Depuis le 23mai, les 700000 citoyens expatriés qui ont envoyé leur adresse de messagerie électronique aux autorités consulaires ont la possibilité de se connecter au site web votezaletranger.gouv.fr pour élire un des candidats de leur circonscription, et 130000 d'entre eux ont déjà voté par ce biais. Mais la semaine dernière, une polémique a éclaté sur les failles de sécurité inhérente à ce mode de scrutin.
La contestation se poursuit cette semaine, plus vive que jamais : Laurent Grégoire, informaticien de profession, a démontré qu’il était techniquement possible de modifier le vote d’un électeur au moment de l’envoi de son bulletin dans l’urne électronique.
Le document mis en ligne le 27 mai par Laurent Grégoire étaye la thèse de l'existence d'importantes failles de sécurité. Dans ce dossier long d'une vingtaine de pages, l'auteur explique qu'il a réussi à insérer des lignes de code informatique à l'intérieur même du logiciel de vote. Cette attaque, dite « de l'homme du milieu », permet de s'immiscer dans une communication entre deux parties, pour l'intercepter ou la manipuler. Laurent Grégoire a ainsi pu envoyer dans l'urne électronique un autre bulletin que celui choisi par l'électeur.
«La modification du candidat s'effectue avant la confirmation de vote ; l'électeur voit donc la modification. Mais il est tout à fait possible de le faire après, auquel cas il est impossible pour lui de détecter la modification» , prévient Laurent Grégoire dans la vidéo de présentation de son programme . Cette technique pourrait donc être utilisée pour réaliser des malwares , ou logiciels malveillants, et saboter le scrutin à grande échelle.
Le blogueur Ploum propose une autre manière de truquer le scrutin. Sur son site , il révèle une méthode en sept étapes permettant de récupérer la liste des identifiants et des mots de passe de tous les électeurs de sa circonscription et de voter à leur insu pour le candidat de son choix -- voire pour soi-même. Le tout pour la modique somme de 28 €, soit le prix de la location d'un serveur et d'un «certificat SSL», qui simule une connexion sécurisée (comme pour les achats en ligne) en affichant, dans le navigateur, un petit cadenas à côté de l'adresse du site. Cette technique, plus humoristique, reste un moyen efficace de mettre en garde contre les failles de sécurité du scrutin électronique.
A lire également: