Des failles de sécurité découvertes dans le vote par internet aux législatives
L’examen de l’application de vote par internet que 700 000
électeurs peuvent utiliser depuis mercredi pour les élections
législatives révélerait la présence de failles de sécurité qui
compromettent la confidentialité, voire l’intégrité du vote.
… qui compromettent la confidentialité, voire l’intégrité du vote.
Mercredi, le ministère des affaires étrangères a ouvert la plateforme
de vote par internet pour les électeurs établis hors de France, qui
sont encouragés à voter à distance pour les 11 députés des
circonscriptions des Français de l’étranger. Numerama a déjà fortement
critiqué le dispositif, en faisant remarquer que l’arrêté ministériel
encadrant le vote par internet relevait d’une négligence ahurissante, ou
en s’indignant de ce que le gouvernement a refusé que les délégués
pourtant désignés par les candidats aux Législatives pour contrôler le
vote aient accès au code source de la plateforme (laquelle a été
sous-traitée auprès d’une société privée espagnole).
… le gouvernement a refusé que les délégués pourtant désignés par les candidats aux Législatives pour contrôler le vote aient accès au code source de la plateforme (laquelle a été sous-traitée auprès d’une société privée espagnole).
Les premiers éléments semblent prouver qu’il est possible
d’intercepter les données d’un vote lorsque le HTTPS n’est pas activé,
ce qui est autorisé par l’application malgré la position de la CNIL qui
avait demandé que le HTTPS soit exigé pour garantir la confidentialité
du vote.
L’algorithme de chiffrage du bulletin reposerait en effet sur des données transmises au navigateur, donc faciles à découvrir, à l’exception du mot de passe de l’électeur. Cependant celui-ci n’est composé que de six caractères alphanumériques en minuscule, ce qui rend sa découverte par « bruteforce » relativement aisée. Un hacker pourrait ainsi découvrir les identifiants de l’électeur par une attaque dite de « man in the middle ».
L’algorithme de chiffrage du bulletin reposerait en effet sur des données transmises au navigateur, donc faciles à découvrir, à l’exception du mot de passe de l’électeur. Cependant celui-ci n’est composé que de six caractères alphanumériques en minuscule, ce qui rend sa découverte par « bruteforce » relativement aisée. Un hacker pourrait ainsi découvrir les identifiants de l’électeur par une attaque dite de « man in the middle ».
Selon ces experts, la façon dont le code de l’applet Java est rédigé poserait aussi de sérieux doutes sur les compétences des auteurs du système de vote.
Or même à considérer que l’applet serait parfaitement sécurisée, le
problème reste entier s’agissant du serveur sur lequel sont recueillis
les bulletins. L’opacité du traitement des bulletins étant déjà totale,
il est difficilement admissible d’avoir ne serait-ce que des doutes sur
la sécurité des données stockées dans les serveurs espagnols.
Invitation to join us, every year, two periods, either March or August-September.
The next week of study in 2012 will be held in Rougemont, Canada in four languages from August 22 up to the 31 followed by the Congress in September 1-2-3, with a pilgrimage on September 4.
So there must be at least one trip from August 21 to September 5.
Free meals and rooms for all our guests from countries outside of Canada.La prochaine semaine d'étude 2012 aura lieu à Rougemont au Canada en 4 langues du 22 au 31 août suivie du congrès les 1-2-3 septembre, avec un pèlerinage le 4 septembre. Donc il faut prévoir un voyage au moins du 21 août au 5 septembre. Repas et couchers gratuits pour tous nos invités des pays hors du Canada.
http://desiebenthal.blogspot.
Aucun commentaire:
Enregistrer un commentaire