La face cachée des machines à voter

20/04/2007 à 00h00

Dimanche, un million et demi d'électeurs appuieront sur un bouton pour voter. L'élection présidentielle électronique déchaîne les foudres des citoyens, informaticiens en tête. Pour l'électeur, l'ordinateur restera toujours une boîte noire.

Près de 70 000 signatures sur la pétition de l'association Ordinateurs-de-vote.org, 26 dépôts en référés de citoyens d'Issy-les-Moulineaux, une demande de moratoire... A l'approche de l'échéance présidentielle, la colère se fait plus forte contre le vote électronique. En effet, après des essais sporadiques, en particulier pour le référendum européen, près d'un million et demi d'électeurs accompliront ainsi leur devoir civique dimanche. Fini pour eux bulletins, enveloppes et urne transparente. Ils n'auront pas d'autre choix. Surprise, le débat n'a rien d'une querelle entre anciens et modernes. Les informaticiens sont même en première ligne de la contestation.Pour les scrutins de 2007, le ministère de l'Intérieur a donc laissé aux communes de plus de 3 500 habitants le choix entre vote classique ou électronique. 82 villes ont sauté le pas et opté pour l'une des trois machines agréées (lire encadré). Mais les premières élections électroniques significatives de l'Hexagone ne se dérouleront pas dans le calme. La polémique enfle, et chaque camp avance ses arguments, plus ou moins probants. Economies, écologie, fraude, fiabilité, démocratie, secret... les grands mots sont lâchés.

Fiable ou pas fiable ?

Première et inévitable question : peut-on vraiment compter sur une fiabilité totale des machines, garantissant l'intégrité du scrutin ? Le modèle d'Indra Sistemas présente une configuration proche d'un PC sous Windows. Ajoutons des rumeurs de différends avec son importateur français, et l'on comprendra qu'il est le plus évident à mettre en doute. Les deux autres sont des automates industriels, plus rassurants que les PC en termes de sécurité. Leurs logiciels, qui enregistrent les votes et réalisent le dépouillement final, sont inscrits une fois pour toute dans une mémoire EEPROM. Même chose pour les votes qui sont stockés avec moult contrôles dans le même type de puce. Mais 01 informatique serait bien mal placé pour cautionner l'idée qu'un quelconque matériel ou logiciel puisse atteindre une fiabilité de 100 %. Nicolas Barcet, porte-parole du site Betapolitique engagé contre l'imminence du vote électronique, se réfère à Ken Thompson, l'un des auteurs d'Unix. En 1983, ce dernier expliquait comment écrire un code qui semble faire une chose, mais en réalise une autre... Difficile de taxer Nicolas Barcet de partialité puisqu'il est informaticien, et même fervent défenseur de l'administration électronique - il a participé à l'architecture de la déclaration d'impôts en ligne. Or, si un pourcentage très faible d'erreur est acceptable pour n'importe quelle application, il n'est pas tolérable dans une élection.

Machines à voter, machines à tricher ?

Les fabricants et les mairies ne veulent pas y penser. Pourtant, même si c'est extrêmement difficile, il est possible de pirater ces machines. Bien sûr, elles sont scellées et, pour les forcer, mieux vaut s'armer de tournevis spéciaux, voire d'un pied-de-biche. ' Il m'a fallu près de 8 minutes pour simplement enlever le capot, insiste Denis Muthuon, Directeur commercial Europe de ES&S. Infaisable dans le bureau de vote. ' Oui, mais chez le fournisseur ? Pendant le transport ? En mairie ? Le risque existe même si toutes les précautions sont prises : ' Les machines sont fermées à clé, enfermées dans des valises, puis dans une salle fermée à clé ', raconte Rémy Vorburger, responsable du service élections à Wintzenheim (Haut-Rhin). Arriver jusqu'à l'EEPROM est compliqué. Récrire le logiciel à partir du code source original aussi. Mais... si un hacker génial travaille à la mairie et dispose des clés ? Une hypothèse peu probable. Mais peu, c'est déjà trop.

Desagréments douteux ?

Le ministère de l'Intérieur a confié à Bureau Veritas la procédure d'agrément. Mais personne, à part les fournisseurs, n'aurait pu en consulter les résultats pour ne pas violer le secret industriel. Mais ce ne sont pas les seuls doutes qui planent sur ces documents. Toute modification, même de quelques lignes de code, contraint très logiquement le fournisseur à repasser par l'entière procédure. Ainsi, Nedap, le principal fournisseur des mairies, vient-il d'obtenir un nouvel agrément, car il a changé la version de son logiciel en janvier. ' Timing plutôt opportun, non ? ', s'étonnent les opposants. ES&S, quant à lui, avait installé dans toutes ses mairies une nouvelle version de ses machines Ivotronic, légèrement modifiée en 2006. Ce nouveau modèle serait en attente d'agrément depuis novembre, selon le constructeur. Mais mardi 17 avril, 26 électeurs d'Issy-les-Moulineaux ont déposé des référés pour demander l'invalidation des modèles installés, et donc non agréés, et de fait, du vote électronique. ES&S a dû ressortir des cartons ses anciennes machines... nouvelle colère des opposants : ' Les assesseurs et le président ont été formés sur l'autre modèle ! '

