Plusieurs lecteurs se sont déjà demandés d’où venait le nom de ce blog. Et bien historiquement (la DADVSI était alors en préparation…), c’est bien « tas de cons » que TDC était censé signifier. Je ne l’avais encore jamais utilisé directement, mais ce soir je crois que le moment est plutôt bien choisit.
Cette semaine, Numérama avait publié un article et surtout un document accablant De quoi s’agit il ? Ce document, que vous pouvez aussi plus simplement visualiser ici, contient les spécifications techniques détaillées et les réponses apportés par ATOS à propos des mesures de sécurité des serveurs utilisés pour le vote électronique. (pour les français habitants à l’étranger dans un premier temps, et bien sur pour notre gueule dans un second).
Le vote électronique… Cette merveilleuse invention qui doit probablement donner envie de vomir à tous les informaticiens de la planète. (Quand je dis « informaticien, je pense bien sur aux gens qui comprennent un minimum comment fonctionne un ordinateur. Je préfère préciser parce que… bref). Il y a des choses comme, au hasard, le pilotage de navette spatiale, la sécurité des centrales nucléaire, ou donc le vote électronique, ou on pourrait espérer qu’un minimum d’efforts soient fait en terme de sécurité non ?
Et bien ce document prouve que c’est précisément tout le contraire. Atos à fait exactement tout ce qu’il ne faut pas faire, à commencer bien sur par s’en tenir à cette vieille croyance idiote que c’est en gardant un truc secret qu’on le protège. Allo les gens ? On est en 2012 ! Les logiciels libres, avec un code source OUVERT ET VISIBLE DE TOUS, sont infiniment plus sécurisés que les conneries propriétaires. Allez, je copie une ligne pour éviter aux plus feignants de tout lire : « Scientific research has proven the open source model to be more effective in removing bugs from software, even when the quality of the programmers is lower than in a closed system. The research « shows that closed-source projects are always slower to converge to a bug-free state than bazaar open-source projects. ». Si vous arrivez toujours pas à comprendre ça, suicidez vous, au moins changez de métier.
Bon, ça c’est un bon rappel, mais ce n’est pas ce qui m’a fait sauter au plafond en lisant ce bidule « strictement confidentiel ». Parce qu’il y a quand même du lourd dedans. On y apprend par exemple que les serveurs utilisent une ancienne version de Redhat (arg…). Que non, il n’est pas question de mettre à jour la version d’openssl parce que, je cite, « Le changement de version de librairie nécessiterai la recompilation de nombreux composants ». Gasp. Et le reste de l’OS ? Pareil. Ce sera pas à jour. Pensez vous.. Une boite de cette taille, ça s’amuse pas à faire des mises à jour tous les quatre matins hein… Il faut que tout soit « industrialisé », homogène, automatique et … complètement dépassé. Ce document nous apprend également qu’aucune des recommandations des organisme de sécurité (SANS, NIST, SNAC…) ne seront appliqués. Les procédures internes « standard » seront bien suffisante. Et comment en douter un seul instant, quand on lis un peu plus bas que des sauvegardes seront faites via… TFTP !
La seule chose qui tourne en boucle dans mon cerveau depuis une demi heure c’est.. TAS DE CONS.
