Numérama a publié le 21 juin 2012 un document émanant de Atos et qui comporte la mention Strictly Confidential. Ce document (de travail, puisque dans sa version 0.0 du 2 décembre 2011) contient des informations sur les configurations qui auraient été utilisées lors du vote des français établis à l’étranger pour les législatives 2012. Bien sûr il s’agit d’un document de travail, il est donc nécessaire de prendre les informations qu’il contient avec toutes les précautions d’usage.

Le vote électronique (aussi bien via des machines dédiées dans les bureaux de vote que le vote par Internet) pose beaucoup de problème de transparence et de contrôle. La fuite d’un document de ce type n’est pas banale.

La fuite de ce document pose plusieurs problèmes :

  • opacité des officines privées chargées du vote électronique ;
  • questions autour des compétences techniques des dites officines privées.

Opacité du vote électronique

La question de l’opacité est encore une fois posée. Numérama est en possession du document depuis un certain temps. La rédaction du site a préféré attendre la fin de l’élection législative pour le rendre public. Une fois le document diffusé, Atos a très vite demandé à Numérama son retrait. Ce que Numérama a fait, bien sûr : le but avoué était la publicité de l’affaire. En réponse à la demande d’Atos, le pdf litigieux s’est retrouvé copié un peu partout sur Internet ( ici, ici, ici et encore . Sur Freenet aussi.). Atos a pu à son tour expérimenter le fameux effet Streisand (publicité de l’information) et le fameux effet Flamby (multiplication des copies du document).

Atos ne veut pas que ce document soit publié, compte-tenu des informations contenues :

  • adresses IP publiques des serveurs et URLs utilisés sur la préproduction et la production ;
  • adresse physique du DataCenter où sont situés les serveurs ;
  • version des composants logiques (version de Java, de noyau etc.).

Maintenant, tout le monde peut lire le document et le critiquer. Nous sommes rassurés de savoir que la gestion des votes électroniques a été confié à une société qui ne laisse pas fuiter facilement des documents confidentiels.

Compétences techniques

S’il y a bien quelque chose que je ne comprends pas, c’est l’intérêt de passer par une société privée pour ce type d’opération : le vote est sacré en démocratie. A mon sens les responsabilités sont bien trop grandes pour qu’on laisse des acteurs privés s’en occuper. Le Ministère des Affaires Etrangères doit bien disposer de sysadmin, non ? Alors quel est l’intérêt ? Pourquoi faire héberger la plateforme dans un DataCenter privé ? Les administrations disposent de nombreux centres de production, déjà protégés. Il s’agit comme à chaque fois d’une solution de facilité : on passe un contrat avec une société et les responsables des administrations sont ravis de rentrer chez eux en croyant que les clauses validés par les Services Juridiques sauveront leur carrière. Quelle bêtise !

Au niveau technique, on remarque des aberrations :

  • pas de redondance des interfaces réseaux (une carte dual-port par serveur). Ce qui signifie que les réseaux sont pas physiquement étanches et que la haute-disponibilité n’est pas assurée au niveau matériel ;
  • pas de mise à jour des composants : la version de RedHat est ancienne, les correctifs de sécurité ne sont pas installés ;
  • pas de concentration des logs (syslog est désactivé, syslog-ng est peut-être installé mais ce n’est pas indiqué).

Une autre partie du document qui est plaisante à lire est la réponse de ATOS aux préconisations de sécurité logique :

  • pas d’antivirus installé ;
  • les interfaces réseaux inutilisées sont désactivées en ne plaçant pas de câbles sur celles-ci (sic) ;
  • pas d’utilisation des guides de durcissement pour mise en conformité ;
  • pas d’installation des derniers correctifs ;
  • pas de protection sur les pare-feux contre les attaques de type DoS ;
  • pas d’utilisation des guides de durcissement pour mise en conformité.

Bref, nous sommes très loin de l’état de l’art pour ce type de configuration sensible : la sécurité n’est pas une priorité pour Atos. Il ne suffit pas de disposer de caméra de sécurité pour assurer la sécurité des serveurs. Tout cela laisse à désirer, décidément.

N’importe quelle administration française aurait été capable de faire aussi bien, mais certainement pas pire.

Je pense que nous n’avons pas fini de parler du vote électronique. Que cette farce s’arrête : en démocratie, le vote est une chose trop sérieuse pour que des rigolos s’en occupent.

Le document est disponible également sur ce serveur : https://blog.jdrien.net/files/blog-120622-atos.pdf.