

Le poste de pilotage de la présidente du bureau de vote UMP à Neuilly, le 29 novembre 2014 - Rémi Noyon/Rue89

L’UMP est-elle frappée d’une cyber-malédiction ? À chaque fois que ce parti entreprend quelque chose sur Internet, il se débrouille pour choisir un prestataire avec lequel tout tourne au fiasco.

Making Of L'immensité des problèmes informatiques rencontrés par le vote interne à l'UMP restera comme un cas d'école. Pour cette raison, nous avons demandé à Olivier Laurelli, du site Reflets, plus connu comme Bluetouff, l'un des meilleurs experts de ces questions en France, d'analyser ce qui s'est passé. Son verdict est sans appel... Rue89

La liste des cyber-boulettes de l’UMP est interminable. Cette « zone de non droit » qu’il voulait « civiliser » l’attend comme à chaque fois au tournant, surtout quand Nicolas Sarkozy se retrouve en lice pour briguer la tête du parti. Et un ancien président de la République qui repart à la conquête de ceux qui l’ont fait élire, ce n’est pas commun.

Le vote électronique n’est pas une chose triviale. Toutes les expériences de vote électronique ont toujours essuyé quelques dysfonctionnements, dont certains relativement sérieux pouvant invalider un vote.

Risques de manipulation

Un ordinateur n’est pas une urne, et il ne le sera probablement jamais. Les risques de manipulation des résultats, par des acteurs impliqués par le scrutin comme par des tiers sont toujours possibles, et ce de manière bien plus discrète qu’un bourrage d’urnes traditionnel.

Cette fois « on a pris toutes les précautions », promis juré craché... C’est ce que claironnaient hier à la télévision des cadres du parti, insistant sur le fait que le risque sécuritaire était très limité grâce à des choix judicieux de prestataires.

Pour l’organisation de ce scrutin ouvert aux militants UMP appelés à désigner le responsable de leur formation politique, l’UMP a fait appel à deux entreprises.

L’une organise le scrutin électronique, Paragon Elections, en utilisant une solution maison visiblement très prisée... des syndics d’immeubles ! L’autre est un spécialiste reconnu de l’hébergement, OVH, dont le savoir-faire est reconnu et ne fait aucun doute.

Le premier se voit donc confier l’application mais n’opère pas les tuyaux, le second ne touche pas à l’application mais opère les tuyaux.

Pour bien comprendre ce qui s’est passé, il faut également avoir en tête quelques éléments relatifs à l’architecture de l’application de vote électronique.

Cette dernière se compose :

d’un frontal : c’est là où les électeurs se rendent, dans notre cas : https://www.presidentump2014.fr ;

d’un back-office : c’est là où les données relatives aux votes sont traitées, ici : https://gestion.paragon-election.com/identification.php et peut-être un peu là : http://adv.paragon-election.com

La sécurité que nécessite un scrutin électoral en ligne implique la notion de chaîne de confiance, un maillon faible... et c’est le drame. Et des maillons faibles, ce n’est pas ce qui manquait pour cette élection, il y avait des trous partout.

Mais que s’est il exactement passé ?

« Vous pouvez écrire que c »est le bazar ! » Rue89 Rémi Noyon s'est rendu samedi matin à un bureau de vote de l'UMP Neuilly-sur-Seine, bastion de Nicolas Sarkozy, pour goûter l’ambiance. Ce n’était pas triste. Récit d'un chaos mal maîtrisé dont l'une des pépites est cette annonce par les organisateurs qu'un message « vote impossible » veut dire que le vote a été validé...

Peu avant le lancement de l’ouverture du vote, des internautes nous remontent des informations. Elles ne sont pas glorieuses. Le serveur frontal qui dans moins d’une heure allait encaisser les connexions des premiers votants ne serait pas si sécurisé que les cadres de l’UMP l’ont expliqué à la presse.

Cette information, aussitôt vérifiée par Reflets et une poignée de médias, ne nous étonne pas.

Nous constatons à ce moment là, le niveau zéro de la sécurisation dont le backoffice fait l’objet : n’importe quel internaute peut se balader dans les répertoires destinés à l’application de traitement des votes.

Des numéros sont attribués à ces répertoires, ils se réfèrent chacun à un scrutin. Tout ceci est clairement écrit dans des fichiers javascripts, parfaitement accessibles de tous et des développeurs à leur simple lecture en attraperaient des boutons.

Dans ces fichiers, on trouve évidemment en clair le nom des répertoires destinés à accueillir les votes… ça sent très mauvais.

Pour trouver l’adresse de ce backoffice, rien de plus simple, il suffit de demander correctement à Google. Et au milieu des sites destinés à des votes de syndics, on trouve l’’adresse suivante : celle du back-office.



Capture d’écran

Dans l’esprit des organisateurs du scrutin, il transparaissait clairement à travers les diverses déclarations faites à la presse que l’argument majeur mis en avant était celui de la CNIL.

Problème : la sécurité d’un système d’information n’a jamais été du ressort de la CNIL.

L’agrément de la CNIL, ce n’est pas l’agrément de l’ANSSI. La CNIL dispose d’un pôle juridique très compétent en matière de traitement de données personnelles, mais la sécurité d’un système d’information, c’est un métier sensiblement différent. Brandir l’argument des vérifications de la CNIL, c’est au mieux agiter une conformité juridique, mais certainement pas technique.