Et j’inclus dans ce tas tout ceux qui, malgré les explications qu’on leur donne, continuent de penser que le vote électronique est une bonne idée. Je ne dis pas que c’est totalement in-envisageable à long terme. Je ne dis pas que le numérique est forcément l’ennemi de la démocratie. Mais pour que l’informatique puisse rendre service à l’humanité dans ce domaine (démocratie liquide…), il faudrait au minium :
- Que le procédé soit totalement décentralisé afin de rendre quasiment impossible la fraude, et plus particulièrement la fraude massive
- Que toutes les briques logicielles utilisées soient entièrement open source, afin que chacun puisse les vérifier et recompiler le logiciel si il le désire, sur la plate-forme de son choix
Bref, exactement tout le contraire de ce que les « puissants » tentent actuellement de nous imposer. Je voudrai attirer votre attention sur une dernière information également trouvée dans ce document : Aucune protection n’est mise en place contre les attaques par deni de service (DDOS). Si le système était rendu totalement inutilisable pendant les heures « d’ouverture » du « bureau de vote », je pense que ce serai un message assez clair envoyé à nos abrutis de dirigeants…
EDIT :
L’article que Numerama avait publié est encore dans le cache de google, à voir ici : https://webcache.googleusercontent.com/search?q=cache:http://www.numerama.com/magazine/22959-document-la-securisation-du-vote-electronique-aux-legislatives.html
En continuant à lire le pdf, je m’aperçoit que j’avais raté des trucs…. Comme à la page 28 par exemple, ou on trouve la liste des logiciels supprimés. J’avoue que je serai assez curieux de savoir ce qui à conduit à la suppression de … syslog ! En tout cas cela explique au moins en parti pourquoi ils ne sont pas fichu de centraliser leurs logs 🙂
Bonsoir,
Comme d’habitude c’est toujours agréable de te lire, je viens de récupérer le document au cas où il disparaitrait du Web. Tout comme toi je trouve que le vote électronique n’est pour l’instant pas une bonne idée. Je pense que ça serait peut-être envisageable s’il n’y avait que des logiciels libres à jours qui seraient utilisés, avec recompilation du code source obligatoire sous la présence de la CNIL par exemple ou mieux du public directement. Ensuite après cela il faudrait enfermer le serveur avec plusieurs serrures dont il faudrait toutes les clés pour l’ouvrir. Mais bon le problème c’est que le gouvernement n’a pas voulu s’embêter ils ont fait appel à une société privée, de toute façon on ne peux pas s’attendre à grand chose de la part de nos élu qui ne comprennent pas forcément bien Internet.
En revanche (bon c’est un peu hors sujet) je ne suis pas tout à fait d’accord sur le fait que logiciel propriétaire = « truc pourri ». Personnellement je préfère et j’utilise Windows bien que j’aime Linux aussi. Je pense que chaque solution a ses avantages et ses inconvénients et qu’ils faut les utiliser dans les cas qui conviennent le mieux en prenant en compte : la sécurité, la facilité d’utilisation, la compatibilité etc…
Pour finir je te remercie pour cet article. Chaque jour je pense également à ouvrir un blog mais j’hésite car ça demande de l’investissement et aussi j’ai des opinions qui ne sont encore tabous dans la société donc bon j’hésite.
Je ferais remarquer concernant le logiciel libre que Linux est rempli de bugs ou de backdoors, mais que personne ne s’en préoccupe car la part d’utilisation est mineure (sauf sur serveur où des distribs corrigent ces problèmes). Garder ouvert ne permet pas de mieux sécuriser, mais de trouver plus rapidement des backdoors.
PAR CONTRE… Si Atos s’était mis au travail il y a plusieurs années, avait utilisé un bête système PHP compatible partout (sauf Minitel), libéré après des tests _intensifs_, non seulement les failles seraient mineures, puisque retravaillés, mais les développeurs du monde entier en tiraient profit, non seulement pour utiliser une version performante et stable d’un vote électronique, mais aussi pour corriger les bugs découverts. Atos deviendrait alors comme Canonical ou Automattic une société de support, presque obligatoire pour une « entreprise » aussi grande que la France.
PS : Je viens de découvrir ton blog, bravo !
@Vincent : Je n’ai pas dit que les logiciels propriétaires étaient tous forcément pourri. J’ai dit qu’en matière de sécurité, les développement open sources étaient meilleurs, et que cela était scientifiquement démontré . Je suis aussi entièrement d’accord sur le fait qu’il faut s’adapter et utiliser l’outil le plus approprié au besoin. Si tu veux jouer au dernier diablo, prend windows. Mais si tu veux faire un truc un peu sérieux, mieux vaut utiliser un OS sérieux :p
@Hadrien01 : Les logiciels libres contiennent effectivement au départ un grand nombre de bugs. (Mais ce nombre diminue beaucoup plus vite que si le développement était propriétaire). Par contre, des backdoor !? Franchement, c’est rarissime ! Si tu as des exemples à me fournir, vas-y. Au contraire des softs sous windows ou la, effectivement, les malwares pullulent.
