Education nationale : le vote lectronique rime avec panique

Robin Carcan - Journaliste

Un article de Rue 89, consulter sur : http://www.rue89.com/2011/10/05/education-nationale-le-vote-electronique-rime-avec-panique-224808

Fichiers confidentiels en accs libre, serveurs plants plusieurs jours... A deux semaines des lections professionnelles dans l'Education nationale, qui vont amener plus d'un million de personnes choisir par Internet leurs reprsentants, de nombreux bugs perturbent leur organisation. Le ministre minimise les problmes, et le prestataire informatique, Atos, se mure dans le silence. Entre le 3 et le 12 septembre, une organisation syndicale qui prfre garder l'anonymat a pu consulter en toute tranquillit listes lectorales et professions de foi de tous ses homologues en lice pour les lections professionnelles du 20 octobre dans l'Education nationale. Officiellement, chaque organisation n'avait accs qu' son espace sur une application baptise Candelec , au moyen d'un identifiant et d'un mot de passe. A moins... de remplacer le nom d'un syndicat par un autre dans les adresses internet et de faire ainsi apparatre la liste concurrente. Une manipulation de niveau geek dbutant.

Un accs protg... en thorie

Le syndicat l'origine de cette dcouverte se dit effar d'un si faible niveau de protection des donnes pour une lection au sein de la fonction publique d'Etat . Prs de 3,2 millions d'agents sont concerns par ce scrutin de liste un seul tour du 20 octobre, qui va leur permettre de choisir leurs reprsentants dans les instances de dialogue social (comits techniques et commissions administratives paritaires). Seule l'Education nationale, sur dcision du ministre Luc Chatel en 2010, a hrit d'une procdure unique de vote lectronique. Contacte par Miroir social, la directrice gnrale des ressources humaines du ministre, Josette Thophile, ne veut pas croire un tel bug. Et elle nous a mis au dfi : Si une quelconque organisation a pu pntrer dans l'application, qu'elle nous en apporte la preuve ! Et bien, nous le relevons : elle tient dans un procs-verbal de constatation, que nous avons consult, effectu par un huissier la demande du syndicat. Vingt-neuf pages qui dcrivent par le menu une liste d'adresses auxquelles ont eu accs sans difficult le syndicat l'origine de cette information. (Cliquer pour agrandir le PV de constation)

Est-ce grave ? Bien que ne pouvant pas tre qualifies de sensibles , les donnes auraient d rester confidentielles au moment o le syndicat en a pris connaissance. Il pouvait en thorie faire encore pression par exemple sur tel ou tel candidat.

Des serveurs bloqus pendant trois jours

Ce bug lui seul n'aurait sans doute pas gnr autant de ramdam. Mais les 24 et 25 septembre, le service en charge des lections la DGRH a d battre le rappel de ses troupes pour une petite astreinte de crise en plein week-end. Direction le bunker , surnom donn par les dlgus syndicaux aux locaux hbergeant l'infrastructure technique Vendme (Loir-et-Cher). Et selon nos informations, 26 salaris du prestataire ont aussi t appels en renfort. Les serveurs qui devaient permettre chaque lecteur (professeur, agent du ministre, personnel acadmique...) de vrifier en ligne avant le 28 septembre son inscription sur les listes lectorales, rcuprer un mot de passe, etc. taient rests bloqus trois jours de suite pour cause d'affluence. L'intgrateur du systme de vote lectronique et de ses applications n'est pourtant pas un acteur de second rang : il s'agit de la SSII Atos (appel Atos Origin jusqu'en juillet). Ce spcialiste de l'intgration technologique et de l'infogrance, prsid depuis 2008 par Thierry Breton, qui peut se targuer d'tre leader en Europe sur son secteur, aurait-il vu un peu juste ?

Malgr nos demandes rptes, Atos a refus de nous mettre en contact avec un interlocuteur pour voquer la faille de scurit constate dbut septembre. Porte ferme aussi pour obtenir des informations sur son expertise en matire de vote lectronique. La seule rfrence vritable est une prestation, effectue en 2009 pour le vote distance pour l'lection de l'Assemble des franais de l'tranger. Questionns sur le CV d'Atos en la matire, plusieurs syndicats internes nous ont livr peu ou prou la mme version : Nous avons entendu parler de cette solution technique, mais sans savoir exactement quelle est la filiale concerne ! [...]

Un march cher pay

Nos interrogations se sont prolonges avec l'examen du march public dcroch par Atos, d'un montant de 4,5 millions d'euros [...]. Cela reste cher pay pour une lection professionnelle, fut-elle au service d'un million d'lecteurs, comme nous l'ont expliqu plusieurs prestataires spcialiss. Ce n'est pas le nombre de votants qui fait le montant de la facture mais bien la qualit et la fiabilit de l'infrastructure de vote , prcise Erwan Laut, directeur commercial de RDI-Univote. Or, un cot moyen de 5 euros par lecteur, nous sommes ici bien au dessus des tarifs pratiqus en matire d'lection professionnelle par voie lectronique. La scurit a srement un prix... condition qu'elle fasse ses preuves. La scurit dans ce dossier a dcidment le dos large. A ce jour, les lecteurs sont en possession d'une notice de vote, avec identifiant gratter pour rcuprer le mot de passe. Mais tous ceux qui auront perdu leur identifiant aprs le 12 octobre ne pourront pas, hlas, le rcuprer. Josette Thophile, la DGRH du ministre, nous a expliqu que cette option a t dcide justement pour accentuer la scurit. Sauf que les prestataires de e-vote savent par exprience que quantit d'lecteurs perdent leur identifiant dans la dernire semaine. D'o en gnral la mise en place d'une procdure de rcupration des identifiants jusqu'au tout dernier jour du vote. Sur un million , les carts du scrutin pourraient tre nombreux, sachant que beaucoup de non-titulaires environ 85 000 personnes ont compos ces dernires semaines avec un calendrier trs serr d'inscription sur les listes lectorales, leurs contrats tant en effet signs (ou renouvels) courant septembre. En partenariat avec Miroir social