Publié le 26/07/2019

Information du bureau exécutif sur le test grandeur nature

Membres du BVE
Membres du BVE
Membres du BVE

Le bureau du vote électronique (BVE) s’est réuni (titulaires et suppléants) le vendredi 4 juillet de 13h30 à 19 heures et le lundi 8 juillet de 12h30 à 18h30
La première partie a été consacrée à une information sur l’état d’avancement et des modifications depuis la dernière réunion du BVE en mars.

Avancement et modifications

Au printemps l’équipe projet s’est déplacée à plusieurs reprises chez le prestataire Scytl pour participer à des ateliers fonctionnels et techniques pour valider des maquettes.
Des recettes ont été réalisées ensuite sur un nombre restreint de circonscriptions et de candidatures. La plupart des problèmes ont pu être corrigés.
Une répétition générale du Test Grandeur Nature (TGN) a été effectuée fin juin afin de déterminer les besoins logistiques et techniques. Cette répétition a eu lieu en présence des experts indépendants.

Parmi les évolutions techniques, on notera l’installation d’une solution DdOS (Distributed Denial of Service attack , c-à-d, Attaque par déni de service) un audit de l’infrastructure, la mise en place d’une surveillance effective des évènements pendant le vote lui-même et la mise à disposition d’un outil de motoring.
L’étude d’Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS ) comprend, outre l’étude des risques, le dossier d’homologation qui sera constitué, une expertise (cryptologie, infrastructure, analyse des codes et processus) et un accompagnement de l’ANSSI sur l’ensemble du projet.

Les modifications de la solution concernent la réduction du périmètre exposé au grand public avec la suppression des espace électeur et espace candidat. Le matériel sera affiché sur un site web indépendant : site des postes consulaires ou France Diplomatie. Solution qui ne fait pas l’unanimité.

Le parcours utilisateur a été simplifié et les écrans allégés.

Certaines fonctionnalités ont été revues : envoi du code de confirmation par courriel ainsi qu’envoi de la preuve de vote également par courriel.

Enfin, l’espace administration a été réduit. Le module de gestion des résultats ne sera plus utilisé pour centraliser les résultats. La remontée des résultats sera faite depuis une application interne au MEAE. Les listes d’émargements seront téléchargées par les postes depuis l’espace administration SCYTL.

Le test grandeur nature

Les objectifs de ce test sont de tester la complexité associée à l’élection, vérifier le fonctionnement de bout en bout, tester l’organisation à mettre en place et le calendrier des activités à mener, identifier les axes d’amélioration et avoir une remontée d’anomalies à grande échelle.

Le test porte donc sur 129 circonscriptions électorales pour 209 circonscriptions consulaires avec une liste de 12 546 électeurs volontaires dont les agents des postes et les élus afin de tester la fiabilité du système. Un second test aura lieu fin octobre

Remarque : La répartition des électeurs volontaires par circonscriptions devrait mieux correspondre à la réalité. Le nombre de candidats et surtout de listes semble beaucoup trop restreint.

Aucune liste des opérations supprimées ou modifiées (mélange des votes) n’a été présentée au BVE
`
Le test se déroule dans deux environnements différents : en ligne et hors ligne afin de renforcer la sécurité.

Le BVE participe aux opérations à partir de la création de la clé privée ou clé de chiffrement. Contrairement aux tests et scrutins précédents, le BVE n’est pas présent à la création de la clé publique qui permet à l’électeur de chiffrer son vote. Il serait souhaitable que le BVE soit également représenté lors de la sauvegarde et de la vérification de la configuration.

La création et la fragmentation de la clé privée et l’enregistrement se déroulent sans incident. Pour éviter tous risques, à la demande des experts les fragments des clés et les mots de passe sont conservés dans des enveloppes sécurisées distinctes et mises au coffre.

Les données de l’élection sont ensuite vérifiées mais trop succinctement ; pas de recherche par NUMIC, pas de contrôles du nombre de certificats, pas de contrôle de l’état de l’urne vide (différent du contrôle que le nombre de votants =0).
Certaines étapes ne sont pas distinctes pour les membres du bureau (synchronisation) ni les pré-requis ou les acteurs.

Certes les étapes et l’enchainement se font sans problème mais la lecture des écrans est totalement impossible et donc la vérification. Ces points seront à améliorer pour le second test.

La préparation de l’exportation de la configuration dans la console est ensuite faite afin de pouvoir effectuer le scellement (avec confirmation des données) et la mise en ligne.

Les différentes étapes sont gravées sur DVD mis sous enveloppes sécurisées et mis au coffre.

Les procédures de cette première réunion ne sont pas respectées, ce qui est souligné dans le procès-verbal. Il ne s’agit pas de juridisme mais de procédures qui permettent la clarté des opérations, le respect du code électoral et de la sécurité avec l’identification et la conservation des différents DVD qui seront ensuite utilisés.
***
Une astreinte et des conférences téléphoniques doivent être impérativement mises en place pendant la période de vote, le BVE étant la seule puissance décisionnelle.