L'insupportable atteinte à la démocratie

Les griefs techniques ne sont presque que des prétextes. L'inquiétude la plus forte est citoyenne. En appuyant sur un bouton électronique pour voter, l'électeur perd le contrôle de son vote. Aussi fiable et contrôlée que soit la machine, aucun électeur ne peut voir ce qui se passe quand il vote. Depuis 1988, les urnes sont transparentes pour que chacun puisse suivre son vote depuis le moment où il prend les bulletins sur le bureau jusqu'au dépôt de l'enveloppe dans l'urne, et même au dépouillement. Gagner du temps, voire de l'argent, sur le dépouillement, ne pèse rien face à l'importance que revêt le devoir électoral aux yeux des citoyens. Le non au vote électronique n'a cependant rien de définitif. ' Laissons-nous le temps, insiste Nicolas Barcet. Il faut un débat citoyen avec des experts informaticiens, mais aussi juristes, constitutionnalistes, philosophes. ' La loi de 1913 sur le secret du vote a exigé plusieurs dizaines d'années de discussion...e.delsol@01informatique.presse.fr

Comment ça marche ?

Un autotest est imprimé à l'ouverture du bureau de vote pour vérifier que les compteurs de suffrage sont à 0 et que les paramètres de l'élection sont justes. Une fois l'identité de l'électeur et son inscription sur les listes électorales vérifiés, le président lui ouvre un droit de vote en appuyant sur sa télécommande.

L'électeur appuie sur le bouton correspondant à son choix. Puis il valide sur une touche réservée à cet effet.

Le logiciel - stocké comme un firmware - enregistre l'information sur une double mémoire EEPROM (mémoire Flash industrielle) une fois dans le sens normal, une fois en bits inversés. Il vérifie qu'il s'agit de quatre fois de la même information et contrôle les checksums. Toute erreur bloque la machine.

En fin de scrutin, le président ferme le vote. Les touches sont bloquées. La machine s'autocontrôle et imprime le résultat du scrutin.

Ce qu'ils en pensent : Benoît Sibaud (April) : ' le vrai problème n'est pas technique, mais citoyen '

' Ces ordinateurs de vote sont des boîtes noires. Ni les électeurs, ni les assesseurs, ni la mairie n'ont de garantie. Pas plus sans doute que le ministère de l'Intérieur. Depuis 20 ans, des urnes transparentes permettent à l'électeur de suivre son vote d'un bout à l'autre. Tous peuvent assister au dépouillement le soir. Le seul contrôle possible : vérifier que le résultat imprimé en fin de scrutin équivaut en nombre à la liste électorale. Je suis assesseur dans un bureau de vote d'Issy-les-Moulineaux et j'ai pu vérifier en formation que je n'aurai aucun contrôle. Et même si le citoyen accédait au code source et au matériel, il n'a pas les moyens de ce contrôle, puisqu'il ne maîtrise pas le système. l'April s'est toujours positionné contre l'idée que le logiciel libre serait la solution miracle pour le vote électronique. '

Ce qu'ils en pensent : Philippe Laurent (maire de Sceaux) : ' nous avons changé d'avis dès l'été dernier, pas depuis la polémique '

' Nos doutes sont apparus lors des réunions d'information auxquelles nous avons assisté, y compris au ministère de l'Intérieur ! L'Etat est très tiède et laisse la décision aux mairies. Même si je suis très décentralisateur, quand il s'agit d'élection, l'Etat doit se prononcer. Je ne blâme pas les maires qui ont fait ce choix, mais la modernité, on s'en moque ! Dans le cas du vote, il ne doit y avoir aucun soupçon. Or, pirater ces machines est possible. Et même si elles étaient fiables, on dipose déjà d'un système éprouvés avec les urnes transparentes dans lesquelles on voit son enveloppe. Dans un domaine comme celui-là, l'Etat n'est pas allé jusqu'au bout du débat. Et l'on se retrouve avec un niveau de polémique amplifié par internet qui va polluer ce rendez-vous électoral fondamental, alors que l'enjeu du vote électronique est très faible. '

Ce qu'ils en pensent : Philippe Martinet (mairie de Bourges) : ' nous organisons un contrôle de toute la chaîne par l'humain '

' Nous paramétrons les machines et testons leur bon fonctionnement. Les responsables des élections, les élus et autres peuvent les essayer autant qu'ils le souhaitent. Nous expliquons la procédure au président du bureau qui est responsable de la machine le jour du vote. A l'ouverture du bureau, il ouvre la machine, vérifie qu'elle est correctement branchée, imprime le ticket qui contrôle qu'elle est à 0. Les électeurs, eux, reçoivent dans leur boite aux lettres, en lieu et place des bulletins, une planche A4 expliquant ce qu'ils trouveront le jour du vote. Nous avons 58 machines Nedap pour 56 bureaux. Le système est plutôt rassurant car c'est une machine d'automatisme avec un logiciel figé dans une EEPROM et un système propriétaire sans disque dur, ni réseau, ni antenne, ni téléphone. '

Emmanuelle Delsol

Votre opinion