besoins fonctionnels (fiabilité de l’électronique, longévité, facilité d’utilisation) qu’à de réelles contraintes de sécurité. Il n’y a aucune obligation d'examen approfondi du programme ou des documents et aucune vérification de l’intégrité des personnes intervenant sur ces ordinateurs. Il n'est pas clair de savoir si l'organisme a la possibilité d'examiner le code source du logiciel de la machine, car celui-ci est protégé par le secret industriel et commercial. Cela dit, examiner le code source ne garantirait pas de détecter une fraude bien réalisée. Et des modifications dites « mineures » concernant l'entretien ou la correction de bugs ne font l'objet d'aucun examen complémentaire.

Il n’y a pas non plus de procédure particulière de scellement ou de surveillance des ordinateurs entre les scrutins. Lorsque les ordinateurs sont loués, la responsabilité du stockage revient au prestataire de services (souvent la société importatrice des ordinateurs). Aucune procédure spéciale n’est exigée pour garantir avant utilisation l’intégrité des ordinateurs « certifiés ».

Les municipalités utilisatrices, quant à elles, doivent simplement se fier à l’agrément du ministère. Lors d’une élection, l'ordinateur imprime à l’ouverture du scrutin un ticket indiquant un checksum (somme de contrôle) : deux séries de 8 chiffres ou lettres (c'est-à-dire deux nombres 32 bits exprimés en hexadécimal). Les assesseurs vérifient qu'ils sont identiques à ce qu'indique le manuel d'utilisation, mais n’ont en réalité qu’une illusion d’avoir vérifié quelque chose, puisque ce cheksum est imprimé à partir du logiciel de la machine qu’il est censé garantir.

Malgré la forte opposition de scientifiques spécialistes de la sécurité informatique et la mobilisation croissante des citoyens, il apparaît extrêmement difficile de remettre en cause l’utilisation des ordinateurs de vote, que le pouvoir politique continue à soutenir. Nous constatons qu'après plus d'une décennie d'errements, certains Etats ont quand même commencé à prendre conscience des problèmes posés par ces ordinateurs : l'État de Californie a décidé de rendre obligatoire l'impression d'un bulletin papier vérifié par l'électeur à partir de juillet 2006 ; en Irlande, à cause des protestations de la population et des spécialistes en informatique de la Irish Computer Society, la commission indépendante nommée par le gouvernement a déclaré en décembre 2004 être incapable de recommander l'utilisation des ordinateurs de vote pour les prochaines élections (il s'agissait d'élections locales, européennes et d'un référendum) et a finalement conclu en juillet 2006 que la mise en œuvre de mesures supplémentaires conditionnerait l’utilisation de ces machines (notamment le cryptage des votes, un examen indépendant, des tests rigoureux…).

Il serait douloureux que les mêmes erreurs soient commises en France, alors même que des élections majeures (présidentielles et législatives) vont avoir lieu en 2007, d'autant plus que la remise en cause a posteriori du bon déroulement de ces votes de première importance pourrait menacer la stabilité politique de ce pays.

Enfin, il est regrettable que la mise en œuvre d'ordinateurs de vote ait eu lieu sans qu'une commission indépendante à la fois du pouvoir politique et des fabricants n'ait été mise en place.

L'utilisation de l'informatique peut contribuer à améliorer le fonctionnement de la démocratie. Par un meilleur accès des personnes handicapées peut-être, par la dispense de bulletins pour les « petits candidats » sans doute. À condition que la mise en œuvre de ces systèmes ne dégrade pas la qualité de la procédure de vote dans son ensemble et ne remette pas en question tout un système démocratique instauré (non sans mal) depuis longtemps.

Pour en savoir plus.

Niveau de lecture

Aidez-nous à évaluer le niveau de lecture de ce document.

Il vous semble :

Si vous souhaitez expliquer votre choix, vous pouvez ajouter un commentaire (qui ne sera pas publié).