Réponses de François GRIEU, chercheur au CNRS spécialisé en informatique et en cartes à puces, à Igor CONTI sur les possibilités de fraude
-----Message d'origine-----
Sujet : Re: Machines a voter et Elections municipales De : fgrieu@accmv.org Date : 17.03.2008 21:33 Pour : igor.conti@free.fr
Bonsoir,
vous m'écrivez:
>> suite aux dernieres elections municipales pour lequelles nous avons
>> vote sur la machine ESF1 de Nedap, j'ai ete un peu etonne par le
>> score obtenu par le maire sortant reelu avec plus de 55% des voix
>> alors que les opinions prises sur le terrain etaient toutes autres.
>>
>> J'ai personnellement assiste, comme evoque dans l'article, a la
>> programmation des machines, a la verification des scelles internes, a
>> la pose des scelles externes, nous avons meme pu effectuer quelques
>> tests, certains allant jusqu'a pres de 150 votes sur les machines.
>> Bien entendu je suis totalement en accord avec vos critiques
>> concernant les eventuels modifications de logiciel, mais j'ai ete
>> relativement rassure par l'existence de scelles internes reputes
>> inviolables (etiquette aluminium qui se dechire si on essaie de
>> l'oter), sachant que nous avons pu remonter l'historique de ces
>> scelles depuis la derniere mise a jour du logiciel par Nedap.
>> Ainsi j'aurais aime avoir votre avis concernant les questions suivantes :
>> - Peux t on malgre l'existence des scelles internes et externes
>> modifier de facon indetectables (sans briser les scelles) le logiciel
>> de la machine ?
C'est théoriquement faisable. par exemple, un dispositif branché sur le "bus" (signaux électriques internes) de la machine peut imposer l'exécution d'un logiciel distinct de celui dans les EPROMs internes, ceci sans dépose des EPROMs internes et donc sans endommager les scellés internes; cela est possible en installant le dispositif avant de poser les scellés externes, ou en parvenant à poser de nouveaux scellés externes. Je n'ai pas assez d'information pour savoir si il est possible qu'un tel dispositif soit branché de l'extérieur sur les connecteurs des mémoires enfichables; c'est au moins concevable si le logiciel "de référence" possède une faille de sécurité, intentionnelle ou accidentelle.
Reste que c'est à mon avis plus complexe que d'agir sur le logiciel ou sur la machine en amont de la pose des scellés, ou que recoller des scellés en apparence originaux après avoir modifié le logiciel et/ou la machine.
>> - Peux t on certifier l'inviolabilite de ces scelles (bracelet
>> plastique numerote et etiquette en aluminium numerotee) ?
Il existe de multiples possibilités de fraudes sur les scellés en général.
Tout d'abord, la question se pose toujours de si les scellés ne sont pas remplacés par d'autres neufs, vrais-faux ou contrefaçon.
Il existe d'autres attaques. Par exemple certaines étiquettes se décollent quand on tire dessus doucement et à chaud (il existe des contre-mesures au moins partielles: colles qui durcissent à chaud, scellé changeant irréversiblement d'aspect à chaud et/ou quand on exerce une traction...).
Je ne connais pas de scellés "passifs" que l'on puisse garantir inviolables. Je considère que les scellés sont un moyen de dissuader un adversaire peu déterminé, et/ou de donner une apparence de sécurité; mais que la protection obtenue est faible, surtout quand ce n'est pas la même personne qui assiste à la pose des scellés et à leur vérification, et/ou si lors de la vérification il n'y a pas de moyen de comparer le scellé à un scellé réputé original, et/ou si les scellés sont dépourvus de marques d'authenticité difficiles à reproduire, et/ou si le scellé est posé sur un dispositif préalablement fraudé.
Je n'ai actuellement pas beaucoup d'information sur la nature de ces scellés lors des élections de 2008, et les procédures employées, et ne me prononce donc pas sur le niveau de protection offert; ci ce n'est que la sécurité est loin d'être absolue.
