Non au vote électrique!

Sommaire

Machines à voter: historique de cette page

Juillet 2017: sécurité augmentée du vote papier, grâce à l'open-data

On appelle « open data » (données ouvertes) la mise à disposition d'informations par une institution, par exemple l'État, sous une forme conçue pour faciliter son exploitation informatisée.

C'est quoi l'open data? Sautez cette partie si vous savez déjà ce qu'est l'open-data.

Pour comprendre l'open-data, prenons l'exemple du cas, a priori fort peu sensible, des horaires de tramway et d'autobus de la métropole de Montpellier. La métropole peut avoir différentes stratégies de diffusion de cette information:

  • le secret: ne dire à personne à quelle heure passent les bus. Curieusement, certains réseaux le font!
    • avantage: personne ne peut se plaindre du retard...
    • inconvénient: les gens ne prendront pas le bus et seront en colère contre les élus responsables.
  • la diffusion en format non informatisé: publier des fiches horaires papier mais refuser leur mise en ligne. C'est la stratégie (assez aberrante) utilisée par la métropole de Montpellier depuis 2012 au moins (le site Tramway de Montpellier scanne les fiches horaires du tramway à chaque changement d'horaires).
    • avantage supposé: gonfler la fréquentation du site web et de l'appli smartphone (c'est un avantage vraiment dérisoire)
    • inconvénient: malpratique pour les usagers
  • la diffusion en format informatisé propriétaire: publier les informations exclusivement via des outils propriétaires. C'est le cas à Montpellier: seuls le site web et l'application smartphone permettent d'obtenir les horaires.
    • avantage, dans le cas des horaires de Montpellier: gonfler artificiellement la fréquentation du site web et de l'appli smartphone
    • avantage, plus généralement: empêcher des usagers mécontents, des concurrents ou des adversaires, d'exploiter des informations qu'il faut pourtant mettre à disposition du public. Ainsi, l'Agglomération de Montpellier a pu mettre en ligne l'enquête publique de la ligne 5 du tramway, mais dans un format théoriquement impossible à récupérer pour l'archiver ou l'imprimer (théoriquement, car en réalité j'ai pu récupérer le contenu et le mettre en ligne sur le site web de Vélocité), afin de rendre plus difficile un éventuel recours contentieux.
    • inconvénient: l'usager est prisonnier, il n'a qu'un accès précaire aux informations (qui dépend de sa connexion internet, de la disponibilité du terminal d'accès et de la bonne volonté du fournisseur), et doit passer par des outils souvent moins pratiques d'un simple fichier PDF.
  • la diffusion informatisée en format usuel (ex: PDF): par exemple, des fiches horaires scannées en PDF ou directement éditées au format PDF.
    • avantage: l'usager peut archiver l'information et la consulter à sa guise, même sans connexion internet, sur le support qu'il souhaite (téléphone, Linux, impression papier,...), dans un but pratique ou historique. S'il s'agit d'un format natif (PDF directement créé à partir d'un fichier source), il peut même faire une recherche (ex: taper «Ctrl-F» puis le nom d'un arrêt).
    • inconvénient: pour le simple usager, aucun inconvénient. Mais si quelqu'un veut exploiter ces informations par logiciel, il aura du mal à le faire, et devra peut-être adapter son logiciel à chaque nouvelle édition. Si cette adaptation est mal faite, le logiciel produira peut-être des résultats erronés.
  • la diffusion en format numérique «ouvert» (open data): il s'agit de mettre en ligne les horaires, sous une forme optimisée pour être facile à lire par un logiciel. Par exemple, un tableau en format texte, ou un fichier XML ou JSON selon une structure clairement décrite. Ce format sera généralement peu pratique pour l'usager de base, aussi il s'ajoutera à une diffusion plus classique (par exemple PDF) mais ne la remplacera pas.
    • avantage: d'autres institutions (services en ligne, associations,...) peuvent exploiter ces informations et en tirer une utilité parfois inattendue. Par exemple, l'application Google Maps pourra proposer une solution bus+tramway à quelqu'un qui envisage de faire un trajet en voiture, ou la SNCF pourra indiquer les correspondances entre les trains et les bus.
    • inconvénient: il ne faut rien avoir à cacher car tout peut être exploité, y compris pour nuire. Et une partie du bénéfice de l'exploitation peut revenir à des tiers, dont les parasites que sont les sites «attraque-pub» ou ceux qui revendent des informations gratuites. Mais souvent, le fournisseur de l'information en bénéficie lui aussi: par exemple, si Google Maps indique une solution bus+tramway, peut-être que Google en tire un revenu publicitaire, mais la société de bus et de tramways en tire une nouvelle clientèle. Des limites techniques et juridiques peuvent être instaurées pour limiter les abus: par exemple les données en temps réel du trafic SNCF, une information sensible s'il en est, sont accessibles sous réserve d'un nombre maximum de requêtes quotidiennes, et après acceptation de conditions qui interdisent leur stockage, la reconstitution de la base de données de la SNCF, et l'utilisation de ces informations dans le but de nuire à la SNCF.

