La sécurité des machines à voter

Publié le 8 janvier 2012

L’usage des machines à voter dans les bureaux de vote doit respecter les concepts fondamentaux de toutes élections démocratiques caractérisés par l’unicité, la sincérité, l’anonymat et la transparence.

Comme l’a démontré Fred Cohen, seul un système informatique complètement isolé de toutes intéractions (homme‐machine et machine‐machine) peut offrir une sécurité maximum. La sûreté des machines à voter peut donc être affectée par une malveillance interne ou externe.

Les types de malveillances :

  • le déni de service rend impossible le bon usage de la machine à voter le jour de l’élection, en début de séance ou lors du dépouillement électronique par suppression du système et des votes effectués,
  • l’interception du vote et sa modification éventuelle,
  • le vol du vote consiste à modifier un ou plusieurs votes.

Les techniques d’injection de code malveillant :

  • la première technique est l’injection directe, soit en modifiant la puce eprom afin d’installer le code malveillant sur la mémoire flash, soit en insérant une mémoire flash infectée. Cette attaque dure moins d’une minute mais nécessite d’avoir un accès direct à la machine. Une autre méthode consiste à intercepter le vote et à le modifier par attaque du « man in the middle » en positionnant entre le clavier et l’écran un micro‐contrôleur,
  • la deuxième technique est l’injection de code entre machines à voter lors du changement de la carte mémoire nécessaire à la mise à jour du système et des données propres à l’élection. Ainsi, à partir d’une machine mère infectée, toute carte mémoire sera le vecteur de transport du code malicieux vers les autres machines. Compte tenu de la fréquence des interventions de maintenance sur les machines à voter, ce type de technique est très efficace.

La malveillance peut donc venir de toute personne ayant un accès physique ou logique au système de vote avant ou pendant la période de vote. Afin de se prémunir des injections de code malveillant, l’identification des fichiers exécutables et de données à partir de signatures numériques chiffrées est une solution intéressante mais présentant des failles au niveau des algorithmes de chiffrement.

Les mesures visant à limiter ses attaques :

  • respecter le concept de transparence en imprimant le vote sur un bulletin présenté au votant au moment du vote et récupéré dans une urne spécifique. Ce procédé est inspiré du VVPAT (Voter‐Verifiable Paper Audit Trail). Les objets du vote étant dématérialisés, cette procédure de contrôle par les électeurs permet de se prémunir contre l’opacité du vote électronique,
  • respecter le concept d’anonymat en limitant les interceptions de vote par écoute du rayonnement issu de l’écran de visualisation de la machine à voter. L’installation des machines à voter dans une cage métallique permet de limiter le rayonnement,
  • s’assurer que la machine à voter n’a pas été ouverte par une personne extérieure par l’ajout d’un sceau inviolable,
  • garantir que le personnel du bureau de vote est bien formé à la maintenance de niveau 1 et sensibilisé aux processus liés à l’usage des machines à voter. On s’assure ainsi du contrôle et de l’archivage de toutes les interventions effectuées sur les machines à voter. C’est une extension de l’exigence 113 du règlement technique fixant les conditions d’agrément des machines à voter qui oblige les fournisseurs, lors de chaque livraison de machines à voter, à former pendant une journée les personnels des communes qui doivent assurer un premier niveau de maintenance préventive ou curative.