Concernant le vote électronique via Internet
A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE)
http://www.servesecurityreport.org/Le rapport (version 2007)
http://www.servesecurityreport.org/SERVE_Jr_v5.3.pdfLa traduction française (version 2004)
http://www.servesecurityreport.org/French.pdfLe communiqué de presse
http://www.servesecurityreport.org/press.pdfEn résumé :
----
Nos conclusions sont résumées comme suit :
a) Les systèmes de vote électroniques dits DRE (enregistrement direct électronique) ont été largement critiqués ailleurs pour différentes insuffisances et vulnérabilités de sécurité : leur logiciel est totalement fermé et propriété [d'une entreprise] ; ce logiciel ne subit qu'un examen minutieux insuffisant pendant la qualification et la certification ; ils sont particulièrement vulnérables à diverses formes d'attaques d'initiés (de programmeur) ; et ces DREs n'ont aucun journal de contrôle a posteriori vérifiable par les électeurs (sur papier ou autrement) qui pourrait en grande partie éviter ces problèmes et améliorer la confiance des électeurs. Toutes ces critiques, que nous approuvons, s'appliquent tout autant directement au système SERVE.
b) Mais de plus, comme le système SERVE est à la fois un système sur internet et un système à base de microordinateurs personnel de type PC, il a de nombreux autres problèmes fondamentaux de sécurité qui le laissent vulnérable à une variété d'attaques bien connues sur les réseaux ("cyber attacks") (attaques d'initié, refus/déni de service, mascarade ("spoofing"), achats automatisés de voix, attaques virales sur des PC des électeurs, etc.), chacune d'entre elles pourrait être catastrophique.
c) De telles attaques pourraient se produire à une grande échelle, et pourraient être lancées par n'importe qui, depuis un mécontent isolé jusqu'à à une agence ennemie bien financée et hors d'atteinte des lois des États-Unis. Ces attaques pourraient avoir comme conséquence des privations de droits civiques sélectives et à grande échelle pour des électeurs, et/ou la violation du secret électoral, et/ou les achats et ventes de voix, et/ou le changement de la valeur de la voix allant jusqu'au point de renverser les résultats de beaucoup d'élections en une fois, y compris l'élection présidentielle. Si elles sont soigneusement conçues, certaines des attaques pourraient réussir et pourtant rester complètement non détectées. Même si elles sont détectées et neutralisées, de telles attaques pourraient avoir un effet dévastateur sur la confiance publique en matière d'élections.
d) Il est impossible d'estimer la probabilité d'une attaque réseau réussie ("cyber attacks") ou d'attaques réussies multiples sur une élection donnée. Mais nous montrons que les attaques qui nous causent le plus de soucis sont tout à fait faciles à commettre. Dans certains cas il y a des ensembles d'outils ("kits") faciles à accéder sur l'internet qui pourraient être modifiés ou employés tels quels pour attaquer une élection. Et nous devons considérer le fait évident qu'une élection générale aux États-Unis offre l'une des cibles les plus tentantes pour une attaque réseau ("cyber attack") dans l'histoire de l'internet, que le motif de l'attaquant soit manifestement politique ou simplement sa propre gloriole.
e)
Les vulnérabilités que nous décrivons ne peuvent pas être réparées par des changements dans l'architecture du système SERVE ou des corrections d'erreurs du système SERVE. Ces vulnérabilités sont fondamentales dans l'architecture de l'internet ainsi que dans le matériel et le logiciel des micro-ordinateurs personnels de type PC qui est omniprésent aujourd'hui. Elles ne peuvent pas toutes être éliminées dans un avenir prévisible sans un saut qualitatif radical imprévu. Il est tout à fait possible qu'elles ne seront pas éliminées sans une nouvelle architecture et un remplacement d'une grande partie des matériels et des logiciels de sécurité qui font partie ou qui sont reliées à l'internet d'aujourd'hui.f) Nous avons examiné de nombreuses variantes pour le système SERVE afin d'essayer de recommander un système de vote sur internet solution de remplacement qui serait légèrement moins confortable pour l'électeur en échange d'une diminution du nombre et de la gravité des vulnérabilités de sécurité. Cependant, toutes ces variantes souffrent des mêmes natures de vulnérabilités fondamentales que le système SERVE ; nous regrettons, mais nous ne pouvons recommander aucune de ces variantes. Nous suggérons une architecture de kiosque comme point de départ pour concevoir [reconstruire] un système alternatif de vote avec des objectifs semblables à ceux de SERVE, mais qui ne s'appuie ni sur l'internet ou ni ur les logiciels non sûrs des PC (annexe C).