PS : Ce billet n’était vraiment pas la pour lancer une guère trollesque entre windows et linux mais bon… Si vous voulez me lancer la dessus, pas de soucis. Ca fait 7 ans que je répond (entre autre) à ce genre de chose sur ubuntu-fr, alors je commence à avoir un peu de matière sur le sujet :p
(Je crachai d’ailleurs sur Windows bien avant cela, quand j’étais sous BeOS et encore avant sous AmigaDos…)
@Hadrien01 : c’est quoi ta source pour les bugs et les backdoors ?
moi qui ne connait pas les détails des différences entre ces distributions, ont elles des failles connues ? dois-je en conclure qu’en pratique, ce que ça signifie c’est que les votes electroniques n’ont pas été suffisamment protégés et/ou ont potentiellement été falsifiés ?
Il y a une sorte de protocole de décompte non ? Ca marche comment, c’est quand meme pas la boite elle-même qui compte les voix, si ? (gasp!)
Je m’étais pas questionné sur la vitesse de résolution des bugs, mais ça doit certainement être vrai. Quand on y pense, c’est logique. Comme Wikipédia, un pro visite et voit une erreur, il soumeet tout de suite une correction. Résultat, Wikipédia est l’encyclopédie la plus fiable d’après certaines études.
Je ne suis pas là pour cracher sur le libre, loin de là. Où en seraient Apple, Microsoft, et Google sans le libre ? Cependant, j’ai l’impression de voir de plus en plus d’articles concernant des backdoors sur Linux :
2010 : http://www.pcworld.com/businesscent…
2011 : http://www.securitytube.net/video/6…
Et surtout la grosse affaire récente sur OpenBSD (oui, je sais, OpenBSD != Linux) http://www.linuxjournal.com/content…
Tous les systèmes ont des backdoors (Mac OS X en est truffé, Microsoft doit corriger une dizaine de zero days par mois), mais j’ai l’impression qu’on en trouve de plus en plus.
Après, pour en revenir à Atos, ils avaient qu’à faire leur boulot. Un logiciel ne se conçoit pas en quelques semaines grâce à un stagiaire (le patron d’Atos a totalement restructuré leur siège social, c’est un bazar pas possible).
@ antoine : Non, on dévie. Les failles sur le système de vote viennent de l’applet Java (une sorte d’ActiveX multiplateforme pour faire TRÈS simple), et non pas de Linux. J’ai parlé de Linux à cause de l’affirmation « Les logiciels libres, avec un code source OUVERT ET VISIBLE DE TOUS, sont infiniment plus sécurisés que les conneries propriétaires » qui ne me paraît que partiellement juste.
Le protocole automatique de décompte n’a pas fonctionné pour le deuxième tour, il y a un bulletin qui ne correspond à rien (http://www.numerama.com/magazine/22…). C’est le serveur qui devrait le faire automatiquement, après que les CD-roms (!) aient centralisé toutes les données.
@ antoine
Pour le moment cela signifie simplement qu’Atos n’a pas l’intention de prendre des mesures particulières, et qu’ils considèrent qu’il s’agit la d’une application comme une autre ou presque. La seule brique de sécurité implémentée est l’usage de AIDE, un concurrent de tripwire, ce qui de mon point de vue n’offre qu’une protection minimaliste. Des gens sérieux auraient pris beaucoup plus de mesure que ça. Ils auraient utilisées des firewall applicatifs de niveau 7 (WAF), ils auraient utilisés un OS durci (SE Linux etc). La rien. Ils prennent leur distribution habituelle, développent(?) un truc vite de type usine à gaz (tomcat + oracle pour un simple vote electronique !?) et basta.
La seule chose que ce document permet de conclure c’est qu’Atos en à rien à battre de ce que représente un vote. Après il y a sûrement des systèmes bien mois sécurisés ailleurs (comme l’était le PSN de sony au pif 😉 Globalement, il faut aussi comprendre que le problème ne viendra pas forcément de leur serveur. Il sera probablement beaucoup plus facile d’attaquer le navigateur du client. Car au delà des sécurités mises en place (tout juste moyennes chez Atos, alors que le sujet méritait beaucoup mieux) c’est surtout le principe du vote électronique « secret » et centralisé qu’il faut combattre.
