Par une Délibération n° 2010-371 du 21 octobre 2010, la CNIL a adopté une recommandation relative à la sécurité des systèmes de vote électronique. Les principes suivants ont été adoptés :
I. Sur les exigences préalables à la mise en œuvre des systèmes de vote électronique
I.1. L'expertise du système de vote électronique
Tout système de vote électronique doit faire l'objet d'une expertise indépendante.
L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).
L'expertise doit porter sur l’ensemble des mesures décrites dans la présente délibération et notamment sur :
le code source du logiciel y compris dans le cas de l'utilisation d'un logiciel libre, les mécanismes de scellement utilisés aux différentes étapes du scrutin (voir ci-après), le système informatique sur lequel le vote va se dérouler, et notamment le fait que le scrutin se déroulera sur un système isolé ;
les échanges réseau, les mécanismes de chiffrement utilisé, notamment pour le chiffrement du bulletin de vote sur le poste de l’électeur.
L’expertise doit être réalisée par un expert indépendant, c’est-à-dire qu’il devra répondre aux critères suivants :
- être un informaticien spécialisé dans la sécurité ;
- ne pas avoir d’intérêt financier dans la société qui a créé la solution de vote à expertiser, ni dans la société responsable de traitement qui a décidé d’utiliser la solution de vote ;
- posséder une expérience dans l’analyse des systèmes de vote, si possible en ayant expertisé les systèmes de vote électronique d’au moins deux prestataires différents ;
- avoir suivi la formation délivrée par la CNIL sur le vote électronique.
Le rapport d'expertise doit être remis au responsable de traitement. Les prestataires de solutions de vote électronique doivent, par ailleurs, transmettre à la CNIL les rapports d’expertise correspondants à la première version et aux évolutions substantielles de la solution de vote mise en place.
Si l’expertise peut couvrir un champ plus large que celui de la présente recommandation, le rapport d’expertise fourni au responsable de traitement doit comporter une partie spécifique présentant l’évaluation du dispositif au regard des différents points de la recommandation.
L’expert doit fournir un moyen technique permettant de vérifier a posteriori que les différents composants logiciels sur lesquels a porté l’expertise n’ont pas été modifiés sur le système utilisé durant le scrutin. La méthode et les moyens permettant d’effectuer cette vérification doivent être décrits dans le rapport d’expertise.
I.2. La séparation des données nominatives des électeurs et des votes
Le dispositif doit garantir que l’identité de l’électeur ne peut pas être mise en relation avec l’expression de son vote, et cela à tout moment du processus de vote, y compris après le dépouillement.
I.3. Les sécurités informatiques
Il convient que toutes les mesures physiques (contrôle d'accès, détermination précise des personnes habilitées à intervenir…) et logiques (firewall, protection d'accès aux applicatifs…) soient prises, tant au niveau des serveurs du dispositif que sur les postes accessibles au public, afin de garantir la sécurité des données personnelles et du système de vote dans son ensemble. Les algorithmes de chiffrement et de signature électronique doivent, dans tous les cas, être des algorithmes publics réputés « forts » et doivent, si les élections sont mises en place par une autorité administrative, répondre aux exigences prévues dans le Référentiel Général de Sécurité (RGS).
Si un système matériel permet d'héberger plusieurs scrutins, il doit mettre en œuvre une solution technique (par exemple par une « virtualisation » des systèmes) permettant d’isoler chaque scrutin sur un système informatique distinct de manière à garantir que chaque système soit indépendant et se comporte de manière autonome.
I.4. Le scellement du dispositif de vote électronique
Avant le début du scrutin, les systèmes de vote électronique utilisés, la liste des candidats et la liste des électeurs doivent faire l'objet d'un scellement, c'est à dire d'un procédé permettant de déceler toute modification du système. Avant cette procédure de scellement, il est vérifié que les modules ayant fait l’objet d’une expertise n’ont pas été modifiés. La liste d’émargement et l’urne électronique doivent faire l’objet d’un procédé garantissant leur intégrité durant le vote, c’est-à-dire assurant qu’ils ne peuvent respectivement être modifiés que par l’ajout d’un bulletin et d’un émargement, dont l’intégrité est assurée, d’un électeur authentifié de manière non-frauduleuse. Ce procédé doit déceler toute autre modification du système. Après la clôture du vote, la liste d’émargement et l’urne électronique doivent être scellées.