Le gouvernement français a un programme de diffusion d'informations en open-data, centralisé à l'adresse https://www.data.gouv.fr. On y trouve des informations extrêmement diverses, de nature géographique, démographique, économique, etc... Tout ceci, à destination donc d'utilisateurs avertis, pouvant être des chercheurs, des entreprises, des associations, des militants, etc...

La branche qui nous intéresse ici est la diffusion en open-data du résultat des élections politiques, à l'adresse https://www.data.gouv.fr/fr/posts/les-donnees-des-elections/

Le format est particulièrement simple (format texte avec séparateur) et s'ouvre facilement, par exemple avec Excel 2007 ou supérieur (les performances de LibreOffice ou d'Excel 2003 sont insuffisantes vue la taille du fichier). Les outils «filtre» et «tri» d'Excel sont très utiles. Un programmeur peut également créer son propre logiciel pour analyser ces données de la façon qui lui plaira, par exemple en langage C++, PHP, Javascript, Perl,... (par exemple, le journal Le Monde en tire des cartographies très intéressantes après chaque élection).

Voici donc comment cette diffusion me permet de vérifier que le vote papier est totalement sécurisé et que son résultat est sincère. Prenons l'exemple du 1er tour de l'élection législative de juin 2017, supposons que je vote dans le bureau de vote n°12 de Montpellier, dans la 2e circonscription de l'Hérault, et que je m'intéresse aux résultats de la candidate finalement victorieuse, Mme Muriel Ressiguier présentée par la «France Insoumise». Voici ce que je peux vérifier personnellement:

  • le déroulement du vote se fait sous le contrôle du public et des délégués des candidats, dans une urne transparente. Je peux demander au délégué d'un parti s'il a constaté des anomalies. Je peux moi-même venir à 8h du matin et vérifier que l'urne soit bien vide.
  • le dépouillement est public, je peux moi-même y assister si je le souhaite, et même y participer. Supposons que notre dépouillement a donné les résultats suivants: 521 votants, dont 7 blancs, 0 nul, et 514 exprimés, dont 114 voix pour Ressiguier. Je suis certain des résultats de mon bureau, mais quid des résultats globaux?
  • je télécharge donc le fichier des résultats, et j'affiche la ligne correspond à mon bureau de vote: OK, il a bien été pris en compte (NB: j'ai masqué certaines colonnes pour faciliter la lecture):

  • J'additionne maintenant les résultats de tous les bureaux de vote de ma circonscription: dans Excel, il suffit de sélectionner toutes les cases (préalablement filtrées pour afficher uniquement ma circonscription) pour calculer la somme: je trouve que cette candidate a obtenu 5886 voix sur l'ensemble de la circonscription:
  • Je compare ce résultat à ce qui a été publié par la presse locale, par exemple par le Midi-Libre: OK, ils ont bien trouvé eux aussi 5886 voix pour Ressiguier:

Ainsi, un simple fichier proposé en open-data au niveau national me permet de vérifier que la comptabilisation des votes au niveau national a été correcte, quand bien même le KGB de Poutine ou la CIA de Trump auraient piraté les serveurs informatiques du ministère de l'Intérieur et des journaux français en utilisant des virus informatiques: la conformité entre les résultats du dépouillement et la constitution du fichier peut être vérifiée par toutes les personnes présentes lors du dépouillement, et la compilation au niveau nationale peut être faite par n'importe quelle personne sachant manipuler un fichier informatique (concrètement, elle est faite par une multitude de journaux et de sites web). Avant que ce fichier n'existe, des journaux publiaient les mêmes informations au format papier (Le Monde y consacrait un bon paquet de pages), ce qui avait la même utilité, mais il était très laborieux de vérifier les additions.

En conclusion: le résultat est garanti sincère, aussi longtemps que des personnes présentent dans chaque bureau de vote peuvent attester du résultat obtenu dans ce bureau de vote.

Et c'est le problème dans le cas du vote électronique: même les personnes présentes physiquement dans le bureau de vote ne peuvent pas dire si le résultat affiché par la machine correspond réellement aux votes des électeurs.

mars 2017: à propos des élections présidentielle et législative en France

Suppression du vote par internet pour les Français de l'étranger: le gouvernement a pris la décision de bon sens consistant à supprimer le vote par internet autorisé depuis 2012 pour les Français résidents de l'étranger (voir plus bas sur cette page). Cette décision a été annoncée le 6 mars 2017 par Mathias Fekl, le secrétaire d'État en charge des Français de l'étranger. Elle se comprend d'autant mieux que des piratages en provenance de Russie ont joué un rôle dans l'élection de Donald Trump aux USA (et que le Kremlin semble décidé à agir de la même façon en France pour favoriser un candidat, en l'occurrence Marine Le Pen, de façon à affaiblir l'Union Européenne et lui permettre de continuer à grignoter l'Europe orientale), et que le site WikiLeaks a publié le 7 mars 2017 un lot de documents («Vault 7») décrivant les multiples techniques de piratage de la CIA (espionnage américain) ciblant toutes sortes d'équipements électroniques, y compris des équipements non connectés à internet.

