TRANQUILLITÉ ET SÉCURITÉ AVEC 2 EXPERTS* PRÈS LES TRIBUNAUX SPÉCIALISÉS EN SVE** ET EN CYBERSÉCURITÉ *un expert principal et un expert secours ** Systèmes de Vote Électronique

EXPERTISES INDÉPENDANTES DE
SYSTÈMES DE VOTE ÉLECTRONIQUE

Notre Expert informatique répond à l'ensemble des exigences imposées par la CNIL pour assurer votre expertise.

À quoi correspondent les niveaux de sécurité relatifs à des élections ?

 

Le niveau de risque que présente le déroulement d’un vote varie en fonction du type de scrutin, des évènements redoutés et des menaces qui pèsent sur le traitement. Ainsi, la commission recommande que la solution utilisée pour le scrutin tienne compte de l’importance du niveau de risque de l’élection ainsi que des éventuels bénéfices pour les parties prenantes de recourir à un système de vote par correspondance électronique et que la solution choisie réponde à tous les objectifs de sécurité fixés au regard de ce niveau de risque.

La commission identifie trois niveaux de risque :

  • Niveau 1 : Les sources de menace, parmi les votants, les organisateurs du scrutin ou les personnes extérieures, ont peu de ressources et peu de motivations. L’administrateur (ou les administrateurs) du système d’information n’est ni électeur, ni candidat. Il est considéré comme neutre par toutes les parties. Ce niveau s’applique pour les scrutins impliquant peu d’électeurs, se déroulant dans un cadre non conflictuel, à l’issue duquel les personnes élues auront peu de pouvoirs, comme par exemple l’élection d’un représentant de classe. Le scrutin ne présente pas de risques importants.
  • Niveau 2 : Les sources de menace, parmi les votants, les organisateurs du scrutin, les personnes extérieures, au sein du prestataire ou du personnel interne, peuvent présenter des ressources moyennes ou des motivations moyennes. Ce niveau s’applique à des scrutins impliquant un nombre important d’électeurs et présentant un enjeu élevé pour les personnes, mais dans un contexte dépourvu de conflictualité particulière. Il s’agit par exemple des élections de représentants du personnel au sein d’organismes ou encore au sein d’un ordre professionnel. Le scrutin présente un risque modéré.
  • Niveau 3 : Les sources de menace, parmi les votants, les organisateurs du scrutin, les personnes extérieures, au sein du prestataire ou du personnel interne, peuvent présenter des ressources importantes ou de fortes motivations. Ce niveau concerne les scrutins impliquant un nombre important d’électeurs et présentant un enjeu très élevé, dans un climat potentiellement conflictuel. Il s’agit par exemple d’élections de représentants du personnel au sein d’organisations importantes, à grande échelle et dans un cadre conflictuel. Le scrutin présente un risque important.

 

L’Expert et le niveau de sécurité

De manière générale, à la suite d’un premier contact avec un Expert, ce dernier doit vous poser tout un ensemble de questions vous permettant d’estimer le niveau de sécurité adapté à vos élections.

Ce niveau n’est pas définitif

Après échanges avec le prestataire ou à la suite de nouvelles informations portées à la connaissance de l’Expert, il arrive parfois que le niveau de sécurité soit réévalué. Dans tous les cas, il sera nécessaire que le niveau de sécurité évalué par l’Expert soit au moins celui convenu avec votre prestataire de vote électronique.

 

Les niveaux de sécurité en détail

Objectifs de sécurité de niveau 1

Objectif de sécurité n° 1-01 : mettre en œuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l’éditeur et/ou rendue publique par des tiers).
Solution : Utiliser les dernières versions stables et mises à jour des systèmes d’exploitation, des serveurs Web, des solutions de chiffrement et des bases de données mobilisées dans la solution. Il convient également d’utiliser des protocoles et des algorithmes publics de chiffrement réputés « forts ».

Objectif de sécurité n° 1-02 : définir le vote d’un électeur comme une opération atomique comprenant le choix, la validation, l’enregistrement du bulletin dans l’urne, l’émargement et la délivrance d’un récépissé.
Solution : Dès lors que l’électeur a validé de manière définitive son choix de vote, l’ensemble des opérations précitées doit s’enchaîner sans discontinuité jusqu’à l’achèvement de la dernière action, c’est-à-dire jusqu’à la délivrance d’un récépissé. L’échec d’une action entraîne l’échec de toute la chaîne et, a contrario, la réussie de la chaîne n’est possible que par le bon déroulement de chacune des actions unitaires.