>> - En cas de fraude peux t on a partir des resultats par bureau de
>> vote savoir si cette fraude a vraiment eu lieu par une quelconque
>> methode d'analyse mathematique ou informatique ?
Non si la fraude est bien faite. Une fraude qui détournerais par exemple 20% des suffrages exprimés vers un candidat, identifié par son nom, à partir du moment où le scrutin a duré plus de 7 heures (sur 10h de scrutin), et que candidats dépouillés ont déjà reçu quelques suffrages, n'est pratiquement pas détectable. Dans une situation où l'essentiel des suffrages se porte sur 2 candidats approximativement à égalité, cette technique déplace 3% des suffrages environ. L'analyse a posteriori des données produites par la machine ne donne rien, si les suffrages sont détournés entre la saisie+affichage de confirmation, et l'enregistrement.
>> En effet nous partons du
>> principe que toutes les machines ont ete modifiees car les resultats
>> sont etrangement constants dans tous les bureaux de vote donc serait
>> il possible de correler ces 16 bureaux pour en tirer le pourcentage
>> de voix qui passent d'un candidat a l'autre ?
Je ne vois hélas pas comment. Je suis a vrai dire extrêmement pessimiste sur la possibilité de démontrer une fraude si elle a eu lieu, sauf à pouvoir examiner une machine dans l'état réel où elle a été employée. Et seule une démonstration très étayée serait de nature à remettre en question le résultat (la charge de la preuve est à celui qui fait réclamation au Conseil Constitutionnel).
>> nous tenons a votre disposition (..) tous les documents ayant trait
>> aux tests et controles des machines a voter.
Ces documents m'intéressent, ainsi que votre expérience directe concernant les scellés.
Permettez moi de vous poser quelques questions:
- Pouvez vous retracer la chronologie des opérations auxquelles vous avez assisté ?
- Avec vous vu des scellés INTERNES à la machine ? Si oui, à quoi étaient-ils collés ? Aux EEPROM et/ou au PCB (circuit imprimé)?
Retirer une des 2 EPROMs aurait-il brisé ces scellés ?
- Avec vous vu des scellés EXTERNES à la machine ? Si à quoi étaient-ils collés ? Se briseraient-ils si on ouvre le boitier de la machine ? Si on la manipule (jeu entre les éléments du boîtier) ? Si on enlève une cartouche mémoire ?
- Avez vous pu évaluer la résistance au décollement de ces scellés ?
Savez vous si elle a été évaluée par un organisme spécialisé, genre CESTI ?
- Savez vous quand et par qui ces scellés ont été (ou sont supposés avoir été) posés ?
- Que savez vous des vérifications effectuées en préalable à la pose de ces scellés ? En particulier, si ces scellés sont supposé attester de ce que les EPROM sont originales, qu'est-ce qui servait de référence, quel dispositif de comparaison était utilisé, qui l'employait, et avez vous assisté à l'opération ? (à nouveau: à mon avis, c'est à ce niveau qu'une fraude est la plus facile pour quelqu'un qui ne peut pas reposer de scellés)
- Comment était vérifiée l'intégrité des autres éléments de la machine ?
- Avec vous assisté à la pose et/ou à la vérification de ces scellés internes/externes ? De quels éléments disposiez vous, à la vérification, pour distinguer si les scellés étaient bien ceux posés, et non une imitation ?
- Ces scellés sont-ils munis de moyen destinés à rendre leur imitation difficile, comme par exemple un hologramme ? Si oui, disposiez vous de moyen de comparaison des scellés à un original ? Quelle est la source de cet original ?
>> Il va de soi que nous serions prets a remunerer votre avis d'expert
>> si vous le souhaitiez.
Ce n'est pas d'actualité à ce stade. Je suis personnellement engagé contre les machines à voter. J'ai fondé avec des amis (dont Roland Moreno que l'on ne présente plus) une Association pour le Contrôle Citoyen des Moyens de Vote, dont l'action principale est d'avoir déposé mi 2007 un recours au fond en bonne et due forme au Conseil d'Etat contre l'arrêté d'agrément de la machine NEDAP (et de financer un avocat à cette fin); l'affaire n'est pas jugée, on espère que ce sera fin 2008.