Différents parlementaires ont saisi le gouvernement pour demander l'interdiction totale des machines à voter en 2017 (dont les nouvelles installations sont déjà interdites depuis des années):
- les élus de gauche de Villeneuve-le-Roi (94) le demandent au gouvernement et au Conseil constitutionnel
- Alain Anziani, sénateur-maire (PS) de Mérignac (Bordeaux), défend cette interdiction dans le Courrier des Maires du 23 février 2017.
- voir aussi la question écrite déposée le 9 février 2017 par Philippe Kaltenbach, député et ancien maire de Clamart, dans les Hauts-de-Seine (bastion sarkozyste où se concentrent une grande partie des quelques communes françaises utilisant encore les machines à voter).

Mais deux candidats à la présidentielle nient les risques de piratage:
- Marine Le Pen (FN), qui n'a pas pris position sur les machines à voter, nie logiquement les risques de piratage en provenance du Kremlin (dont elle serait la probable bénéficiaire), tout comme Donald Trump. À noter qu'un député européen du FN, Nicolas Bay, a été sanctionné en 2016 pour avoir voté à la place de Marine Le Pen, ce qui est interdit par le règlement du Parlement Européen. Le but n'était pas de modifier l'issue du vote, mais de masquer artificiellement l'absentéisme forcené de la présidente du FN au Parlement Européen.
- Emmanuel Macron annonce, s'il est élu, la généralisation du vote électronique. Lire à ce sujet l'excellent article de L'Obs - Rue89 du 3 mars 2017.

Novembre 2016: à propos de la primaire de la droite et des élections américaines

La primaire de la droite: en novembre 2016, pour la première fois, la droite française choisissait son candidat pour la présidentielle au moyen de primaires ouvertes. Environ 4 millions d'électeurs ont voté au 1er tour.
Précédemment, l'UMP, sous le contrôle de Sarkozy, avait été une grande utilisatrice d'élections électroniques, avec moult accusations de fraude.
Dans toute élection, il y a des candidats qui ont intérêt à tricher, et l'UMP en avait été l'illustration en novembre 2012, lors d'une élection interne entre Jean-François Copé et François Fillon pour choisir le président de l'UMP: les deux candidats avaient annoncé leur victoire et accusé l'autre camp de fraude.
Ces risques de fraude, toujours présents à l'esprit de chacun, a poussé le LR (ex-UMP) à choisir en novembre 2016 le mode de vote le moins susceptible de fraude, c'est-à-dire:
 - vote papier
 - délégués des candidats présents toute la journée dans le bureau de vote (selon une fiche du camp Fillon, en 2012, les bourrages d'urne avaient lieu à midi, lorsque les délégués des candidats s'absentaient pour casser la croute)
 - dépouillement immédiat à la fin du vote, sous le contrôle des délégués des candidats
Grâce à ces précautions, le résultat n'a été contesté par personne, malgré qu'il soit très différent de celui qui était prévu.

La question du vote électronique s'est tout de même posée, pour les sympathisants du LR qui vivent à l'étranger, et qui ne peuvent pas rejoindre un bureau de vote. Le LR a choisi d'autoriser le vote électronique pour ces sympathisants uniquement. Sarkozy, le partisan du vote électronique lorsqu'il en contrôlait les modalités, s'est cette fois-ci prononcé contre ce vote électronique, estimant que les sympathisants vivant à l'étranger lui étaient moins favorables que le cœur des militants du parti. Toujours est-il que ce vote électronique, limité en ampleur, comportait donc moins de risques et donc moins d'intérêt pour un éventuel fraudeur, mais il aurait posé problème si deux candidats avaient recueilli un score très proche.


Les élections américaines: les Américains utilisent beaucoup de machines à voter, et aujourd'hui ces machines sont des ordinateurs (à l'origine, c'était des machines mécaniques qui produisaient des cartes perforées, et qui posaient des problèmes de fiabilité plutôt que de fraude).

Le Monde a publié un article concernant, dans certains États, les résultats plus favorables à Donald Trump de 7 points dans les bureaux de vote utilisant des ordinateurs à voter que dans ceux n'utilisant pas de machines à voter. Il n'y a pas de preuve d'une fraude (et d'ailleurs, le principe même du vote électronique rend indétectables les éventuelles fraudes), mais l'article signale que Barak Obama a accusé la Russie de pratiquer des attaques informatiques contre les USA y compris contre le système électoral, et que Donald Trump lui-même a exprimé des doutes sur la sécurité des machines à voter jusqu'à quelques heures avant que sa victoire ne soit connue.

L'article du Monde comporte une vidéo de 10 minutes, produite par un laboratoire de Princeton (dans le New-Jersey, entre New-York et Philadelphie), qui montre comment on peut faire tricher les machines à voter utiliser aux USA, comment on peut les contaminer sans qu'elles ne soient reliées à internet (en utilisant des virus qui se propagent via les cartes mémoires utiliser pour les mettre à jour), et comment la fraude peut être totalement indétectable (elle n'entre pas en service lors des simulations de vote, et le logiciel fraudeur peut s'effacer à l'issue du scrutin).