Des dizaines de personnes ont accès à ces serveurs, et aux équipements réseaux qui sont autour. Un logiciel qui écouterai (ou transformerait) les votes et qui serait mis sur l’un de ces équipements ne serait jamais détecté. Après il faut aussi voir ou se termine les connexions SSL etc (j’ai pas creusé) Bref, les votants devront : Faire confiance à leur propre ordinateur (beaucoup moins facile qu’il n’y parait) et à des dizaines d’inconnus… Sans oublier qu’après le vote personne ne pourra jamais vérifié si son vote à été pris en compte correctement.
@Hadrien01
Tu confond bug et backdoor. Un bug provoque une faille applicative, qu’il est possible d’exploiter pour installer une backdoor. Mais la backdoor n’est pas présente de base dans le produit ! Les liens que tu me donne ne sont que des bugs qui n’étaient pas du tout intentionnels (et le développement de codes permettant d’utiliser ces bugs pour exécuter du code n’a rien de trivial, tu peux me croire, cf mon billet précèdent). Quand on parle de backdoor, on parle d’une fonctionnalité cachée déjà bien présente. Comme dans les logiciels de VOIP pour permettre aux services secrets américain de déchiffrer les conversations etc. La c’est une fonction cachée mais qui existe. Ce n’est pas un bug involontaire qu’il faut réussir à exploiter. Rien à voir 🙂
Comme d’habitude, les « puissants » (comme tu les nommes [HS] et qui bien qu’ils soient « puissants » ici bas seront à n’en pas douter tout petits et bien faibles ailleurs…) n’ont que faire des préoccupations/inquiétudes des petites gens que nous sommes dans la mesure ou ça sert/servira leurs intérêts personnels…
Et contrairement à vous j’ai vraiment hâte que ce dispositif soit mis en place, qu’est-ce qu’on va se marrer !
merci pour vos réponses. Je suis intrigué par ce que tu dis sur :
» c’est surtout le principe du vote électronique « secret » et centralisé qu’il faut combattre. »
Pour le côté décentralisé, je comprends bien, mais pour le vote secret, c’est quand meme plutot une bonne chose non ?
Comment imaginer un système de vote décentralisé ? Y a-t-il des gens qui se penchent sur ce genre de sujets ? Je suis tout à fait d’accord pour la promotion d’un système transparent, mais à mon avis ça doit pas être trivial
Ce qui doit être entièrement transparent, ce sont les outils utilisés pour le vote, pas le vote lui même bien sur 🙂 Bref, essayer de cacher quels sont les logiciels etc utilisés sur les serveurs de vote, c’est une connerie. Par contre, il est bien évident que ton vote lui doit etre secret, ce n’est évidement pas ce que je remet en cause !
Maintenant la question intéressante… Comment concevoir un système de vote décentralisé et sécurisée. Effectivement, ce n’est clairement pas trivial. Mais bien que ce ne soit pas simple, je suis persuadé que c’est tout à fait réalisable. Après tout, le fonctionnement de bitcoin (système bancaire permettant les transactions entre internaute etc) fonctionne sur ce principe de décentralisation totale et de fonctionnement en P2P. Donc, c’est possible.
Et tout ça sans compter le ministère des affaires étrangères, qui recommandait de désactiver son antivirus !O_O!
Pour ma part, le vote électronique, je n’y crois presque pas : même si le serveur est bien sécurisé, les failles proviendront des clients. En supposant que ce type de vote se généralise, on assistera à l’apparition d’une flopée de virus destinés à ce domaine.
Et dans un futur lointain ? Quand Unix aura vaincu windows, qui sait ? Avec tout le monde sur une Live USB d’openBSD bloquée en écriture ? Même alors…
Il faut voir aussi qui est sur le coup : l’issue d’un vote peut intéresser le gouvernement d’autres pays…
Pour l’histoire des backdoor OpenBsd, je rappel que les dév ont fait un audit de code, et qui rien n’a été trouvé. C’était juste du bruit pour rien cette histoire (ou confirmer la fiabilité du systéme.)