Autre chose: souhaitez vous que je relaye votre email/notre échange à ordinateurs-de-vote.org, ou préférez vous rester à distance de cette organisation ?
Sincèrement,
François Grieu
-----Message d'origine-----
De : accmv.org@gmail.com [mailto:accmv.org@gmail.com] De la part de Francois Grieu Envoyé : mardi 25 mars 2008 08:58 À : Igor Conti Cc : bernard.david@infoplus-mandelieu.com
Objet : [correction] Re: Machines a voter et Elections municipales
Bien reçu votre email du 24/3, et les 17 pièces jointes (ma boite email est redirigée vers gmail qui accepte bien les gros email).
Je connaissais certains de ces documents, à l'exception de "MentionsPV.pdf" et "ProtocoleVendredi.pdf".
Noter que "certificationppcr0604.pdf" (le Rapport de certification du profil de protection 2006/04), ainsi que le profil de protection correspondant, quoique émis très officiellement par la DCSSI, ne s'appliquent PAS aux machines à voter employées en France pour les élections de 2004 à 2008, et n'ont aucun caractère légalement contraignant. Mon avocat est formel sur ce point.
Je vous remercie vivement de votre témoignage. Quelques commentaires:
Lors de la pose des scellés, vous avez vérifié la "checksum". Celle-ci n'est PAS une preuve techniquement valable de l'intégrité du logiciel,
car:
1) la checksum est la somme des valeurs contenues dans chaque case mémoire des EEPROM; à ce titre, sa vérification donne une bonne protection contre les altérations accidentelles, mais pas contre les altérations volontaires. On peut faire une analogie tout à fait valable avec la comptabilité: une erreur accidentelle va modifier la somme des écritures, mais une altération délibérée peut être compensée par une autre.
2) il est probable que la checksum que vous avez contrôlée était affichée par la machine elle-même; une altération intentionnelle du logiciel peut fort bien modifier aussi la partie du logiciel qui affiche la checksum, pour faire afficher ce qui est attendu, indépendamment du contenu réel des EEPROM.
Note: Il existe des variantes de checksum (dites "hash") qui sont résistantes aux manipulations intentionnelles (1 ci-dessus); mais un "hash" est beaucoup plus grand qu'une checksum (au moins 32 caractères contre 8 pour une cheksum), et doit être vérifié par un dispositif indépendant du programme vérifié (2 ci-dessus).
Cette insuffisance de la checksum est indiscutable, et tous les experts la confirment; ce y compris d'ailleurs au sein de l'administration, et du groupe de travail formé fin 2007 pour aviser le ministre de l'intérieur sur le sujet des MAV. Hélas ce fait ne peut être d'aucune utilité dans un recours contre un résultat électoral (car il n'est pas demandé de démontrer la possibilité d'une fraude, mais bien qu'elle a eu lieu). Par contre je vais utiliser ce fait dans mon attaque de l'arrêté du 12 avril 2007
auprès du Conseil d'Etat
Confirmez vous que la checksum était-elle affichée par la machine elle-même ? Avec vous noté la valeur de la checksum et/ou le numéro de version du logiciel ? Ceci pour tenter de confirmer que le logiciel employé est sensément celui objet de l'arrêté du 12 avril 2007.
Pouvez vous m'indiquer si les scellés internes employés ressemblaient à ceux des photos jointes, employés en 2007 ? Si ils étaient collés aux mêmes endroits ?
Avec vous des photos des machines, des scellés internes et externes ?
Savez vous si il y en a dans le constat de l'huissier ?
Vous écrivez:
>> nous avions péevu différents types de protocoles de vote parcourant
>> les multiples possibilités envisagées de modifier les votes en cas
>> de fraude dans la programmation (..) un quelconque déplacement de
>> voix aurait du être constate lors des test effectues le vendredi
>> précédant le vote.
Il n'est hélas pas possible de procéder à un test réellement efficace.