Les procédés de scellement doivent eux-mêmes utiliser des algorithmes publics réputés forts et, le cas échéant, respecter les recommandations du Référentiel Général de Sécurité. La vérification des scellements doit pouvoir se faire à tout moment, y compris durant le déroulement du scrutin. Le bureau de vote doit disposer d’outils dont l’utilisation ne requiert pas l’intervention du prestataire pour procéder à la vérification du scellement, par exemple par une prise d’empreinte numérique.
I.5. L'existence d'une solution de secours
Tout système de vote électronique doit comporter un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et les mêmes caractéristiques.
I.6. La surveillance effective du scrutin
La mise en œuvre du système de vote électronique doit être opérée sous le contrôle effectif, tant au niveau des moyens informatiques centraux que de ceux, éventuellement, déployés sur place, de représentants de l'organisme mettant en place le vote ou d'experts désignés par lui. Dès lors, il importe que toutes les mesures soient prises pour leur permettre de vérifier l'effectivité des dispositifs de sécurité prévus pour assurer le secret du vote et, en particulier, les mesures prises pour :
- garantir la confidentialité du fichier des électeurs comportant les éléments d'authentification,
- garantir le chiffrement ininterrompu des bulletins de vote et leur conservation dans un traitement distinct de celui mis en œuvre pour assurer la tenue du fichier des électeurs,
- assurer la conservation des différents supports d'information pendant et après le déroulement du scrutin.
Toutes les facilités doivent être accordées aux membres du bureau de vote et aux délégués des candidats, s'ils le souhaitent, pour pouvoir assurer une surveillance effective de l'ensemble des opérations électorales et, en particulier, de la préparation du scrutin, du vote, de l'émargement et du dépouillement.
A ce titre et afin de garantir un contrôle effectif des opérations électorales, le prestataire technique doit mettre à disposition des représentants de l'organisme responsable du traitement, des experts, des membres du bureau de vote, des délégués des candidats et des scrutateurs, tous documents utiles et assurer une formation de ces personnes au fonctionnement du dispositif de vote électronique.
I.7. La localisation du système informatique central
Il paraît hautement souhaitable que les serveurs et les autres moyens informatiques centraux du système de vote électronique soient localisés sur le territoire national afin de permettre un contrôle effectif de ces opérations par les membres du bureau de vote et les délégués ainsi que l'intervention, le cas échéant, des autorités nationales compétentes.
A télécharger :
I. Sur les exigences préalables à la mise en œuvre des systèmes de vote électronique
I.1. L'expertise du système de vote électronique
Tout système de vote électronique doit faire l'objet d'une expertise indépendante.
L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).
L'expertise doit porter sur l’ensemble des mesures décrites dans la présente délibération et notamment sur :
le code source du logiciel y compris dans le cas de l'utilisation d'un logiciel libre, les mécanismes de scellement utilisés aux différentes étapes du scrutin (voir ci-après), le système informatique sur lequel le vote va se dérouler, et notamment le fait que le scrutin se déroulera sur un système isolé ;
les échanges réseau, les mécanismes de chiffrement utilisé, notamment pour le chiffrement du bulletin de vote sur le poste de l’électeur.
L’expertise doit être réalisée par un expert indépendant, c’est-à-dire qu’il devra répondre aux critères suivants :
- être un informaticien spécialisé dans la sécurité ;
- ne pas avoir d’intérêt financier dans la société qui a créé la solution de vote à expertiser, ni dans la société responsable de traitement qui a décidé d’utiliser la solution de vote ;
- posséder une expérience dans l’analyse des systèmes de vote, si possible en ayant expertisé les systèmes de vote électronique d’au moins deux prestataires différents ;
- avoir suivi la formation délivrée par la CNIL sur le vote électronique.
Le rapport d'expertise doit être remis au responsable de traitement. Les prestataires de solutions de vote électronique doivent, par ailleurs, transmettre à la CNIL les rapports d’expertise correspondants à la première version et aux évolutions substantielles de la solution de vote mise en place.
Si l’expertise peut couvrir un champ plus large que celui de la présente recommandation, le rapport d’expertise fourni au responsable de traitement doit comporter une partie spécifique présentant l’évaluation du dispositif au regard des différents points de la recommandation.
L’expert doit fournir un moyen technique permettant de vérifier a posteriori que les différents composants logiciels sur lesquels a porté l’expertise n’ont pas été modifiés sur le système utilisé durant le scrutin. La méthode et les moyens permettant d’effectuer cette vérification doivent être décrits dans le rapport d’expertise.