En tout cas le sujet passionne ! 🙂
Il est clair que le simple fait d’utiliser les logiciels libres ne suffit pas… …encore faut-il savoir les paramétrer correctement !
Et pour ceux que ça intéresse, un rapport sur une attaque du système de vote par Internet de Washington D.C. :
https://jhalderm.com/pub/papers/dcv…
Quand on voit ce qu’ils ont réussi à faire, alors qu’en plus la session d’attaque était organisée, il y a de quoi se poser des questions…
Logiciel libre… c’est vite dit… Oracle est pas franchement open source il me semble 🙂
Globalement, ce que Numerama voulait dénoncer (et je suis 100% d’accord avec eux), c’est cette volonté incompréhensible de dissimuler les « détails » de l’organisation du vote. Alors que, bien évidement, tous les moyens (techniques, organisationnels etc.) mis en œuvre pour organiser un vote quel qu’il soit devraient etre connus (et compris…) par les votants.
Comment réagirait les citoyens si au lieu d’une urne transparente, il fallait remettre son bulletin à une personne X ou Y ? Une personne qui prendrait le bulletin, le mettrai dans sa poche en disant « Pas de soucis, laissez moi faire, je m’occuperai de votre bulletin… »
C’est exactement ce qui est en train de se passer, et sous l’indifférence totale de 99% de la population. (Quand ce n’est pas carrément souhaité « cool, c’est plus simple sur ordinateur… ». Je me demande vraiment si ces gens réagiraient de la même façon si c’était un type qui passait prendre le bulletin directement chez eux. « Cool, quelqu’un qui se déplace jusqu’à chez moi, pas besoin de me déplacer… »
Tas de cons :p
PS : Pas encore eu le temps de lire ton doc, mais je vais évidement regarder 🙂
Je tombe par hasard sur ce fil. Non, le vote électronique ne convient pas au besoin de transparence et de fiabilité qui nous est du. C’est sûr. Mais traiter les gens de « tas de cons », est-ce vraiment la bonne méthode pour essayer de convaincre ceux-qui-n’y-connaissent-rien-et-qui-vont décider ?
Il va nous (informaticiens ouverts) expliquer et vulgariser ce que nous savons pour que, éventuellement, un *vrai* vote électronique soit mis en place.
D’autre part des failles potentielles de sécurité sur des logiciels libres sous Unix/Linux, il y en a (cf les bulletins du CERTA) et même beaucoup. Il faut corriger au quotidien.
—
michel marcon (aka cmic)
En l’état actuel, avec les outils logiciels dont nous disposons (sans parler du niveau de compétence moyen de la population sur le sujet), aucun « vrai » vote électronique n’est possible. Je me demande d’ailleurs sincèrement si cela changera un jour. Peut être… ou peut être pas. J’avoue avoir du mal à imaginer un système informatisé aussi transparent et simple à comprendre qu’une urne en plexiglas.
Quand aux failles sur les logiciels libres, je n’ai jamais dit le contraire. Mais elles sont dans l’immense majorité des cas involontaire, et surtout très rapidement corrigées. Tout le contraire de ce que l’on observe dans « l’autre camps ».
Enfin, si le titre te choque et bien… Concernant Atos, va lire ça :
http://www.agoravox.fr/tribune-libr…
Pour le reste du monde et bien… Je fais justement ce que tu propose. Je vulgarise. Si je demande à une personne « accepterais tu de donner ton bulletin de vote à une personne qui passerai le prendre chez toi plutôt que de le mettre dans une urne ? » Certains me répondraient oui. C’est à eux que l’expression « TDC » s’adresse. Et malheureusement, des gens comme ça, j’en connais 🙁
Merci pour ce coup de gueule très éclairant.
J’ai fait [une copie de l’article de Numerama](http://tilde3.franceserv.com/docume…)
Aller, pour la route :
http://www.h-online.com/security/ne…