Vous pouvez aller voir la page consacrée au vote électronique sur le site de ce laboratoire de Princeton, le Center for Information Technology Policy (CITP - Centre pour la politique des techniques informatiques). Mais certains liens sont cassés sur leur page, et leur étude de 2006 sur la possibilité de pirater la machine à voter est disponible ici sur ce site (16 pages, PDF 2 Mo).

août 2014: Testez vous-même la machine à voter et à tricher, sur votre ordinateur!

Cliquez ici pour accéder à une page web où vous pourrez voter: vous pourrez également tricher!

Cette page permet de faire des démonstrations.
Le fonctionnement n'est pas très compliqué. En cas de difficulté, cliquez sur le bouton «Aide» que vous trouvez en-haut à droite.

Comme vous pourrez le constater, la triche est généralement indétectable: elle sera programmée pour n'avoir lieu que pour un véritable scrutin et non pour un essai préliminaire (avec peu de votants et pendant peu de temps).
Sans vous le dire, la machine à tricher enregistre aussi l'heure de chaque vote: facile alors, pour les gens qui vous ont vu voter à telle heure, de savoir pour qui vous vous êtes prononcé: l'anonymat est menacé et l'achat de votes est possible.

N'hésitez pas à citer cette page, ou même à la recopier: c'est un simple fichier HTML, qui fonctionnera directement si vous le copiez sur votre site web ou sur votre disque dur. Par contre, si vous souhaitez le modifier, merci de me demander l'autorisation.

Vidéo explicative: utilisation de la machine à voter et à tricher

Liens directs pour télécharger la vidéo: au format MP4 (le meilleur) ou au format WebM

En mai 2012, des électeurs Français inscrits à l'étranger ont voté aux législatives par internet.

Ce processus est pourtant dénoncé même par Christian Jeanjean (ex-UMP, maire de Palavas), partisan des machines à voter, mais qui a intenté un procès contre l'UMP concernant un vote par internet au sein de l'UMP.

La parodie de démocratie est ici poussée à son comble (voir le site officiel: http://www.votezaletranger.gouv.fr/): une partie des députés, qui contrôlent le gouvernement et adoptent les lois, ont été désignés par un processus qui n'a aucune des caractéristiques attendues d'un vote démocratique:
  • l'anonymat (vis à vis des autorités): absent, car le vote aboutit (via une liaison théoriquement sécurisée) à un serveur informatique. Personne ne peut certifier que ce serveur n'enregistre pas une liste nominative du choix de chaque électeur.
  • l'anonymat (vis à vis des tiers): très incertain, car la plupart des votes seront faits depuis des PC sous Windows, et la plupart d'entre eux sont «infectés» par des virus et souvent des logiciels espions. En diffusant un virus, un pirate pourrait même voter à la place de l'électeur: ce ne serait pas plus difficile que de récolter des carnets d'adresse, ce que font des milliers de virus utilisés par les spammeurs.
  • la sincérité: non garantie, car les électeurs ne contrôlent pas le serveur informatique. Personne ne peut certifier que le résultat annoncé par le serveur informatique correspond au choix des électeurs.
  • la liberté de choix de l'électeur: non garantie, car l'électeur vote depuis un ordinateur personnel. Il est évident que certains électeurs «voteront» sous la contrainte d'une autre personne (conjoint, parents, bailleur de fonds,...).
  • l'identification de l'électeur: incertaine, car le mot de passe est expédié par e-mail. En théorie, l'adresse e-mail est publique, de façon à identifier les usurpations d'identité, mais en pratique certains électeurs ne voteront jamais et ne vérifieront jamais l'adresse e-mail enregistrée en leur nom (notamment parce qu'ils n'utilisent pas d'ordinateurs).

Contentieux: dans la circonscription du Bénélux, qui a vu la victoire de Philip CORDERY (PS), un bug a eu lieu comme l'explique le magazine PCImpact: le «dépouillement» s'est mal passé, et la procédure de secours a abouti à un écart de 1 voix entre les émargements et les votes. La différence est faible, mais aucune raison acceptable ne permet d'expliquer comment cela peut être possible dans un vote entièrement informatisé.

Le 15 février 2013, le Conseil Constitutionnel a pourtant validé l'élection de Philip CORDERY (voir site du C. Constit., ou sur Légifrance), contestée par Marie-Anne MONTCHAMP (UMP) et par Pablo MARTIN (Parti Pirate: son recours). L'affaire était intéressante, car le vote par internet (député du Bénélux) a officiellement bogué: la somme des voix reçues par les candidats est différente du nombre de votes exprimés: l'écart n'est que d'une voix, exprimée pour un autre candidat que les candidats en lice, mais cela prouve que le logiciel est bogué, et s'il est bogué pour une voix on peut nourrir de sérieux doutes sur l'exactitude du résultat lui-même.