Objectif de sécurité n° 1-03 : authentifier les électeurs en s’assurant que les risques majeurs liés à une usurpation d’identité sont réduits de manière significative.
Solution : L’électeur s’authentifie à l’aide d’un couple identifiant et mot de passe personnel qui lui a été remis de manière sécurisée (par deux canaux de communications séparés). Le fichier des électeurs comportant les éléments d’authentification est conservé de manière sécurisée. En cas de perte ou de vol de ses moyens d’authentification, une procédure permet à l’électeur d’effectuer son vote et rend les moyens d’authentification perdus ou volés inutilisables.

Objectif de sécurité n° 1-04 : assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant.
Solution : Chiffrer le bulletin sur le poste du votant, coté client et avant son émission, à l’aide d’un algorithme public réputé « fort ».

Objectif de sécurité n° 1-05 : assurer la stricte confidentialité et l’intégrité du bulletin pendant son transport.
Solution : Utiliser un canal sécurisé afin d’acheminer le bulletin, lui-même déjà chiffré (voir objectif de sécurité n° 1-02), du poste du votant jusqu’à l’urne électronique. Dans le cas de recours à des certificats, les choisir et les utiliser, au niveau 2, si possible conformément aux préconisations du RGS et, au niveau 3, conformément aux préconisations du RGS.

Objectif de sécurité n° 1-07 : assurer l’étanchéité totale entre l’identité de votant et l’expression de son vote pendant toute la durée du traitement.
Solution : Ne disposer d’aucun lien entre le votant et son bulletin chiffré dès lors que le vote est exprimé. Le bulletin n’est pas horodaté, contrairement à la liste d’émargement, et le bulletin et la liste sont conservés dans des espaces de stockage distincts.

Objectif de sécurité n° 1-08 : renforcer la confidentialité et l’intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d’un seuil de secret déterminé.
Solution : Générer a minima trois clés et exiger que deux de ces clés a minima soient indispensables afin de permettre le dépouillement. La génération des clés doit être réalisée de manière publique et ces dernières doivent être stockées sur un support sécurisé en possession uniquement du président du bureau et de ses assesseurs.

Objectif de sécurité n° 1-09 : définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin.
Solution : L’option de dépouillement ne doit être activable qu’après la fermeture du scrutin et le scellement de l’urne et de la liste d’émargement. L’opération de dépouillement, une fois activée, ne peut être interrompue avant d’être entièrement exécutée et terminée. Un dépouillement partiel ne peut ainsi être réalisé.

Objectif de sécurité n° 1-10 : assurer l’intégrité du système, de l’urne et de la liste d’émargement.
Solution : S’assurer que le dispositif déployé est identique à celui audité par l’expert indépendant qui a effectué l’expertise commanditée par le responsable de traitement. Des empreintes des éléments doivent être calculées par l’expert et pouvoir être recalculées sur le système afin de les comparer et de les vérifier. L’urne et la liste d’émargement doivent être scellées et une empreinte calculée dès le scellement.

Objectif de sécurité n° 1-11 : s’assurer que le dépouillement de l’urne puisse être vérifié a posteriori.
Solution 1 : Possibilité de rejouer le dépouillement : pour cela, conserver l’ensemble des éléments nécessaires pour pouvoir prouver que l’urne dépouillée est bien celle contenant les votes des électeurs qui se sont exprimés (des votants) et uniquement ceux-là ; conserver les éléments nécessaires pour dérouler à nouveau la procédure de décompte des votes.

Solution 2 : Possibilité de prouver que le dépouillement s’est déroulé sans erreur : pour cela, conserver l’ensemble des éléments nécessaires à la vérification de la preuve cryptographique démontrant que l’urne dépouillée est celle contenant les votes des électeurs qui se sont exprimés (des votants) et uniquement ces derniers et que celle-ci a été correctement dépouillée.

 

Objectifs de sécurité de niveau 2

Objectif de sécurité n° 2-01 : assurer une haute disponibilité de la solution.
Solution : Disposer d’une infrastructure dimensionnée pour supporter l’élection et la charge attendue. Il est prévu un système de redondance par un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et caractéristiques.

Objectif de sécurité n° 2-02 : assurer un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement.
Solution : Calculer à intervalles non réguliers et non prévisibles une empreinte des éléments précités et les comparer à la valeur de référence calculée en amont (voir objectif de sécurité n° 1-08).

Objectif de sécurité n° 2-03 : permettre le contrôle automatique par le bureau électoral de l’intégrité de la plateforme de vote pendant tout le scrutin.
Solution : Mettre à disposition du bureau électoral un dispositif lui permettant de vérifier directement la mise en œuvre de l’objectif de sécurité n° 2-02 depuis un écran de contrôle.