Premiers couacs dès l’ouverture

Le site sur lequel les militants étaient appelés à voter a été victime d’indisponibilités. Pendant plusieurs longues minutes, pour beaucoup c’est un moment de solitude, parfois même devant les caméras de télévision.

Le grand moment de solitude de Luc Chatel devant les caméras

Aucun doute, l’UMP est victime d’une attaque. Cette attaque ne peut être « l’œuvre que de hackers chevronnés ». Vite... communiquons !

Et c’est à cet instant précis, que du ridicule, on sombre dans le pathétique.

Les premières déclarations tombent rapidement et on apprend qu’entre 20h15 et 22h, le site aurait été victime d’une attaque par saturation de 26 000 connexions par secondes émanant d’un seul serveur.

Cette affirmation, aussi précise semble t-elle, a de quoi laisser songeur... Elle est même une insulte à la profession d’administrateur système. Mais pas de problème, « nos équipes sont sur le coup ».

Le problème de plomberie, c’est cette attaque on ne peut plus classique par saturation (déni de service) venant d’un seul serveur se bloque en un clin d’œil, un simple ligne de commande pour ajouter une directive au firewall suffit.

« C’est du lourd »

Le problème peut être plus sérieux si l’attaque est « distribuée », c’est-à-dire émanant de centaines ou de milliers de machines différentes. Dans ce cas précis, faire le tri entre les connexions légitimes et les connexions malicieuses est bien plus complexe.

Illustrons notre propos par une métaphore intelligible de l’homo-politicus. Un déni de service (DoS) serait un bourrage d’urne opéré par une seule personne arrivant avec 26 000 fausses procurations. Celui là normalement, on le voit arriver, il n’est pas très discret.

Un déni de services distribué (DDoS) serait un bourrage d’urne opéré par 26 000 personnes différentes déposant chacune une fausse procuration. C’est un peu plus complexe à détecter sur le coup, on s’en rend compte en comparant le nombre d’inscrits au nombre de votes. Mais le souci, c’est qu’il y a la queue devant le bureau de vote et des électeurs légitimes ne peuvent pas aller voter.

« Il y a eu plusieurs tentatives de piratage qui sont manifestement organisées. Ce n’est pas de l’amateurisme. C’est du lourd. » (Luc Chatel)

Ce qui est du lourd, c’est ce que nous avons pu constater : une absence totale de sécurisation du backoffice.



capture d’écran

« Cela nous a amené à déposer plainte cette nuit auprès du commissariat du XVe arrondissement. Et les services de police en charge des cyber-attaques enquêtent déjà. » (Luc Chatel)

Vulnérabilités non corrigées

Ça a quand même dû ricaner sec au service de police concerné : des vulnérabilités de plus de six mois dont tous les médias ont pourtant abondamment parlé n’étaient pas corrigées.

La version d’OpenSSL installée sur le backoffice était vulnérable à la célèbre attaque Heartbleed (CVE-2014-0160 datant d’avril 2014) et à une autre faille critique, dite CCS ( CVE-2014-0224 datant de juillet 2014)



Capture d’écran

A ce niveau, on peut parler de failles inadmissibles et les faits observés parlent d’eux mêmes :

la sécurité de l’infrastructure n’a pas été sérieusement vérifiée. Elle n’était pas même à jour de vieilles vulnérabilités bien connues de n’importe quel administrateur système digne de ce nom ;

la lecture du code accessible (le code javascripts servant au traitement des données) ne fait que confirmer ce que nous avons observé, le système de vote en ligne n’est pas au niveau ;

les tentatives de corrections au fil de l’eau ont été elles aussi une superbe démonstration d’amateurisme, à l’image du placement dans l’urgence d’un fichier « index.html » pour « sécuriser » un répertoire au lieu d’une simple directive dans un fichier de configuration du serveur à même de sécuriser l’ensemble des répertoires du serveur ou de l’application.

L’UMP a peut-être essuyé une attaque par déni de service, mais Paragon Elections, à qui incombe la partie applicative et la sécurité du système de vote, nommé Smartvotation, est loin d’être la forteresse imprenable que l’on nous a présenté.

Conditions de vote non réunies

Dans ces conditions, il est légitime de se demander si le vote des primaires de l’UMP n’a pas été altéré par des tiers. L’UMP s’en défendra sûrement, mais les faits sont là, ils sont vérifiés, Paragon a mis en place une infrastructure de vote particulièrement faible et vulnérable, pas même à jour de failles dont les correctifs sont disponibles depuis plus de six mois.

Les correctifs portés seulement ce samedi, plus de 12 heures après l’ouverture du scrutin, ne sauraient garantir que le système n’a pas été préalablement altéré.

Les instances de l’UMP ne reconnaitront probablement jamais ces erreurs, il est pourtant important que chaque militant sache que les conditions garantissant une élection claire et incontestable de la présidence du parti n’étaient pas réunies.

D’une manière générale, un vote électronique est le meilleur moyen de transformer un simple incident technique en incongruité démocratique. Merci à l’UMP de l’avoir une fois de plus démontré.