Enfin, fin d'une époque à l'UMP: alors que Nicolas Sarkozy misait tout sur le vote électronique, le vote entre François Fillon et Jean-François Copé, en novembre 2012, a eu lieu avec des bulletins papier: cette méthode est plus rassurante pour tout le monde, et elle est également moins coûteuse. Mais on a vu le résultat: quand il y a de la fraude avec les bulletins papier, ça laisse des traces, alors qu'avec le vote électronique il est bien plus facile de frauder sans que personne ne puisse contester le résultat.

Pourquoi s'opposer aux machines électroniques à voter?

Les machines à voter électroniques sont réellement utilisées en France depuis l'élection présidentielle de 2007.

Or voici que la machine la plus utilisée (NEDAP, série ES) est retirée de la circulation en Hollande (qui en avait généralisé l'utilisation), en Allemagne (où son utilisation était marginale mais ancienne) et en Irlande (qui en avait acheté des milliers d'exemplaires sans jamais les utiliser).

Ceci mérite de donner regrouper quelques informations sur la nature des problèmes posés.

Quelles machines à voter?

Les machines à voter électroniques utilisées en France sont, dans 90% des cas, des machines produites par la société hollandaise NEDAP (modèle ESF1: première version du modèle adapté aux élections françaises) et distribuées en France par la société France Élection.

Ces machines sont utilisées dans environ 70 villes en France.
Pour le département de l'Hérault, pas moins de 4 villes se sont équipées de machines à voter, NEDAP à chaque fois:
Il s'agit d'une machine conçue en 1992 et qui a peu évolué depuis cette époque.

Le coeur est un microprocesseur 68000 de Freescale (anciennement Motorola), le même sur lequel étaient basés les Apple Macintosh à l'origine.

Les votes sont stockés dans un module amovible (nommée "urne électronique" par le constructeur), contenant deux mémoires non volatiles EEPROM, contenant les mêmes informations (de façon à rester lisible si l'une des mémoires tombe en panne pendant le vote).

Le logiciel est stocké sur deux mémoires reprogrammables EPROM de 128 ko chacune, soit 256 ko en tout. À titre de comparaison, le premier Macintosh comportait 64 ko de ROM (128 ko sur le Macintosh Plus et 256 ko sur le Macintosh SE). De quoi répondre à ceux qui prétendent que «ce n'est pas un ordinateur mais plutôt une machine à calculer»: lorsqu'il est sorti, le Macintosh était un ordinateur très perfectionné et dont on appréciait la convivialité du système d'exploitation. Les deux EPROM sont montées sur supports, et donc facile à remplacer.

France Élection, dans son argumentaire, indique qu'il s'agit d'une machine rustique (c'est vrai) et par conséquent fiable, car plus proche d'un automate programmable que d'un ordinateur:

Un micro-logiciel simple et sûr

Le micro-logiciel qui gère la machine est d’une simplicité telle qu’il renvoie la machine au rang des automates programmables. Il comporte en tout et pour tout 22 000 lignes de langage C. A titre de comparaison, le noyau linux comporte plusieurs millions de lignes de langage C. Le micro-logiciel a été audité par différents organismes dont le Bureau Véritas à l’aide, entre autre, du logiciel Polyspace. La machine ESF1 n’a pas de système d’exploitation (Windows, Linux, DOS ou autre), pas de notion de fichier, de réseau, de multi-tasking…

À ceci on pourrait répondre qu'il suffit d'environ 100 lignes de langage C pour programmer un système de triche (voir mon logiciel de vote avec triche, plus bas sur cette page): l'ordinateur Apple Macintosh avait un logiciel plus petit que cela lorsqu'il a été mis sur le marché en 1984, et pourtant il était déjà multitâche et doté d'une interface conviviale à base de fenêtres et utilisant la souris!

Pourquoi ont-elles été retirées de la circulation en Hollande?

En octobre 2006, l'association hollandaise "Wij vertrouwen stemcomputers niet" (Nous ne faisons pas confiance aux ordinateurs de vote) a réussi un coup de maître, resumé dans une émission de télévision hollandaise (en hollandais avec sous-titres anglais):

(lien vers le fichier vidéo (MP4); la vidéo sur une page séparée)

Ils avaient en effet:
Dans un rapport d'octobre 2006 (en anglais), ils expliquaient en détail le fonctionnement de l'appareil et ses failles de sécurité. Y compris une faille particulièrement gênante: avec un équipement adapté (antenne et analyseur de spectre), on peut savoir pour qui vote un électeur à une distance de 20 mètres. En effet l'appareil produit quelques parasites radio, qui dépendent du texte affiché sur son écran: le choix d'un candidat dont le nom comporte des caractères accentués était particulièrement repérable!

La détection à distance du choix fait par un électeur:

(lien vers le fichier vidéo (MP4); la vidéo sur une page séparée)

Dans un rapport d'août 2007 (en anglais), ils revenaient sur les vulnérabilités, après quelques «rustines» appliquées par le fabricant suite aux premières révélations. Les progrès n'étaient pas très concluants.

Ils expliquaient aussi comment on pouvait remplacer le logiciel en une minute:

Le remplacement du logiciel en 60 secondes:

(lien vers le fichier vidéo (MP4); la vidéo sur une page séparée)


Le 1er octobre 2007, saisi par l'association "Wij vertrouwen stemcomputers niet", un tribunal d'Amsterdam a annulé l'agrément des machines NEDAP.

