Numerama publie le projet de Guide de configuration des plateformes en ligne réalisé par Atos et Scytl pour l’organisation du vote électronique aux élections législatives de et . Il décrit toute l’infrastructure technique prévue pour l’hébergement du service de vote par internet.
Bien qu’il s’agisse d’un scrutin essentiel pour la vie publique, le Ministère des Affaires étrangères et européennes (MAEE) a fait preuve d’une opacité troublante dans l’organisation du premier vote par internet pour des élections politiques en France, à l’occasion des élections législatives de et . En particulier, le rapport d’audit commandé à la société ALTI pour étudier la sécurisation du scrutin n’a pas été rendu public, pas plus que les documents échangés entre le MAEE et la société ATOS, chargée d’héberger la solution fournie par l’espagnol Scytl.
Numerama a obtenu un document, daté du , qui apparaît être la première version de l’infrastructure technique proposée par Atos pour l’hébergement de la solution de vote électronique. Nous ne savons pas si, entre ce document et l’ouverture du bureau de vote électronique, d’autres versions ont été réalisées après réception des remarques du MAEE, ni donc quelles sont les éventuelles modifications substantielles apportées.
Le document de 45 pages décrit avec précision la configuration des serveurs prévus à date de réalisation de cette version 0.0, les systèmes de firewall envisagés, les besoins en bande passante estimés, les URL configurées, les procédures de sauvegarde, de surveillance, etc. Il s’agit d’un document confidentiel, mais dont le caractère sensible est levé par la fin du vote.
Les experts en sécurité y trouveront sans doute des choses pertinentes à analyser (par exemple, il n’était prévu qu’un seul niveau de redondance des infrastructures, ce qui paraît léger pour une infrastructure aussi sensible). Le plus intéressant, à nos yeux, sont les tableaux qui montrent les demandes du MAEE, et les réponses formulées par Atos pour dire s’il s’y conforme ou non. On voit par exemple que le ministère demandait si le pare-feu prévu contient un module de protection contre les attaques en déni de service
, et qu’Atos explique qu’il n’y a pas de protection spécifique contre les DDOS. De même, le ministère demandait un dispositif de centralisation des traces en provenance de l’ensemble des équipements constituant la machine de vote
, ce qu’Atos semble refuser. L’hébergeur a aussi jugé inutile l’installation d’un anti-virus sur les serveurs sous Linux, ou la protection logique de l’intégrité du BIOS.
Mais le plus surprenant est la dernière ligne du document. Les recommandations décrites dans le guide de l’ANSSI doivent être respectées
concernant la protection physique des serveurs, rappelait le MAEE. Réponse d’Atos : Non. À vérifier
.
Espérons que ce point a effectivement fait l’objet d’une vérification et d’une éventuelle mise à niveau lors des versions suivantes du document. Car le ministère a affirmé que le système avait été audité et validé par l’Agence Nationale de Sécurité des Systèmes de l’Information (ANSSI), mais il n’a pas rendu public le résultat de cet audit.