Cybersécurité – Le vote électronique

Dernièrement, Élection Québec a annoncé un projet-pilote de vote électronique pour les élections municipales du 2 novembre 2025. En effet, 21 municipalités de 15 régions administratives totalisant au maximum quelques 300 000 personnes auront la possibilité de voter via une solution électronique (Magog fait partie des villes du projet-pilote). On pourrait penser que ce projet serait utile pour faciliter le vote et augmenter le taux de participation aux élections qui sont, il faut se l’avouer, plutôt bas. Toutefois, il ne faut pas sous-estimer les aspects de cybersécurité qui vont assurément amenuiser les potentiels bénéfices que le vote électronique pourrait apporter. 

Tout d’abord, nous parlons ici d’élection démocratique dont le processus se doit d’être transparent, intègre et à l’abri d’interférence. Donc, c’est un processus qu’il faut manipuler avec le plus grand soin parce que c’est un joyau d’une valeur inestimable. Alors que le système actuel fonctionne somme toute bien, comme le dit l’adage, si ce n’est pas brisé, pourquoi vouloir le réparer?

Ensuite, Élection Québec a dévoilé un appel d’offres pour trouver des soumissionnaires qui vont mettre en place la solution technique pour le projet-pilote. Ces entreprises privées ne sont pas nécessairement Québécoises ni même Canadiennes et travaillent dans un environnement juridique différent du nôtre. Ça soulève des questions sur le fait de laisser des données sensibles et un processus extrêmement important entre les mains de personnes qui ont tout d’abord une logique de profit en vue.

Puis, pour la solution choisie, il faudra l’auditer et le tester de façon exhaustive avant le jour J pour s’assurer que le processus est intègre. En addition, la solution va inévitablement impliquer un large spectre de systèmes, il est impossible de penser qu’une ou quelques personnes puissent tester la solution de bout en bout. Il faut plutôt compter des dizaines et même une centaine de personnes. Est-ce que ces tests vont être effectués par la compagnie elle-même, de tiers parti ou par Élection Québec elle-même ? Est-ce que cette dernière possède les ressources humaines pour mener à bien cette tâche? 

Par la suite, l’ingérence étrangère dans les processus électoraux ont fait les manchettes dans les derniers mois et il faudrait être extrêmement naïf de croire que les entités étrangères ne s’intéresseront pas activement à exploiter les failles dans la solution choisie. On pourrait croire que les élections municipales d’une province d’un pays qui n’est pas un joueur majeur sur l’échiquier international ne seront pas d’intérêts pour les acteurs étatiques.  Toutefois, le fait de « brancher l’Internet » dans le processus démocratique va faciliter leur vie : plus besoin d’avoir des agents sur le terrain qui doivent influencer et intimider des personnes ciblées, tout peut se faire à distance! Nous pourrions nous retrouver dans une situation où quelques lignes de code exploitant une faille puissent modifier le résultat d’une élection. C’est un pensez-y-bien. 

De plus, si le projet-pilote devient un projet permanent, la solution électronique développée va inévitablement réutiliser des bouts de code  – ou même la totalité – donc du point de vue d’un gouvernement étranger, trouver et exploiter une faille pour introduire une porte dérobée qui peut être utilisée plus tard, lors d’une élection provinciale par exemple, n’est vraiment pas une perte de temps. Il faut comprendre qu’un régime autoritaire a le luxe du temps et peut déployer des stratégies sur le très long terme étant donné qu’il n’évolue pas dans un cycle électoral de quatre ans.

Pour revenir sur la solution choisie qui doit être testée, il ne s’agit pas seulement d’assurer qu’elle est intuitive et facile d’utilisation pour une large clientèle ou bien que les serveurs ont la capacité de gérer un trafic important. Non, il faut également tester contre des acteurs étatiques malicieux qui ont tout intérêt à faire dérailler le système et battre en brèche la confiance que la population possède dans le processus électoral. C’est un énorme mandat. 

En conclusion, l’intégrité du processus démocratique est trop primordiale et importante pour développer un projet qui, même si c’est d’une ampleur modeste, pourrait devenir la référence pour de futures élections. Sans abandonner le projet-pilote, il faudrait clairement avoir une réflexion sur les aspects techniques et même politiques de ce désir de permettre le vote électronique.

Par Simon Benoît
Consultant en cybersécurité