Comment truquer une élection 2 : au tour de Nedap

Vu sur Slashdot :

Dans un rapport tout juste publié (PDF en anglais ici, ou sur ce miroir), la fondation néerlandaise nous-ne-faisons-pas-confiance-aux-machines-à-voter détaille comment elle a modifié une machine à voter Nedap, du type utilisé en Hollande et en France, afin de subtiliser un pourcentage déterminé de votes pour les affecter à un autre parti. Le rapport décrit avec moults détails comment "n'importe qui, disposant d'un bref accès à la machine n'importe quand avant le début du vote, peut obtenir le contrôle complet et virtuellement indétectable sur les résultats de l'élection." En bonus, pour rire et en réponse à un challenge du fabricant*, les chercheurs ont reprogrammé une machine à voter pour jouer aux échecs. La nouvelle a été reprise à la télévision nationale hollandaise la nuit dernière et se transforme en scandale grandissant. 90% des votes aux Pays-Bas sont tabulés sur ces machines et les élections nationales ont lieu dans un mois.

Je suis en train de lire le rapport, mais j'ai une assez bonne idée de ce que je vais y trouver en matière de possibilités de trucage. La seule différence est qu'il s'agit là de machines homologuées en France.

J'ai une question à poser aux journalistes qui débattent de "blogs vs media traditionnels" : quand est-ce qu'un grand media d'audience nationale en France va enfin s'intéresser à ce sujet et faire son travail de journalisme pour faire la lumière sur ce scandale dont on parle depuis des années ? Permettez-moi de radoter, ça fait seulement deux ans et demi que je dis qu'il faut stopper le vote électronique en France.

(*) Je suppose qu'ils font référence au foutage de gueule de Nedap (pardonnez-moi, je n'ai pas trouvé de meilleure expression) qui prétend que ses machines ne sont pas des ordinateurs. Là ça va être un peu plus dur pour les commerciaux de déployer leur ridicule rideau de fumée...

Merci à Tristan pour l'info.

P.S. Je vous traduis l'introduction du rapport :

L'ordinateur de vote Nedap ES3B est un système qui appartient à la catégorie des dispositifs d'enregistrement direct. En tant que tel, il n'enregistre les votes qu'en mémoire. Le système requiert une confiance aveugle, car il produit un résultat officiel d'élection qui ne peut pas être vérifié indépendamment. Dans ce rapport, nous décrivons les résultats d'un audit indépendant de l'ordinateur de vote Nedap ES3B qui a été effectué sans l'accord du fabricant, sans accès au code source et durant environ un mois. Ce rapport détaille toutes les étapes qui nous ont été nécessaires pour créer et installer notre propre logiciel de démonstration sur la machine, ainsi qu'un version modifiée de son propre logiciel : une version qui ment sur les résultats de l'élection. Il détaille également en pratique une attaque qui permet à un observateur extérieur d'obtenir des informations sur les votes en cours en exploitant les émissions radio-fréquences compromettantes qui émanent de l'appareil. Dans ce rapport, nous démontront que le design de la sécurité de cet ordinateur repose presqu'exclusivement sur le concept quasi-universellement dépassé de "sécurité par l'obscurité". Parce que les problèmes que nous avons trouvés dérivent de cette philosophie de design, nous ne voyons aucune solution simple qui permettrait de rendre cet appareil suffisamment sûr.

Nous concluons que la machine Nedap ES3B n'est pas adaptée à des élections, que le corpus législatif hollandais couvrant le vote électronique n'adresse pas correctement la sécurité, et nous affirmons qu'il n'a pas été suffisamment réfléchi aux problèmes de la confiance et de la traçabilité inhérents aux machines à voter à enregistrement direct.

Et je traduis un autre extrait, qui explique un problème bien connu de la sécurité informatique qui n'est pas nécessairement connu du grand public (je souligne) :

Toutes les failles discutées ici affectent les fondations mêmes de notre démocracie. Certains argueront qu'en dévoilant et en discutant de ces failles, nous aidons les méchants. Certains pourraient même aller jusqu'à dire que nous avons créé un problème qui n'existait pas avant. C'est le débat "cartes sur table", et bien qu'il précède l'invention des ordinateurs, il a été au centre de la culture de la communauté des chercheurs en sécurité informatique depuis des décennies. C'est le débat entre ceux qui pensent que les failles ne devraient être dévoilées qu'aux fabricants, et les gens qui estiment que tous ceux qui peuvent être affectés par une faille ont le droit de savoir afin de pouvoir décider par eux-mêmes quel niveau de confiance ils peuvent placer dans un système donné. Dans le cas des machines à voter, il est évident que toute faille de sécurité pourrait affecter la société toute entière.