I.2. La séparation des données nominatives des électeurs et des votes
Le dispositif doit garantir que l’identité de l’électeur ne peut pas être mise en relation avec l’expression de son vote, et cela à tout moment du processus de vote, y compris après le dépouillement.
I.3. Les sécurités informatiques
Il convient que toutes les mesures physiques (contrôle d'accès, détermination précise des personnes habilitées à intervenir…) et logiques (firewall, protection d'accès aux applicatifs…) soient prises, tant au niveau des serveurs du dispositif que sur les postes accessibles au public, afin de garantir la sécurité des données personnelles et du système de vote dans son ensemble. Les algorithmes de chiffrement et de signature électronique doivent, dans tous les cas, être des algorithmes publics réputés « forts » et doivent, si les élections sont mises en place par une autorité administrative, répondre aux exigences prévues dans le Référentiel Général de Sécurité (RGS).
Si un système matériel permet d'héberger plusieurs scrutins, il doit mettre en œuvre une solution technique (par exemple par une « virtualisation » des systèmes) permettant d’isoler chaque scrutin sur un système informatique distinct de manière à garantir que chaque système soit indépendant et se comporte de manière autonome.
I.4. Le scellement du dispositif de vote électronique
Avant le début du scrutin, les systèmes de vote électronique utilisés, la liste des candidats et la liste des électeurs doivent faire l'objet d'un scellement, c'est à dire d'un procédé permettant de déceler toute modification du système. Avant cette procédure de scellement, il est vérifié que les modules ayant fait l’objet d’une expertise n’ont pas été modifiés. La liste d’émargement et l’urne électronique doivent faire l’objet d’un procédé garantissant leur intégrité durant le vote, c’est-à-dire assurant qu’ils ne peuvent respectivement être modifiés que par l’ajout d’un bulletin et d’un émargement, dont l’intégrité est assurée, d’un électeur authentifié de manière non-frauduleuse. Ce procédé doit déceler toute autre modification du système. Après la clôture du vote, la liste d’émargement et l’urne électronique doivent être scellées.
Les procédés de scellement doivent eux-mêmes utiliser des algorithmes publics réputés forts et, le cas échéant, respecter les recommandations du Référentiel Général de Sécurité. La vérification des scellements doit pouvoir se faire à tout moment, y compris durant le déroulement du scrutin. Le bureau de vote doit disposer d’outils dont l’utilisation ne requiert pas l’intervention du prestataire pour procéder à la vérification du scellement, par exemple par une prise d’empreinte numérique.
I.5. L'existence d'une solution de secours
Tout système de vote électronique doit comporter un dispositif de secours susceptible de prendre le relais en cas de panne du système principal et offrant les mêmes garanties et les mêmes caractéristiques.
I.6. La surveillance effective du scrutin
La mise en œuvre du système de vote électronique doit être opérée sous le contrôle effectif, tant au niveau des moyens informatiques centraux que de ceux, éventuellement, déployés sur place, de représentants de l'organisme mettant en place le vote ou d'experts désignés par lui. Dès lors, il importe que toutes les mesures soient prises pour leur permettre de vérifier l'effectivité des dispositifs de sécurité prévus pour assurer le secret du vote et, en particulier, les mesures prises pour :
- garantir la confidentialité du fichier des électeurs comportant les éléments d'authentification,
- garantir le chiffrement ininterrompu des bulletins de vote et leur conservation dans un traitement distinct de celui mis en œuvre pour assurer la tenue du fichier des électeurs,
- assurer la conservation des différents supports d'information pendant et après le déroulement du scrutin.
Toutes les facilités doivent être accordées aux membres du bureau de vote et aux délégués des candidats, s'ils le souhaitent, pour pouvoir assurer une surveillance effective de l'ensemble des opérations électorales et, en particulier, de la préparation du scrutin, du vote, de l'émargement et du dépouillement.
A ce titre et afin de garantir un contrôle effectif des opérations électorales, le prestataire technique doit mettre à disposition des représentants de l'organisme responsable du traitement, des experts, des membres du bureau de vote, des délégués des candidats et des scrutateurs, tous documents utiles et assurer une formation de ces personnes au fonctionnement du dispositif de vote électronique.
I.7. La localisation du système informatique central
Il paraît hautement souhaitable que les serveurs et les autres moyens informatiques centraux du système de vote électronique soient localisés sur le territoire national afin de permettre un contrôle effectif de ces opérations par les membres du bureau de vote et les délégués ainsi que l'intervention, le cas échéant, des autorités nationales compétentes.
A télécharger :
Aucun commentaire:
Enregistrer un commentaire