En particulier, pour qui contrôle le logiciel, il est possible de faire en sorte que le détournement des voix commence seulement après par exemple 6 heures d'emploi de la machine, ou après une séquence particulière de pression de touches.
Vous écrivez
>> Par conséquent, à moins d'une fraude accomplie avec le concours de
>> l'employé venu faire la mise à jour, il faudrait que le bureau
>> Veritas soit complice de cette fraude au niveau national
>> fermant les yeux sur une possibilité de fraude au sein même de
>> Nedap ou de France Election.
Il existe au moins deux autres possibilités:
- le bureau Veritas installe, en toute bonne foi, un logiciel qui comprend, à son insu, une faille de sécurité qu'il est possible d'activer (fraude en amont de Veritas).
- les scellés ont été déposés, les EEPROM changées, des scellés en apparence identiques reposé entre l'installation par Veritas et la cérémonie à laquele vous avez assisté.
>> Tous les éléments sensibles de la machine a l'exception du clavier
>> tactile que nous avons personnellement vérifié sur chaque machine
>> lors des tests se trouve sous le capot metallique protégé par
>> les scelles internes
Donc vous n'avez pu les voir, et contater (par rapport à quel modèle d'ailleurs) qu'ils sont conformes, et que rien n'a été ajouté; de plus voir les EEPROM n'est d'aucun secours (leur contenu n'est pas accessible aux sens).
Par ailleurs, il existe d'autres éléments sensibles, au moins concernant le secret des votes (par exemple, le dispositif d'aide auditive pour déficients visuel, et la prise pour son branchement, tous points extérieurs à la machine où les votes individuels sont disponibles et peuvent être espionnés, sans même recourir à l'analyse du rayonnement électromagnétique parasite de la machine).
>> d'après l'huissier présent le jour de test des machines les scelles
>> internes et externes sont édités et numérotées de façon unique par
>> France Election et uniquement par eux.
Celui qui possède une imprimante à étiquette identique à celle utilisée par NEDAP a la possibilité de faire des faux convaincants.
A mon avis, à nouveau: tout recours auprès du Conseil Constitutionnel visant à obtenir la révision du résultat sur la base des éléments ci-dessus est voué à l'échec, en l'absence de faits probants démontrant une fraude. La meilleure piste à moyen terme pour sortir de la situation actuelle est d'obtenir la révocation de l'agrément des machines.
>> nous ne voyons aucune objection a ce que vous relayiez mon e-mail et
>> notre échange a ordinateurs-de-vote.org
Je leur transmet donc copie de nos échanges.
Sincèrement,
François Grieu
L'opinion des internautes
1 à 2 sur 2 opinions
Marcel BOLIMOWSKI
31/03/2008 - 11h35
PETITION POUR LE MAINTIEN DES CONSULTATIONS
ELCTORALES EN MODE TRADITIONNEL EN FRANCE !
Si nous sommes tous bien d’accord sur le principe de revenir aux anciens systèmes de consultation, par urnes et isoloirs, il est certain que ceux qui en profitent, n’ont certainement pas la même ambition que nous.
Après avoir recherché dans tous les sites Internet, nous avons pu relever le suivant :
petition@ordinateurs-de-vote.org
Lequel effectivement vous permettra de donner votre opinion, et signer la pétition, que nous-mêmes Famille BOLIMOWSKI et amis, avons signé ce jour, car elle correspond exactement a l’objet de l’association que nous avons régulièrement déposée à la sous Préfecture de Grasse, et opposable aux tiers depuis sa publication sur le Journal officiel du 15 Mars 2008 N° 11, page 1177. ( Cout de l’inscription CINQ (5) EUROS par chèque au nom de PMVE )
Si vous êtes, ce que nous croyons fermement, des vrais démocrates, vous rejetterez cette forme de consultation électronique, qui est un véritable déni de liberté d’expression, contraire aux lois de la République UNE EST INDIVISIBLE ! Qui ne fait le jeu que de ceux qui entendent flouer les électeurs que nous sommes…
Cordialement, et à bientôt comme adhérents a notre association PROMESSES/MENSONGES & VERITES ELECTORALES ( P.M.V.E ) » 114 Boulevard Paulhan – « LES JARDINS D’AVRIL » 06210 – MANDELIEU- LA NAPOULE .
