Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

vers Virus Info


[accueil]  [menu]  [suivez-nous !]  [chercher]


2021-09-18 15:32
CR

Nous avons essayé le vote en ligne à la française : nos doutes sur la sécurité


En prévision des élections législatives du printemps 2022, la France organise un test de vote en ligne destiné à ses expatriés. Environ 10 700 électeurs volontaires (dont nous faisons partie) peuvent y participer avec un premier tour du 17 au 20 septembre, puis un second tour du 24 au 27 septembre. Voici notre retour d’expérience.

Par principe, nous sommes opposés au vote en ligne, celui-ci manquant de sécurité, selon nous : nous ne savons pas comment fonctionne le logiciel de vote ni le dépouillement faute de solution open source. Qu’en est-il de l’anonymat et de l’intégrité des choix exprimés ? Nous n’avons pas non plus cherché à pirater les serveurs, pour des raisons légales évidentes (pas de bug bounty permettant aux chercheurs remonter des failles sans sanctions). Nous nous focaliserons donc ici sur la sécurité du côté utilisateur.

Le test de vote en ligne ressemble beaucoup au vote en ligne des conseillers consulaires du printemps dernier. L’utilisateur reçoit par courriel un identifiant et un mot de passe par SMS qui lui permettront de se connecter à la plate-forme de vote sur votefae.diplomatie.gouv.fr. On constate l’utilisation de script situé sur les serveurs de Google, ce qui n’est pas pour nous rassurer ; on espérait plus « souverain ». Après avoir effectué son choix dans la liste proposée des candidats, l’utilisateur reçoit par courriel un autre code pour confirmer ce choix. Ce choix est définitif alors qu’en Estonie - référence dans le vote en ligne - il est possible de le modifier jusqu’à la dernière minute. Le procédé de sécurisation français semble aussi moins sûr que celui en Estonie, basé sur une carte à puce et les codes PIN associés.

En effet, les courriels circulent en clair sur Internet, un pirate pourrait donc les intercepter. L’envoi par SMS n’est pas plus sûr, l’opérateur étranger effectuant le routage vers l’expatrié pouvant en prendre connaissance. Et une faille dans le protocole SS7 d’interconnexion des réseaux téléphoniques permet aussi une telle interception internationale. Enfin, de nombreux utilisateurs consultent courriels et SMS sur un même smartphone, un pirate pourrait donc prendre connaissance des données de sécurisation à l’aide d’un logiciel espion, comme il en existe déjà de nombreux pour pirater des comptes bancaires et autres.

Nous votons contre le vote en ligne.



Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage]  [RSS]  [archives]
[contact & legal & cookies]  [since 1997]