g) Le système SERVE pourrait sembler fonctionner sans incidents en 2004, sans attaques réussies détectées. Il est aussi malheureux qu'inévitable qu'une expérience de vote apparemment réussie dans une élection présidentielle des États-Unis impliquant sept états serait considérée par la plupart des personnes comme une preuve forte que le système SERVE est un système de vote fiable, robuste, et sûr. Des tels résultats encourageraient l'extension du programme par FVAP dans des élections futures, ou la commercialisation du même système de vote par des fournisseurs aux juridictions électorales dans tous les États-Unis, et aussi bien dans d'autres pays. Cependant, le fait qu'aucune attaque réussie n'est détectée ne signifie pas qu'aucune ne s'est produite. De nombreuses attaques seraient extrêmement difficiles à détecter, en particulier, si elles sont habilement dissimulées, même dans les cas où elles modifient les résultats d'une élection importante. En outre, l'absence d'une attaque réussie en 2004 ne signifie pas que les attaques réussies seraient moins potentielles à l'avenir; tout au contraire, les attaques futures seraient potentiellement plus réelles, à la fois parce qu'il y a plus de temps pour préparer l'attaque, et parce que l'augmentation de l'utilisation du système SERVE ou de systèmes semblables rendrait le gain plus intéressant. En d'autres termes, un essai "réussi" du système SERVE en 2004 est le haut d'une pente glissante vers des systèmes encore plus vulnérables à l'avenir. (L'existence du système SERVE a été déjà citée comme une justification du vote à travers l'internet dans les primaires du parti démocrate au Michigan [février 2004].)
h) Tout comme les partisans du système SERVE, nous croyons qu'il devrait y avoir un meilleur soutien pour le vote de nos soldats outre-mer. Cependant, nous regrettons de devoir être contraints de conclure que la meilleure voie est de
ne pas employer du tout le système SERVE. Puisque le danger des attaques réussies et à grande échelle est si important, nous recommandons à contre-coeur d'arrêter immédiatement le développement du système SERVE et de
n'essayer dans le futur aucune solution semblable tant que les deux infrastructures mondiales, celle l'internet et celle de l'ordinateur personnel, n'ont pas été fondamentalement remodelées, ou que quelques autres avancées imprévues de sécurité ne soient apparues.
Nous voulons rendre clair qu'en recommandant que le système SERVE soit fermé, nous n'adressons aucune critique au FVAP, ou à Accenture, ou à qui que ce soit de leurs personnels ou de leurs sous-traitants. Ils ont été complètement
conscients tout au long [du projet] des problèmes de sécurité que nous décrivons ici, et nous avons été impressionnés par la sophistication de l'ingénierie et les compétences techniques qu'ils ont consacrées aux tentatives d'amélioration [de la
sécurité] et d'élimination des vulnérabilités. Nous ne croyons pas qu'un projet organisé différemment puisse faire un meilleur travail que l'équipe actuelle.
La vraie barrière pour le succès n'est pas un manque de vision, de compétences, de ressources, ou de niveau d'engagement ; c'est le fait que, étant donné [d'une part] le niveau technique actuel de la sécurité de l'internet et des micro-ordinateurs de type PC, et [d'autre part] les objectifs [de sécurité] d'un système de vote à distance sécurisé et tout-électronique, le FVAP a entrepris une tâche par nature impossible. Il n'y a vraiment aucune bonne manière de construire un tel système de vote sans un changement radical de l'architecture globale de l'internet et du PC, ou une certaine avancée imprévue de sécurité. Le projet du système SERVE est ainsi beaucoup trop en avance sur son temps, et devrait attendre tant qu'il n'y a pas une infrastructure solide sur laquelle construire.