Le 21 octobre 2007, le gouvernement a donc finalement retiré l'agrément des machines NEDAP.

Par conséquent, les Hollandais sont revenus à leur méthode traditionnelle, qui consiste à cocher une case sur un bulletin en utilisant un crayon rouge fourni par l'administration, et à compter les bulletins à la main.

Pour l'instant, ce retrait est provisoire: il est possible que des machines à voter soient réintroduites ultérieurement. Cependant elles devront alors être plus fiables. Ceci exige que les électeurs et les candidats puissent vérifier l'honnêteté du vote. La seule manière concrète de le faire est de fabriquer une machine qui, à chaque vote, imprime un bulletin que l'électeur voit sortir (derrière une vitre) et tomber dans une urne. Ainsi, il est possible de recompter les votes en cas de contestation. Cependant, le problème est que dans ce cas, si on ne recompte pas, ce n'est pas plus fiable que les machines électroniques actuelles, tandis que si on recompte, c'est aussi long et plus cher qu'avec le vote traditionnel.

La situation actuelle

Le vote électronique est en perte de vitesse. Même en France, le gouvernement a suspendu (provisoirement?) toute nouvelle installation.

La société NEDAP est celle qui a vendu le plus de machines à voter: 20.000 en Europe.
Mais sur ces 20.000, les 8.000 machines installées en Hollande sont retirées de la circulation depuis 2007, ainsi que les 7.500 machines installées en Irlande depuis 2004!

L'avenir

Les concurrents de NEDAP ou d'autres fabricants pourraient être tentés de fabriquer des machines plus sophistiquées et plus difficiles à pirater de la part d'un bricoleur électronicien. Mais ce ne serait absolument pas une garantie, loin de là, et voici pourquoi:

1) plus l'ordinateur est complexe, plus c'est une "boîte noire", qu'aucun expert indépendant n'est capable de vérifier dans son intégralité. Chacun en est bien conscient, à tel point qu'aucun informaticien honnête ne pourrait analyser votre ordinateur et vous certifier que vous n'avez aucun virus informatique ou logiciel espion (spyware): au mieux il peut dire qu'il n'en a trouvé aucun, qu'il n'y a aucun de ceux qui sont répertorié dans tel logiciel antivirus, ou qu'il n'y en a aucun de tellement mal programmé que sa présence serait évidente.

2) au-delà du risque de piratage, le risque principal est bien sûr la triche par l'organisateur lui-même (le maire), à partir d'informations fournies par le constructeur. Dans tous les domaines où des ordinateurs sont utilisés, il y a des codes secrets permettant d'arriver à des fonctions cachées, permettant souvent de modifier les résultats (par exemple le poids indiqué par un appareil de pesée industrielle). Ce ne serait nullement impossible que cela arrive également pour les ordinateurs de vote, d'autant plus que "le client est roi", et pourrait exiger de fournir discrètement cette fonctionnalité essentielle sous peine de ne pas acheter la machine.

3) on parle principalement du problème de l'honnêteté du vote. Mais le problème est pire encore si l'on considère l'anonymat du vote. En effet, il est strictement impossible de s'assurer qu'un ordinateur n'a pas enregistré certaines informations (ce qui fait le malheur de la CNIL: on ne peut jamais être sûr qu'un fichier a été détruit, car il est facile d'en faire une copie sans le dire à personne). Il est très facile par exemple d'enregistrer l'heure et le choix de chaque électeur: ainsi les personnes présentes dans le bureau de vote peuvent, a postériori, vérifier que tel électeur qui a voté à 10h03 a bien voté pour le maire sortant comme il l'avait promis en échange d'un emploi à la mairie ou d'un logement HLM. L'anonymat du scrutin, l'interdiction de prendre un unique bulletin de vote, le passage obligatoire par l'isoloir, tout ceci a été instauré pour une excellente raison qui est de rendre impossible ce genre de pression.

4) la question des perturbations électromagnétiques est plutôt plus gênantes pour les appareils modernes, en particulier à cause des écrans à haute définition (écran cathodique ou écran LCD), qui émettent des rayonnements radio assez forts à haute fréquence. Il est connu depuis longtemps que l'on peut détecter à plus 10 mètres l'image affichée sur un écran cathodique: c'est entre autres pour cela que les mots de passe s'affichent toujours avec des étoiles ******. Or il est indispensable que la machine indique "vous allez voter pour Untel, appuyez ici pour confirmer et là pour modifier", ce qui rend le problème parfaitement réel.

Par conséquent, la seule méthode garantissant le vote honnête et anonyme, c'est le vote papier, vérifié par les électeurs.

Le coût du vote papier est plus faible que le vote électronique.

Le papier gaspillé en bulletins est bien faible par rapport à toute la propagande électorale, et si l'on voulait vraiment le réduire on pourrait diminuer la taille des bulletins, ou bien instituer un bulletin unique sur lequel l'électeur coche son choix: de nombreux pays utilisent ce système. Mais de toute façon, un bout de papier, cela est toujours bien moins polluant qu'un ordinateur rempli de produits toxiques!

