Il y a quelques années, j'avais échangé des courriels avec un ingénieur d'une entreprise installant des ordinateurs de vote. Celui-ci m'avait expliqué, en substance, que je me mêlais d'affaires qui ne me regardaient pas puisque l'homologation de ces dispositifs est assurée par le Ministère de l'Intérieur, le tout assorti de plaisanteries sur les chercheurs qui cherchent. Il semblait ignorer que « La Société a le droit de demander compte à tout Agent public de son administration. », ce qui me semble impliquer que le citoyen a le droit de demander sur quelles bases le Ministère de l'Intérieur prend ses décisions, et que par ailleurs « Les personnels de la recherche concourent à une mission d'intérêt national. Cette mission comprend : le développement des connaissances […], la diffusion de l'information et de la culture scientifique et technique dans toute la population […], l'expertise scientifique. ». Toutefois, son attitude m'a semblé très représentative d'une tendance de certains milieux industriels à la morgue et à la suppression des discours critiques de leurs choix technologiques. Cela m'a paru assez effrayant, s'agissant d'enjeux politiques importants.

On me reprochera peut-être d'être paranoïaque et de voir le mal où il ne l'est pas. Hélas, les précédents de certains « professionnels de la sécurité » doivent nous inciter à une saine méfiance. Voyons donc quelques exemples.

Comme l'a rappelé hier (à ITP 2011) mon collègue Bart Jacobs, la société néerlandaise NXP (anciennement partie de Philips) a longtemps commercialisé une « carte à puce » à la sécurité déficiente, la MIFARE classic. Celle-ci a cependant été massivement déployée dans des systèmes de transport publics ou dans des contrôles d'accès à des bâtiments. Il est intéressant d'identifier les raisons de ces déficiences.

  1. Certains paramètres de sécurité avaient été limités pour des raisons de coût de fabrication des circuits quand le dispositif avait été initialement conçu dans les années 1990. Ces choix se justifiaient sans doute, mais ce qui était sans doute moins excusable était de ne pas avoir prévu la possibilité d'aller vers une sécurité améliorée lorsque l'état de la technologie aurait permis de le faire à un coût acceptable.

  2. Indépendamment de ces limitations de taille, l'algorithme de chiffrement utilisé souffrait de plusieurs faiblesses qui aurait été identifiées s'il avait été examiné par des professionnels de la cryptographie. Apparemment, l'entreprise comptait compenser ces faiblesses en gardant secrète la description de l'algorithme (sécurité par l'obscurité), ce qui a fonctionné jusqu'au jour où quelqu'un a analysé le fonctionnement de la carte et extrait l'algorithme. Là encore, cela ne correspond pas aux bonnes pratiques conseillées en matière de cryptographie.

La suite est à la fois amusante et édifiante. L'équipe de mon collègue Jacobs a découvert comment cloner les cartes MIFARE Classic, et plus généralement comment fabriquer de fausses cartes reconnaissables par les dispositifs de lecture ; autrement dit, comment fabriquer de fausses cartes de transport public et d'accès aux bâtiments. Ils ont averti la société NXP et les pouvoirs publics, en leur laissant un certain délai avant la publication de leurs résultats dans une conférence scientifique ; c'est pratique courante en matière de sécurité informatique que de laisser aux concepteurs ou fabricants du produit défectueux de réagir, avant publication de l'information. La réaction de NXP ? Ils ont tenté, sans succès, d'obtenir de la justice néerlandaise qu'elle interdise cette publication au motif qu'elle serait « irresponsable ».  :

Nous avons ainsi l'exemple d'une entreprise qui vend un produit mal conçu et qu'on n'a pas fait évoluer, et qui préfère réclamer la censure de publications scientifiques plutôt que d'admettre ses erreurs. Nous pourrions croire qu'il s'agit d'un cas isolé...

L'ingénieur Serge Humpich avait découvert une grave faille de sécurité dans le système des cartes bancaires françaises, faille permettant de créer des cartes acceptées par les terminaux des commerçants, mais non liées à un compte bancaire réel — autrement dit permettant de payer des achats sans rien dépenser. Il est intéressant de constater que là encore, le système avait une sécurité faiblement dimensionnée en raison de limitations techniques, mais qu'on n'avait pas augmenté ce dimensionnement à mesure que ces limitations disparaissaient, et qu'au contraire on s'était reposé sur la « sécurité par l'obscurité ». M. Humpich a averti le GIE Cartes Bancaires de sa découverte. La riposte n'a pas tardé : il a été poursuivi et condamné pour piratage informatique et contrefaçon.

Il est donc pour moi assez probable que si l'usage des ordinateurs de vote venait à se généraliser, et qu'une personne découvrait un problème de sécurité dans ces dispositifs ou dans leur déploiement et voulait en alerter les citoyens, on tenterait de la faire taire, au besoin par des moyens judiciaires ou par intimidation. Circulez, il n'y a rien à voir ni à dire. D'ailleurs, comme je l'avais relevé dans mon rapport au Forum des droits sur Internet, la norme fixant les conditions d'agrément des machines à voter électroniques se préoccupait fort peu de sécurité...