Le constructeur, qui s'est déjà illustré dans ce même état par son rechignement à faire auditer ses machines, semble s'être définitivement attiré les foudres de Debra Bowen[1] qui lui reproche aujourd'hui d'avoir fourni à l'État de Californie un millier de machines[2], des AutoMARK A200, présentant des modifications par rapport au modèle certifié, l'AutoMARK A100. Le tout sans être repassé par la case certification apparemment, raccourci qui pourrait lui coûter la bagatelle de 9,72 millions de dollars US. Rien que ça.

ES&S conteste les faits, arguant que les modifications étaient tellement légères qu'elles ne les obligeaient pas à recertifier le produit. C'est en tout cas ce qu'affirme un communiqué publié sur le site de AutoMARK Technical Systems, le fabricant des machines incriminées, sous licence exclusive ES&S. Puis que le produit résultant aurait quand même été certifié par un laboratoire indépendant. Les machines auraient donc fait l'objet d'une nouvelle certification... inutile et surtout inexistante de l'aveu de leur partenaire lui-même...

Si cette histoire fleure bon le sac de nœuds, elle n'en démontre pas moins la justesse de l'affirmation de Pierre. Une société commerciale sera tentée de se montrer peu regardante si elle n'est pas contrôlée. Pire, elle s'employera probablement à contourner la règlementation si celle-ci n'est pas assez stricte. Et c'est semble-t-il le cas ici. Sous prétexte de l'A200 n'est qu'une version légèrement modifiée de l'A100, elle n'aurait pas besoin d'une nouvelle certification. Je ne connais certes pas les exigences de certification portant sur les machines à voter utilisées en Californie, mais dans le domaine dans lequel je travaille, la pertinence d'une nouvelle certification n'appartient pas au constructeur, mais à l'organisme de certification. En fait, le simple fait de changer le nom d'une boîte implique une nouvelle certification. C'est comme ça. Nouveau produit, nouvelle certification. Cette certification pourra fort bien s'appuyer sur les résultats de l'examen de la version précédente, mais il y aura bel et bien nouvelle certification.

C'est un point crucial en ce qui concerne le marché français. Car dans notre beau pays, les produits d'ES&S et autres marchands d'ordinateurs de vote ne font pas certifier leurs produits. Contrairement à ce que d'aucuns laissent entendre et aimeraient nous faire croire. Ils les font juste agréer. Au risque d'en choquer certains, agréer ne veut pas dire certifier. C'est une différence est de taille que je regrette de ne pas avoir mis en avant lorsque je faisais remarquer à nos amis du Conseil Constitutionnel qui ouvraient le SSTIC 2007 que si une machine à voter devait être certifiée comme un équipement avionique, son prix ne se chiffrerait pas en milliers d'euros. Aussi je suis relativement persuadé qu'un cas similaire passerait comme une lettre à la poste en France.

Ce cas illustre un autre motif avancé par Pierre : "les lois peuvent servir à empêcher l’expression des quatre motifs précédents". Les quatre motifs en question étant l'incapacité de l'utilisateur à juger de la pertinence d'une solution de sécurité, la faiblesse des technologie de protection, l'honnêteté des sociétés commerciales et le manque de fiabilité des certifications. Car dans le cas présent, si l'usage des machines est encadré par une loi fédérale, le Help America Vote Act, l'État de Californie entend bien le faire respecter et semble vouloir le démontrer avec sa quasi-croisade contre ES&S. On aimerait voir les autorité françaises faire preuve de la même motivation face à un constructeur de machines dont les rejetons ne peuvent pas être mises à l'heure... Entres autres lacunes... Par exemple...


Je vais terminer par une note plus joviale qui devrait faire plaisir à Simon. Quand Pierre aborde le crackage des mots de passe, il en parle comme du "pont-aux-ânes de la sécurité informatique" en ce qu'il apporte une "gratification assurée". Si personne ne conteste cette dernière affirmation, je ne serais pas aussi dur avec cette activité que certains ont élevé au rang de discipline à part entière dans l'art du test d'intrusion. Car même dans les domaines éculés se produisent parfois des évènements intéressants.

Par contre non, je ne fais pas référence ici à ces gens qui ont implémenté un password cracker terriblement efficace sur des GPU de cartes vidéo. Je pense plutôt à ce gars qui est parvenu à casser un hash MD5 avec... Google. À défaut d'être techniquement intéressante, la démarche est au moins originale.

Notes

[1] Je la cite : "ES&S ignored the law over and over and over again, and it got caught"...

[2] 972 pour être précis.