Harri Hursti, c'est l'auteur du fameux Hursti Hack sur des machines à voter Diebold, ou plutôt Premier Election Solutions maintenant, à la demande du groupe Black Box Voting et des producteurs du documentaire Hacking Democracy. Le principe est simple. On va écrire des données sur une carte mémoire avant son introduction dans la machine de manière à influencer l'issu du vote. Et ce qui ne devrait être qu'un simple support de stockage va retourner le résultat d'un vote exécuté pour l'occasion de six non contre deux oui en sept oui contre un non... L'opération est montrée dans le documentaire.

Et ce talk, "Understanding eVoting in post Everest, TTBR world"[1], c'est comme ça pendant une heure. Ou presque. Parce que comme de coutume, un juge a jugé bon de lui coller une injonction au cul pour l'empêcher de révéler certains détails. Injonction qui va certes sauter, comme toutes les autres auparavant, mais tout de même.

D'abord, un peu de contexte. Tout ceci se place dans le cadre du "Top-to-Bottom Review" initié par Debra Bowen, Secrétaire de l'État de Californie et du programme EVEREST lancé par Jennifer Brunner, Secrétaire de l'État d'Ohio, tous deux lancés en 2007. Ces tests ont conduit à la suspension de la plupart des certifications et la publication de contraintes supplémentaires, et en particulier sur les conditions de vérification manuelle des votes. Cette revue complète a certes fait suite à la découverte de bugs majeurs dans les machines à voter utilisées dans cet état, mais également à la constatation que pas mal d'entre elles tournaient avec des versions de logiciel non certifiées. Et je voudrais bien insister sur le mot certification et pas agrément. Ceux qui ont assisté au SSTIC 2007 se souviendront de la différence notable entre les deux...

La présentation de Harri est une espèce de résumé d'une heure des conclusions de ces audits et les évènements qui les ont motivés. Pour les motivations, je vous laisse regarder Hacking Democracy, ça parle tout seul. Vous noterez un arrière-goût de théorie du complot, mais je vous fais confiance pour faire la part des choses et ne retenir que les faits. Pour le reste, c'est à vous scotcher le cul par terre. Si je devais résumer ce que j'en garde, c'est grosso modo qu'on est en train de refiler nos votes à ce qui ressemble fort à des bandes d'incapables de la pire espèce. Et ça, c'est la version édulcorée. Parce que quand une boîte oublie son code source dans un coin de leur serveur FTP public, que ce code se fait évidemment télécharger puis étudier par des gens compétents, que des bugs sont forcément trouvés et publiés, que le dirigeant de la société en question doit se pointer devant un grand juri et qu'il affirme sous serment que les bugs en question ont été corrigés et qu'il s'avère finalement qu'en fait ce n'est pas le cas, ça devrait donner du grain à moudre à plus d'un esprit, en particulier de savoir si ces gens sont des incompétents notoires ou tout simplement de bons gros escrocs...

Techniquement, Harri semblait manquer de qualificatifs pour nous donner une idée précise du résultat. J'ai retenu une expression : "un véritable recueil d'exemples de trucs à ne pas faire pour un manuel de programmation"[2]. Certains ont été qualifié de trucs de base, ce qu'on appelle les 101 en anglais. Les codes source seraient monstrueux, avec pleins de langages différents, des conventions de codage inexistantes, pas de documentation ou inexacte quand elle existe, etc. Il ressort de tous ces tests des failles à gogo dont quelques exemples pourraient faite sourire. Côté journalisation, le fameux truc censé permettre de recompter les votes et donc de détecter les éventuelles fraudes, ils sont qualifiés d'inexistants, dans le sens qu'ils sont incapables de reveler la moindre atteinte à la machine. Typiquement, lors du Hursti Hack, la machine ne s'est pas sentie obligée de loguer le fait qu'elle se faisait initialiser avec une carte contenant des données... Côté sécurité physique, ce n'est pas mieux. On a entendu parler des clés magiques, mais ce n'est pas tout. Par exemple, sur certaines machines, on peut par exemple, sans rompre les scellés, déconnecter l'imprimante de son port série et utiliser ce dernier comme port console pour accéder en superutilisateur à la machine (?!). Pour ceux qui veulent en savoir plus, les rapports sont en ligne, il suffit de les lire. C'est tout simplement atterrant. Et apparemment, il en reste sous le coude dans des travaux récents, précisément ceux dont les résultats sont sous injonction. Les exemples fourmillent, comme cette machine qui authentifierait l'électeur avec une carte à puce et vous loguerait en superutilisateur si vous lui fournissiez une carte non-formatée. Genre une carte de crédit par exemple. Qui a dit qu'on ne pouvait pas acheter une élection ?!

Du fait de cette fameuse injonction, il n'a pas pu attribuer les différents exemples à leurs auteurs, mais il a quand même tenu à souligner qu'ils étaient tous affectés dans les mêmes proportions, ce qui laisse songeur. En particulier quand on sait que l'un d'entre eux, Election Systems and Software, a des produits agréés et utilisés en France, avec des retours pour le moins inquiétants. Et c'est ce qui me fait bondir, et m'inquiète en même temps. Car pendant que pas mal d'états américains sont en train de revoir tout leur système de vote électronique, pendant que certains font même marche arrière, nos élus ne semblent pas se poser plus de questions que ça. Pour un aperçu du développement en France, allez voir le site Ordinateur-de-Vote.org.

Bref, on nous démontre les limites de ces systèmes, théoriques comme techniques, on nous exhibe des failles bien concrètes, exploitables, dont certaines permettent de détourner des élections, on a des faits qui font plus que jeter le doute sur la crédibilité de leur constructeur. On pourrait croire que ça ferait réagir, on pourrait croire que certains se poseraient des question, on pourrait croire que quelqu'un lancerait l'idée de regarder un peu ce que ces machines ont dans le ventre. Ben non. On fait confiance, les yeux fermés, parce que les machines à voter c'est cool, c'est moderne, c'est hype. Bref, c'est beau le progrès... Mais bon, on se demande vraiment pourquoi on en fait tout un pataquès[3], puiqu'il est évidemment IM-PEN-SA-BLE que quelqu'un puisse vouloir frauder massivement une élection[4]. Les enjeux sont tellement ridicules...

On vit décidemment une époque formidable... Ou pas...



PS : les photos de BA-Con et Ekoparty, ainsi que celles de ma semaine de vacances en Patagonie sont en ligne.

Notes

[1] Le compte-rendu de BA-Con et Ekoparty est en cours de rédaction.

[2] Traduction maison...

[3] On me fait remarquer que "pataquès", au-delà de la faute d'orthographe initiale, est utilisé fort mal-t-à-propos dans cette phrase. Tant pis...

[4] Vers la fin de la vidéo...