PS: faites suivre a vos amis!
Le Président
Marcel BOLIMOWSKI
29/03/2008 - 16h53
MACHINES A VOTER – MACHINES A TROMPER !
J’ai fait l’effort de lire a plusieurs reprises l’analyse faite sur l’utilisation des machines électroniques, et je dois avouer humblement, que je n’y comprends pas grand-chose, sinon retenir que ce n’est pas un moyen entièrement fiable, et qu’il est possible avec trois candidats, de donner des instructions à la machine, pour obtenir des votes contraires a ce souhaitait l’électeur.
Et je rappelle a cet égard qu’il est matériellement et intellectuellement impossible que Monsieur LAVISSE, ait pu obtenir 1003 voix en pas même trois semaines de campagne, sans de véritables documents exposant un programme cohérent, engageant un bureau politique, autre que le soutien de Patrick ALLEMAND, a qui j’ai dis à plusieurs reprises, ce que j’en pensais, en lettres ouvertes sur le forum, et adressées directement a sa permanence…
IMPOSSIBLE – INIMAGINABLE – INCROYABLE, lorsque l’on sait que le candidat BUERCH sur CANNES, Notaire, donc notable et par définition 100 fois plus compétents qu’un marchands de fringues, parti en campagne trois ans avant les élections, a fait 2,80% des voix, ce qui est ridiculement incompréhensible…
Les rapports semble t-il étroits entre le maire et Monsieur LAVISSE, ne laissent aucun doute sur leur comportement complice au cours de cette consultation !
Je ne ferai donc aucun commentaire sur le sujet, n’étant pas compétent en la matière, sinon qu’il convient de retenir ce qu’en a dit pour conclure, Monsieur François GRIEU :
(…) La meilleure piste à moyen terme pour sortir de la situation actuelle, est d’obtenir la révocation de l’agrément des machines (…)
Mon sentiment reste le même qu’avant les élections, et si j’ai envisagé dès le 19 Février 2008, de créer avec quelques amis, une association dénommée PROMESSE/MENSONGE & VERITE ELECTORALE ( PMVE ) dont l’objet répond très exactement à la situation présente, c’est que nous redoutions les manigances que pouvaient utiliser un candidat, pas très sûr de son score.
Il n’est pas nécessaire de se gargariser avec 55% des voix des inscrits, dès lors qu’il ne représentera toujours que 29%de la population… Dans lesquelles nous retrouverons des voix prisent sur l’électorat de Patrick LAFARGUE, ancien UDF (subodorant les nombreux coups de téléphones qui ont été passés ) et justifiant les remerciements appuyés du maire sortant, le soir même des élections !
Au risque de me répéter, je confirme que l’association PMVE a été régulièrement publiée, et quelle est aujourd’hui opposable aux tiers – Alors rejoignez nous, et alors peut-être que nous infléchirons la décision des juges et du conseil constitutionnel, aux fins d’obtenir l’INVALIDATION de cette consultation. ( 5 EUROS seulement, c’est peu pour chacun, mais c’est beaucoup si nous sommes nombreux, et que nous pourrons agir au mieux de nos concitoyens ) Je rappelle que les inscriptions et cotisations peuvent être adressées directement avec le chèque, portant le nom du souscripteur et son adresse, à l’attention de PMVE « LES JARDINS D’AVRIL » 114 Boulevard Paulhan – 06210 – MANDELIEU -LA NAPOULE .TEL/FAX 04.92.97.63.22 – PORT : 06.67.30.91.89 – e-mail mboli86@yahoo.fr
I.000 personnes devant la mairie ou la Préfecture qui manifestent, c’est mieux que 10, ou moi tout seul, si bien même je faisais la grève de la faim à l’intérieur du bâtiment.
3.759 personnes ont été flouées, et 71% de la population supporteront cette mandature qu’ils n’ont pas souhaité - N’oubliez jamais cela !