Il est indispensable que le BVE soit présent à la clôture du scrutin et procède aux différentes vérifications. Certes, le scrutin se clôt automatiquement mais la main ne doit pas être laissée, ni à la technique, ni à l’administration.
Comme lors de la première réunion les étapes doivent être clairement définies et repérables pour le BVE. Il en va ainsi de la sélection, du chargement des urnes. Impossibilité donc de vérifications.

On procède ensuite à l’exportation de la participation (fichier des électeurs ayants voté mais sans données personnelles. Certificats qui seront ensuite mis sur la plateforme d’émargement en exportant le fichier.

Il contient le nombre de certificats de départ : 12526. Il est gravé et sécurisé.

L’urne est ensuite exportée (validation du RTR) le fichier est également gravé et mis sous enveloppe sécurisée.

Il n’a malheureusement pas été possible d’assister (sauf le président du BVE) à la génération des listes d’émargement, opération pendant laquelle de nombreux problèmes avaient été relevés en 2017.

Nous sommes donc passés directement au dépouillement. Il semble que des étapes aient été supprimées ou modifiées car elles ne figuraient pas au processus  : comptage des urnes, sélection, vérification de l’intégrité, comptage… Ces opérations avaient été émaillées de nombreux incidents en 2017.

Aucune vérification pour vérifier que le nombre de bulletins est bien égal au nombre d’émargements n’a été faite.

L’urne a donc été importée sur la console hors ligne puis ouverte avec la clé privée reconstituée et le dépouillement « automatique » a été lancé. Le nombre de bulletins total s’affiche ainsi que celui des bulletins dépouillés.

Les résultats sont gérés par une application distincte sur la console hors ligne.
Une procédure de désautorisation doit absolument être testée lors du second TGN (Schoeppner).

Au total, il y aura eu près de 4000 connexions au portail de vote soit 32% des volontaires mais certains ont pu se connecter à plusieurs reprises.
On compte 3408 votes soit 27,2 % de votants ce qui représentent 85% des connexions.
C’est équivalent aux tests précédents. La question de la composition (choix) des participants est posée.

A l’issue du test les fragments de la bi-clé sont récupérés pour être détruits.
Si ce premier test a bien validé la fiabilité du système le second devra intégrer certaines opérations, tester les procédures et faire mieux apparaître (Check list) les différentes opérations.
On regrettera que l’on n’ai pas pris le temps nécessaire pour faire ce test dans sa globalité, ce qui aurait permis une meilleure appréciation en replaçant le suivi technique dans le cadre juridique.
Le BVE a ensuite échangé sur le questionnaire qui sera envoyé à chaque participant pour analyser le point de vue électeur de la partie vote. Un premier bilan à chaud avait été fait en début de réunion.
Des échanges ont également eu lieu sur différents points généraux : mise à disposition du matériel de vote, intégration des noms des listes, présentation des listes de candidats etc….
***
Echanges sur le portail de vote

Concernant le vote lui-même et le nouveau portail, le BVE a échangé sur la simplification effectuée.
L’ergonomie est simplifiée est l’accès devrait être facilité. Concernant la récupération d’un des codes, Mme Schoeppner souligne qu’à l’avenir le numic ne pourra plus être utilisé car l’inscription au registre n’est pas une condition d’inscription sur les listes électorales et il sera possible d’avoir des électeurs n’ayant pas de NUMIC. Les électeurs devraient par contre disposer d’un numéro.
L’administration fait également le point sur les observations remontées en particulier à travers l’aide dédiée. Les élus ajoutent les observations reçues : non réception de courriels, lien ou d’identifiants, problème de récupération, code de validation non reçu ou reçu trop tard.
Il sera donc nécessaire de vérifier et améliorer l’envoi des différents codes (courriel et SMS) en intervenant auprès des prestataires et fournisseurs d’accès.
Il semble également nécessaire d’augmenter la durée de validité du code de validation, la réception pouvant dépasser 45 minutes.
Enfin un mail expliquant de manière simple les différentes étapes du vote devrait être joint au premier mail envoyé, ainsi que le NUMIC car nombreux sont ceux qui ne le connaissent pas.
Ceux qui ont reçu tous les codes ont pu voter sans problème et rapidement.
Un questionnaire sera envoyé aux participants

Questions diverses

La question du matériel de vote est posée, dans un souci d’allégement, il ne sera pas sur le site de vote mais sera accessible sur le site des postes ou Diplomatie.gouv. Les électeurs devront en être informés, voire recevoir le lien avec le premier courriel d’information. En effet, les informations portées sur le bulletin de vote dématérialisé se limiteront aux noms et prénoms des candidats, contrairement aux possibilités offertes pour les bulletins papier.
Les écrans ayant été simplifiés la question se pose de la longueur du nom de la liste et d’une seconde ligne pour une meilleure identification. Dans la version qui nous a été présentée lors du test le nombre de caractères utilisables pour le nom de liste était de 500 caractères mais sur une seule ligne ce qui risque d’être illisible. Une réflexion a lieu sur une éventuelle seconde ligne pour une meilleure lisibilité (une indication de parti ou soutien ayant sa place selon le président du BVE).

Pour le BE Martine Schoeppner