Pour un vote vraiment commode, il faudrait carrément opter pour le vote à distance, par internet: les Suisses ont expérimenté cela pour certains référendums locaux (début 2020, il n'existait plus de vote électronique en Suisse mais la question restait à l'étude). Mais il faut comprendre que dans ce cas l'anonymat est impossible à vérifier, et donc renoncer ouvertement à l'anonymat. Ainsi le vote peut être honnête, car chacun serait capable de vérifier que son vote a bien été pris en compte de la façon qu'il souhaitait. C'est le principe des votes au parlement: le vote de chaque député est public, on peut donc utiliser une procédure électronique car toute tentative de fraude serait immédiatement dénoncée par les députés qui en seraient victimes. Mais pour les élections politiques, le risque de pression est trop élevé pour un vote non anonyme: ceci n'est valable que pour des référendums d'initiative locale pour lesquels tous les partis en présence estimeraient que l'anonymat n'est pas indispensable.

Pour tricher vous-mêmes

Il est facile d'écrire un logiciel de vote qui semble fonctionner parfaitement, mais qui a en outre la capacité de tricher, à l'insu de quiconque n'est pas au courant de cela.

Avec un logiciel en mode texte

J'ai écrit ce petit logiciel constitué d'un unique fichier, vraiment très petit et très simple (500 lignes de programme en shell Unix, en l'occurrence "bash") qui simule une telle machine à voter dotée d'un logiciel capable de tricher, et dont la triche serait indétectable vue les méthodes de vérification en vigueur (essai sur quelques votes juste avant l'élection). Pour convaincre vos interlocuteurs!

Sous Linux, l'installation est triviale: copiez le fichier dans un répertoire, rendez-le exécutable (chmod a+x nedap.sh), et lancez dans un terminal (./nedap.sh). Les messages qui apparaissent en rouge sont ceux qui, sur une vraie machine truquée, n'apparaîtraient pas.

Sous Windows, Microsoft propose le shell "bash" (Programmes et fonctionnalités, Activer ou désactiver des fonctionnalités de Windows, cocher "Sous-systèmes Windows pour Linux"). Il suffit alors de lancer le shell "bash.exe", puis à partir de là aller dans le répertoire (avec "cd") puis lancer le programme (./nedap.sh). Si cette méthode de fonctionne pas, il existe divers émulateurs Unix pour Windows, tels que Cygwin (malheureusement très très lourd), ou MSYS (plus léger et rapide mais moins connu). À réserver à des personnes averties.

Sous MacOS, le programme devrait marcher sans difficulté (à lancer en mode console) car MacOS est basé sur Unix et "bash" est disponible. Cependant Apple a annoncé sa disparition et son remplacement par "Zsh". Me contacter en cas de nécessité.

Avec une application web

Plus convivial (mais également plus complexe) que le logiciel en mode console, j'ai fait un logiciel similaire en Javascript.

Il suffit d'un navigateur web pour le faire fonctionner: cliquez ici pour accéder à une page web où vous pourrez voter (et tricher)!

Comme pour le logiciel précédent, tout est inclus dans un unique fichier, afin d'être plus facile à sauvegarder et à faire fonctionner hors connexion.

Liens indispensables

Ordinateurs-de-vote.org: le site de référence en France

Wijvertrouwenstemcomputersniet.nl: l'association hollandaise «Nous ne faisons pas confiance aux ordinateurs de vote», qui a réussi à faire interdire ces machines qui étaient utilisées par 90% des électeurs hollandais.

Le rapport du Sénat: sorti en septembre 2007 et donc avant le retrait des machines hollandaises, il montre déjà les faiblesses et la perte de confiance dans les machines à voter.

Un article de Politis: de novembre 2007, il fait suite au retrait des machines à voter en Hollande

Villes-internet.net: cette association d'élus a publié, le 9 octobre 2007, un article qui note le "désengagement en Europe en matière de vote électronique"

NEDAP (election.nl) : le site du constructeur des machines NEDAP.
    France-Élection: le distributeur de NEDAP en France

Infos locales, contacts

L'auteur de cette page:


page perso: http://mjulier.free.fr

Les machines NEDAP sont utilisées entre autres à Palavas-les-Flots, et j'ai eu l'occasion à plusieurs reprises d'informer le maire de Palavas, Mr Christian JEANJEAN, des problèmes que posent ces machines.

Une association de Palavas, "ensemble passionnément pour Palavas", demande le retrait de ces machines et fait signer une pétition:
http://palavas.blog4ever.com/blog/lirarticle-51520-717434.html

Lors des présidentielles de 2007, et alors que j'avais préalablement alerté le maire sans succès, je m'étais rendu au bureau de vote pour dénoncer les irrégularités. Le président du bureau de vote m'avait refusé le droit de signaler sur le registre les irrégularités que j'avais repérées: ceci est une très grosse irrégularité, capable d'annuler un vote (hélas je n'étais pas accompagné d'un huissier). Une journaliste de Libération était présente et a fait un article sur cet épisode: lire l'article de Libération. Cependant, le résultat n'a pas été affecté: les différences de voix entre les candidats étaient suffisantes pour ne pas modifier le résultat quand bien même 100% des machines à voter auraient été piratées.

