Il a fallu 20 minutes à ce cryptographe et chercheur français pour déjouer le système de sécurité du vote électronique de Moscou, alors qu’il disposait de 12 heures. Les autorités de la capitale russe ayant proposé à tous ceux qui le souhaitaient d’identifier les vulnérabilités du système à l’approche des élections législatives et municipales en Russie, le 8 septembre, pour les corriger ensuite.
Dans un entretien à Sputnik, Pierrick Gaudry, du Laboratoire lorrain de recherche en informatique et ses applications (LORIA), précise de quelles connaissances spéciales un pirate informatique devrait disposer pour pirater un système similaire.
Une attaque «relativement simple»
«Un attaquant un peu débrouillard et avec de bonnes bases de cryptographie aurait pu sans trop de souci monter le même décryptage que moi. Cela lui aurait certainement pris plus de temps que moi au début, mais une fois familiarisé avec nos outils, il aurait lui aussi pu faire ça en 20 minutes», raconte le Nancéien.
Selon lui, «toute personne ayant les connaissances suffisantes en cryptographie peut identifier le type d'opérations à faire, et ensuite grâce à une recherche Internet, trouver le logiciel CADO-NFS» élaboré par son équipe et permettant de casser ce type de clef rapidement. Bien que cette partie du logiciel soit encore expérimentale, elle est tout de même suffisamment documentée pour qu'un utilisateur raisonnablement débrouillard puisse s'en servir.
Dans son rapport est présenté en annexe l’algorithme des opérations à faire sur une machine Linux standard pour rejouer l'attaque, qui est «relativement simple», fait-il remarquer.
Pour l’avoir réussi, le Français a obtenu une récompense d’un million de roubles, soit quelque 14.000 euros, du chef du comité d’observation des élections de Moscou, Alexeï Venediktov.
Forces et faiblesses du vote en ligne
Pour le chercheur du CRNS, il n'existe pas actuellement de système de vote par Internet qui apporte autant de garanties qu'un vote à l'urne traditionnel.
Ce dernier type de scrutin possède de nombreux avantages qu'il est difficile d'offrir simultanément de manière électronique, souligne M.Gaudry: ce sont le secret du vote, le fait que tout le monde puisse vérifier que son vote est bien pris en compte et qu'il n'a pas été modifié, que le dépouillement est fidèle, mais aussi que chacun a pu voter librement, sans pression et sans pouvoir vendre son vote.
Inversement, lorsqu’il s’agit d’un scrutin pour des expatriés ou des militaires en mission pour qui le vote à l'urne est difficile à organiser, le vote électronique bien organisé «apporte plus de garanties» que le vote par correspondance. Mais, si l'enjeu de l’élection est fort, mieux vaut ne pas passer au vote électronique, estime-t-il.
D’après le chercheur, le vote par Internet sera «de plus en plus utilisé dans ces contextes non-politiques, à enjeu modéré, où l'on a souvent une part importante de vote par correspondance». Puis, l'usage de machines à voter peut s'avérer presque indispensable dans les cas de questions complexes, de choix multiples et de dépouillement sujet à erreur.
Approche suisse
Globalement, «il n'y a pas de réponse universelle pour ou contre le vote électronique», est persuadé M.Gaudry. «Cela dépend fortement du contexte». Et les différences en fonction des pays sont grandes s’agissant des élections.
Or, quelles que soient leurs particularités, l’important est que «chaque État définisse clairement ce qui est attendu d'un bon système de vote électronique, éventuellement avec divers niveaux d'exigences selon les enjeux de l'élection concernée», explique-t-il. «Charge ensuite aux concepteurs de produire un système qui réponde à ces attentes».
C’est le procédé adopté par la Suisse, précise le cryptographe lorrain.
«La méthode suisse reste la bonne approche selon moi: une réglementation la plus claire possible, avec des exigences élevées, et ensuite un long processus de certification des produits proposés par les industriels ou les services publics. Cette certification doit impliquer le plus possible les spécialistes du domaine, aussi bien au niveau de la conception que de la validation a posteriori», affirme M.Gaudry.
En ce qui concerne la France, la Commission nationale de l'informatique et des libertés (CNIL) vient de mettre à jour ses recommandations sur le vote électronique, rappelle-t-il:
«Il y a de nets progrès par rapport aux recommandations précédentes, même s'il faut encore attendre un peu la mise en œuvre pour voir à quel point les industriels présents sur le marché français vont devoir monter le niveau de sécurité de leurs logiciels».