Objectif de sécurité n° 2-04 : authentifier les électeurs en s’assurant que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative.
Solution 1 : L’électeur s’authentifie à l’aide d’un certificat électronique, choisi et utilisé conformément aux préconisations du RGS.

Solution 2 : L’électeur s’authentifie à l’aide d’un couple identifiant et mot de passe personnel qui lui a été remis de manière sécurisée (deux canaux séparés) et répond à une question défi-réponse non triviale (sont ainsi exclus la date de naissance et tout autre élément facilement décelable) dont il est le seul à connaitre la réponse (avec le responsable de traitement).

En cas de perte ou de vol de ses moyens d’authentification, une procédure permet à l’électeur d’effectuer son vote et rend les moyens d’authentification perdus ou volés inutilisables.

Objectif de sécurité n° 2-06 : utiliser un système d’information mettant en œuvre les mesures de sécurité physique et logique recommandées par les éditeurs et l’ANSSI.
Solution : Appliquer les bonnes pratiques mises en avant dans les documentations par les éditeurs, notamment les éditeurs de solutions de vote, mais également les éditeurs de serveur web, de serveurs d’application et les éditeurs de base de données. Appliquer, selon les cas d’espèce, les bonnes pratiques de l’ANSSI énoncées dans les guides « Recommandations pour la sécurisation des sites web », « Recommandations de sécurité relatives à TLS », « Recommandations de sécurité relatives à IPsec », « Recommandations de configuration d’un système GNU/Linux », « Recommandations de sécurité relatives à un système GNU/Linux », « Recommandations de sécurité relatives aux environnements d’exécution Java sur les postes de travail Microsoft Windows » et s’inspirer du document « La défense en profondeur appliquée aux systèmes d’information » et du guide d’hygiène.

Objectif de sécurité n° 2-07 : assurer la transparence de l’urne pour tous les électeurs.
Solution : Rassurer autant que possible les votants qui n’ont pas accès à l’expertise de la solution de vote, garante du bon fonctionnement du dispositif et de la sincérité et intégrité du vote dans son ensemble. Il s’agit de permettre aux électeurs de s’assurer que leur bulletin a été pris en compte dans l’urne et que les bulletins de vote sont construits de manière correcte.

Pour ce faire :

Chaque récépissé de vote contient une information unique, totalement décorrélée de l’identité du votant (empreinte numérique, numéro aléatoire, « preuve à divulgation nulle de connaissance », etc.) qui est calculée au moment où le votant valide son choix de vote. La plateforme de vote électronique est destinataire de l’information et la publie afin de la rendre accessible à tous les électeurs. Chaque électeur peut ainsi avoir la garantie que son bulletin est bien dans l’urne.

De plus, la solution de vote permet aux votants d’accéder à un espace de test où il est possible d’effectuer différents votes de tests et de voir ce qui ressort de l’ouverture du bulletin sur le serveur, le but étant de s’assurer que les bulletins sont correctement construits.

 

Objectifs de sécurité de niveau 3

Objectif de sécurité n° 3-01 : étudier les risques selon une méthode éprouvée afin de définir les mesures les plus adéquates au contexte de mise en œuvre “.

Objectif de sécurité n° 3-02 : permettre la transparence de l’urne pour tous les électeurs à partir d’outils tiers.
Solution : Procéder de la même manière que pour l’objectif de sécurité n° 2-07 en effectuant de surcroît les vérifications sur une machine tierce, mise en œuvre par un partenaire externe au vote.

Objectif de sécurité n° 3-03 : assurer une très haute disponibilité de la solution de vote en prenant en compte les risques d’avarie majeure.
Solution : Disposer d’une infrastructure dimensionnée pour supporter la charge attendue induite par le processus électoral. Il est prévu un système de redondance par un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et caractéristiques. Prévoir une redondance de l’alimentation de chaque machine, ainsi que des accès à Internet de l’infrastructure. Les sites hébergeant l’infrastructure principale et de secours doivent être suffisamment distants et correctement placés afin de couvrir les risques naturels.

Objectif de sécurité n° 3-04 : permettre le contrôle automatique et manuel par le bureau électoral de l’intégrité de la plateforme pendant tout le scrutin.
Solution : Donner la possibilité au bureau de déclencher manuellement un contrôle de l’intégrité de la plateforme en supplément du contrôle automatique énoncé par l’objectif n° 2-03.

Objectif de sécurité n° 3-05 : assurer un cloisonnement physique entre chaque prestation de vote de sorte qu’il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours “.

 

Ces informations ont été collectées, regroupées et mises en forme par l’Expert Denis JACOPINI.

Vous pouvez le contacter en utilisant le formulaire suivant :

https://www.expertises-votes-electroniques.lenetexpert.fr/contact