Lors des législatives de 2007, toujours aucune réponse de Mr Christian JEANJEAN. Le soir des élections, je constate que le résultat est susceptible d'être contesté: dans la 1ère circonscription de l'Hérault, le candidat UMP a été élu, entre autres grâce aux voix des électeurs de Palavas. Or Palavas voté fortement à droite: si Palavas avait voté aussi fortement à gauche, le candidat PS aurait été élu. Mais seuls les candidats malheureux ont le droit de contester une élection. J'ai donc soumis la question au candidat PS malheureux, Mr Michel GUIBAL, et à son équipe. Mais pour une raison que j'ignore, Mr Michel GUIBAL n'a pas souhaité faire valoir son droit à contester sa défaite, malgré les éléments que je lui proposais.

Lundi 3 mars 2008, 6 jours avant le premier tour des municipales et des cantonales, Mr Christian JEANJEAN était invité sur la radio France-Bleu Hérault. J'ai profité de l'émission "La ligne ouverte" pour l'interpeler au sujet des machines à voter. Ses réponses se résument ainsi:
J'ai donc appelé le secrétariat de Mr Jeanjean à la mairie de Palavas pour demander un rendez-vous.
Le mardi 4 mars, on m'a assuré que j'aurais une réponse "rapidement". Rien n'est venu.
Le jeudi 6 mars matin, on m'a assuré que j'aurais une réponse "avant midi". Rien n'est venu.

Fin 2009, les machines à voter se sont retournées contre Mr Jeanjean: candidat à l'investiture de l'UMP pour les élections régionales, il a subi un échec cuisant lors du vote interne à l'UMP... vote électronique évidemment! Et Mr Jeanjean de contester sa défaite devant les tribunaux, en arguant du fait que le vote électronique n'était pas fiable, que les électeurs avaient voté pour lui mais que l'UMP avait trafiqué les résultats, etc... Les machines à voter électroniques seraient donc dangereuses à Paris mais dignes de confiance à Palavas?

En mars 2010, à l'occasion du 2e tour des régionales, j'ai pu interpelé Mr Jeanjean devant les machines à voter, lui exposer toutes les raisons pour lesquelles il fallait les retirer, et écouter les arguments qu'il m'apportait en réponse. Je lui ai ensuite envoyé, pour chacun de ses arguments, la preuve qu'ils n'étaient pas recevables, dans une lettre détaillée (avec copie à la Préfecture et au Ministère de l'Intérieur). Sa réponse a été laconique: «nous sommes satisfaits de ces machines, ne m'importunez plus».

Je constate donc que Mr Jeanjean dispose de tous les arguments lui permettant de connaître la possibilité de fraude avec les machines à voter électroniques, que lui-même s'en dit victime, et qu'il continue pourtant à maintenir ces machines en service à Palavas. Pour quelle raison agit-il ainsi? Il ne s'agit certes plus de naïveté.

Loin de moi l'idée d'accuser Mr Jeanjean de fraude électorale, cependant son obstination en dépit de tous les arguments irréfutables, en dépit même de sa conviction personnelle (si l'on croit son attaque contre le vote électronique interne à l'UMP), ne peut que nous troubler. En effet, si un maire décidait d'utiliser des machines à voter électroniques pour manipuler le résultat d'une élection, il ne se comporterait pas différemment de Mr Jeanjean.

J'ai donc envoyé à la presse et aux partis politiques ce communiqué (24 avril 2010).

En 2012, pour les élections législatives, j'ai abondamment exposé la question, une fois de plus, à Christian Jeanjean, qui a fait preuve de sa mauvaise foi. J'ai préparé un recours contre son éventuelle victoire. Mais ce recours n'a pu être déposé, car Christian Jeanjean a perdu, par 100 voix d'écart, contre Jean-Louis Roumègas (Verts). Fin octobre 2012, le Conseil Constitutionnel, saisi par Christian Jeanjean, a confirmé la validité de l'élection de Jean-Louis Roumègas, aussi le recours que j'avais préparé ne sera pas déposé.

En 2014, les machines à voter électroniques ont à nouveau été utilisées pour les élections municipales. La réélection de Christian Jeanjean été contestée par deux listes adverses, et le Tribunal Administratif de Montpellier a prononcé, le 17 juin 2014, l'annulation de l'élection. L'une des listes avait notamment soulevé des motifs liés à l'utilisation des machines à voter, mais le tribunal a regroupé les deux contestations et n'a pas eu besoin d'examiner ces motifs pour conclure à l'annulation de l'élection (ceci s'appelle «l'économie de moyens»: le tribunal administratif n'examine pas nécessairement pour les arguments avancés par les parties, dès lors qu'il a suffisamment d'éléments pour accepter ou pour rejeter les demandes qui lui sont faites).
Fait à l'aide du programme prehtml - Hébergement et statistiques: