Élections des représentant-es aux sections du CoNRS : un scrutin invérifiable !

, popularité : 11%

Notre représentant au Bureau de vote a considéré ne pas pouvoir valider le scrutin du premier tour des élections aux sections du CoNRS. À la lecture de ses raisons, exposées dans la lettre ouverte ci-jointe, qu’il a adressé au bureau de vote, la branche CNRS de SUD Recherche EPST décide de soutenir sa démarche. Il faut noter que, malgré la réception (bien tardive) du rapport de l’expert entre les deux tours, ces raisons restent valables pour le deuxième tour. Au delà du discrédit éventuel qui pourrait être, à notre grand regret, porté à cette élection, c’est bien à un problème de fonctionnement démocratique que nous sommes confrontés.

Disons-le d’emblée : SUD Recherche EPST ne souhaite pas ici faire le procès ou le panégyrique d’un mode de scrutin ou d’un autre. Il s’agit simplement de s’assurer que les opérations se déroulent convenablement. Il y a là un réel enjeu de démocratie, et le « D » de SUD nous interdit de traiter ce point à la légère. C’est pourquoi nous désirons par cette publication alerter nos collègues sur différents points de vigilance.

Sans rentrer dans des considérations trop techniques, notons que les spécialistes [1] semblent focaliser l’attention sur deux points principaux :
• la sécurité des votantes et votants ; ceci implique par exemple la confidentialité du vote et la lutte contre la coercition [2]. Ce sont ce genre de considérations qui ont conduit, dans un bureau de vote « classique », à instaurer des isoloirs, dans lequel chaque électrice ou électeur peut glisser le bulletin de son choix dans une enveloppe opaque, après avoir pris plusieurs (en principe tous) des bulletins mis à disposition. C’est aussi pour lutter contre la coercition que l’interdiction de marques distinctives sur les enveloppes et les bulletins a été instaurée.
• La sécurité et la sincérité du scrutin, dont un élément essentiel est la vérifiabilité du résultat. Ainsi, dans un bureau de vote classique, les présidentes et présidents, les assesseures et assesseurs, les scrutateurs et scrutatrices contribuent à s’assurer que chaque électeur ou électrice met bien dans l’urne l’enveloppe préparée dans l’isoloir, que cette enveloppe reste à la vue de tous et toutes dans une urne transparente jusqu’au dépouillement qui est effectué par plusieurs personnes.
Il s’agit là de tenter de garantir que c’est bien le vote de chaque votant-e qui sera comptabilisé in fine. Les électeurs et électrices font en général confiance à la pluralité d’intérêt des personnes impliquées dans le contrôle du scrutin pour garantir la neutralité de ce contrôle.

À cela viennent s’ajouter d’autres considérations toutes aussi importantes pour la démocratie, comme l’accès au vote pour toutes et tous, la possibilité de substitution de personne (interception), choses qui doivent être analysées avant de la mise en place d’une solution de vote, etc., mais ce n’est pas notre propos ici.

Toutes ces mesures ne sont bien sûr pas des garanties totales, mais l’idée reste que le déroulement transparent de l’élection permet de limiter les possibilités de fraude. Il est indispensable que de tels dispositifs existent pour permettre à l’électrice ou l’électeur d’avoir confiance dans le système. Que les urnes restent sous la garde d’une seule personne, disposant des clés, et c’est tout le scrutin qui devient suspicieux. Qu’une personne arrive avec une enveloppe déjà préparée, et on peut se demander si son suffrage est réellement libre et consenti. Que toutes et tous les membres du bureau de vote appartiennent à une même organisation, qu’il n’y ait pas de scrutation indépendante, et la confiance est brisée.

Or, selon notre représentant au bureau de vote, et selon notre propre expérience, ces conditions ne sont pas réunies. Si la « protection » des votants semble assez bien assurée (aussi loin que peut en juger un non-spécialiste), le déroulement du scrutin lui-même se déroule dans une « boîte noire ». Lorsque vous avez voté, il vous a été proposé de télécharger un « certificat d’émargement » et un « certificat de vote », certificat « vérifiable », selon le message associé, via une application en ligne. S’il est assez facile de vérifier l’émargement, rien ne permet à la votante ou au votant de vérifier que c’est bien son choix qui a été encodé. De son côté, le bureau de vote a lui choisi des « clés de déchiffrement », qui ont servi à fabriquer les « clés de chiffrement » utilisées pour encoder le vote, puis saisi a nouveau ces mêmes clés au moment du dépouillement, avant de recevoir le résultat complet fourni par la machine. Entre-temps, chaque membre du bureau a eu accès à une application en ligne lui indiquant que les données de configuration du système n’avaient pas été altérées durant le processus. Ille avait également accès à la liste d’émargement, à des fins de vérification sur demande des votant-es uniquement.

APRÈS le vote, chaque membre du bureau a reçu des fichiers lui permettant, sur demande toujours, de rechercher un nom das la liste d’émargement, et une série d’empreintes correspondant à chaque vote. La seule opération possible semble être de vérifier la présence dans ce dernier fichier d’une empreinte qui serait communiquée par un électeur ou une électrice [3]. Une telle opération n’est pas envisageable, même en terme de vérification par échantillonnage, pendant le dépouillement.

Les votant-e-s ne savent pas ce qui a été mis dans l’urne, le bureau de vote ne peut vérifier que c’est bien la même chose qui a été dépouillé. L’expert fait bien mention d’une possibilité de "rejouer le dépouillement" en cas de contestation, mais à quoi cela peut-il servir quand ce sont les mêmes données et les mêmes traitements, fournis par la même société, qui sont "rejoués" ?

