Délibération n° 2019-053 du 25 avril 2019
portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet
Le 25 avril 2019, la CNIL a adopté une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet. Elle présente aux responsables de traitement souhaitant recourir à un tel système de vote une approche par niveau de risque et par objectifs de sécurité à atteindre. La recommandation s’accompagne d’une fiche pratique qui présente une méthodologie en deux temps :
Tout comme pour les recommandations de 2010, VOTEO n'a aucune obligation légale à respecter les éléments décrits dans cette délibération. Malgré cela, et toujours avec l'objectif de rendre VOTEO plus sûr et plus sécurisé, AKG SOLUTIONS a rendu conforme l'application VOTEO aux trois niveaux d'objectifs proposés par la CNIL. Chaque version applicative est certifiée conforme à ces recommandations par une entreprise tierce. Vous trouverez ci-dessous les différents objectifs de sécurité avec, pour chaque article, comment VOTEO satisfait aux exigences. |
||
Objectif de sécurité n°1-01
Mettre en oeuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l’éditeur et/ou rendue publique par des tiers).
L’ensemble de la solution technique et organisationnelle répond à cette exigence. En effet il n’existe à ce jour aucune faille majeure publiée concernant les technologies utilisées dans la solution Voteo. La solution utilise des versions à jours des différents logiciels qu’elle exploite et utilise des algorithmes publics de chiffrement réputés « forts » (TLS et RSA-4096). |
|||
Objectif de sécurité n°1-02
Définir le vote d’un électeur comme une opération atomique, c’est-à-dire comme comportant de manière indivisible le choix, la validation, l’enregistrement du bulletin dans l’urne, l’émargement et la délivrance d’un récépissé.
Le choix et la validation se font sur le navigateur de l’électeur. Si une de ces étapes échoue, l’enregistrement ne sera pas déclenché. L'enregistrement du bulletin est couplé à l'émargement. Si l'enregistrement échoue, l'émargement n'est pas réalisé. Si l'enregistrement réussit et l'émargement échoue alors l'enregistrement est retiré. Pour obtenir le récépissé, il faut que toutes les étapes précédentes se soient bien déroulées. |
|||
Objectif de sécurité n°1-03
Authentifier les électeurs en s'assurant que les risques majeurs liés à une usurpation d'identité sont réduits de manière significative.
L'adressage des moyens d'authentification se feront soit par courrier à l'adresse de l’électeur, soit par courriel à son adresse électronique. L'authentification de l'électeur se fait au travers d'un identifiant et d'un mot de passe qui seront communiqués par Voteo.
|
|||
Objectif de sécurité n°1-04
Assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant.
L’utilisation du système de chiffrement cryptographique asymétrique RSA avec une clé de chiffrement de 4096 bits directement dans le navigateur du votant permet d’assurer que le bulletin de vote est complètement chiffré avant même de sortir du poste du votant. | |||
Objectif de sécurité n°1-05
Assurer la stricte confidentialité et l'intégrité du bulletin pendant son transport.
L’utilisation de deux systèmes de chiffrements cryptographiques réseau (TLS) et applicatif (RSA) permettent d’assurer la transmission sécurisée des données. | |||
Objectif de sécurité n°1-06
Assurer, de manière organisationnelle et/ou technique, la stricte confidentialité et l'intégrité du bulletin pendant son traitement et son stockage dans l'urne jusqu'au dépouillement.
Le chiffrement se fait directement sur le poste client grâce à la clé publique du serveur, et aucune donnée du bulletin de vote ne circule en clair sur le réseau grâce au chiffrement TLS. Le serveur, possédant la clé privée, sera la seule entité en mesure de déchiffrer les informations.
|
|||
Objectif de sécurité n°1-07
Assurer l'étanchéité totale entre l'identité de votant et l'expression de son vote pendant toute la durée du traitement.
Le bulletin de vote est chiffré mais n'est pas horodaté, rendant impossible le rapprochement entre l'émargement et le bulletin et ainsi deviner les votes des électeurs. | |||
Objectif de sécurité n°1-08
Renforcer la confidentialité et l'intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d'un seuil de secret déterminé.
Pour générer le secret permettant le dépouillement, une chaîne de caractères est créée à partir de l'ensemble des données du vote. Cette chaine de caractères est chiffrée et stockée en binaire afin d'être illisible et inaliénable. La clef de chiffrement est divisée en trois parties dont chacune est communiquée, de manière sécurisée, à chaque tiers gestionnaire. Après la clôture du vote, les clefs de descellement sont renseignées dans le système et la clef de chiffrement est reconstituée. L’intégrité de la base est vérifiée puis si elle est intacte, le dépouillement peut avoir lieu. |
|||
Objectif de sécurité n°1-09
Définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin.
La gestion des différents états du vote permet de définir le dépouillement comme impossible à effectuer avant le scellement de l’urne et donc la fin du vote. La saisie des clefs de déchiffrement est indispensable pour déclencher le dépouillement. La procédure de dépouillement édite automatiquement un rapport présentant le décompte des voix pour le scrutin. |
|||
Objectif de sécurité n°1-10
Assurer l'intégrité du système, de l'urne et de la liste d'émargement..
Une empreinte de tous les fichiers composants de l’application est réalisée lors de l’audit du code source de l’application. Il est possible de vérifier que les empreintes sont les mêmes sur l’application en production.
Cette empreinte est unique à chaque configuration de vote. Si l’empreinte change au cours du vote, le système déclenchera une alerte et empêchera le dépouillement. |
|||
Objectif de sécurité n°1-11
S'assurer que le dépouillement de l'urne puisse être vérifié a posteriori.
Dès la clôture du dépouillement, le système de vote reste figé dans son état. Il est impossible d’en modifier l’état. De plus, le rapport généré automatiquement reste consultable. |
|||
Quelques références...
Ce que les clients disent de nous