C’est cette absence complète de transparence qui a conduit notre représentant à refuser de signer le procès verbal du scrutin.

Le point crucial du problème est le fait que la société prestataire Voxaly, contrôle absolument toutes les étapes. Une attaque (externe ou interne) contre le système permet donc de modifier le résultat du vote. L’expert indépendant a vérifié le code qui lui était fourni, a vérifié que la « signature » de ce code était la même sur le système de vote … avec les outils fournis par la société Voxaly. Mais aucun système indépendant ne contrôle l’intégrité de « l’urne » elle-même, dont, par définition, le contenu change sans arrêt.

Un spécialiste du vote électronique à l’INRIA, qui a participé à une réunion préparatoire au CNRS, avait pourtant insisté sur le fait qu’un tel système [4] ne peut être sécurisé qu’à condition que différentes étapes du processus soient confiées à différentes organisations, indépendantes entre-elles [5], se contrôlant mutuellement de façon à ce qu’une attaque en un point donné ne puisse aboutir. Las, manifestement, ce genre de considérations, malgré nos rappels répétés, n’a pas eu l’heur de plaire à la direction du CNRS lorsqu’elle a conçu son appel d’offre et choisi un (et un seul) prestataire.

L’alerte de notre représentant n’a malheureusement pas non plus ému les autres membres du bureau de vote. Le président en aurait même déclaré à notre représentant qu’ « il faut savoir faire confiance » ! De notre côté, si nous professons que le vote, pour que la démocratie vive, doit donner confiance aux votantes et votants, les membres du bureau de vote sont justement là pour ne faire confiance à personne ! Il doivent être garantes ou garants du déroulement du vote, au nom de l’ensemble de la communauté !
Il ne s’agit pas ici d’imaginer de sourds complots internationaux, nous laissons ça à un ministre de l’éducation nationale, mais simplement de respecter un minimum de règles de déontologie.

Et rien dans la prestation de la société Voxaly ne peut nous porter à pousser plus loin la confiance. Ainsi, lorsque en préparation , nous nous étonnions du choix d’une société qui affirme, sur son portail commercial, développer une solution de « niveau 2 [6] avec des éléments de niveau 3 », alors que l’application de la grille de la CNIL nous plaçait en niveau 3, le représentant de Voxaly nous assurait de leur capacité à respecter le niveau 3. Pourtant, le rapport d’expertise reçu depuis confirme que la solution est de niveau 2 ! Lorsque nous avons signalé des difficultés lors de l’utilisation de la validation par téléphone fixe, aucune réponse n’a été apportée. Nous avons eu plusieurs remontées de personnes qui ont ainsi eu beaucoup de mal à voter ; une en particulier parlant de plus d’une « heure » d’essais successifs, avant d’y arriver, avec des appels incessant donnant des codes d’identifications obsolètes avant même d’être saisis. Surtout, puisque nous parlons de confiance dans le résultat, notre représentant signale que les clés de déchiffrement ont toutes été rentrées sur l’ordinateur portable de la personne de la société Voxaly ! Un simple espion sur ce PC suffit donc à connaître toutes les clés ! Quel crédit apporter à une société qui semble traiter autant à la légère la sécurité !

La direction du CNRS porte ainsi, selon nous, l’entière responsabilité d’un scrutin invérifiable. Les votes à l’urne, bien réalisés, sont vérifiables et sûrs tant que les urnes restent visibles. Les votes par correspondance tels que nous les pratiquions jusqu’ici sont vérifiables, et sûrs tant que l’on fait confiance aux services de la poste [7] pour garder les enveloppes de vote en lieu sûr. Il existe, semble-t-il, des solutions de vote électroniques vérifiables et sûres, à l’échelle d’un enjeu tel que ce scrutin, tant qu’on n’est pas trop intransigeants sur la lutte contre la coercition.
Mais il était semble-t-il plus important pour le CNRS de se faire le relais zélé du gouvernement, qui cherche à imposer le vote électronique partout et le plus vite possible, que de se pencher sur la littérature scientifique, ou de consulter la communauté, pour organiser un scrutin acceptable.
La légèreté avec laquelle ce problème a été traité inquiète au plus haut point, venant d’un organisme qui ne devrait rien ignorer des enjeux ni de l’état de l’art en la matière.
Nous affirmons qu’il s’agit là d’une atteinte à la démocratie, qui, une fois passé l’engouement pour un mode de scrutin « simplifié », ne pourra que renforcer la défiance dans le système. La direction du CNRS va-t-elle rectifier le tir pour les prochains scrutins ? Les paris sont ouverts.

[1car les modalités de vote, en particulier électronique, est une thématique de recherche à part entière, faisant l’objet d’un nombre conséquent de publications, colloques ou congrès

[2c’est à dire la possibilité que le vote soit placé sous la pression de tiers

[3Il est déontologiquement inenvisageable de décoder cette empreinte (si tant est que l’information y soit incluse, ce qui n’a pas été dit semble-t-il), car ça reviendrait à violer le secret du vote.

[4il existe d’autres systèmes de vote électronique, basés aux sur une transparence accrue du processus, et donc un peu moins bien protégés contre la coercition, mais ce n’est pas l’option qui a été retenue par le CNRS

[5autant que deux sociétés capitalistes peuvent l’être lorsqu’il s’agit d’élections, mais passons

[6la CNIL définit différents « objectifs de sécurité » regroupés en « niveaux », le niveau à atteindre dépendant d’un certain nombre de paramètres. Voir https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010

[7qui ne livrent le CNRS qu’au moment du dépouillement

Navigation

AgendaTous les événements