Autoblog de paulds.fr

Ce site n'est pas le site officiel de paulds.fr.
C'est un blog automatisé qui réplique les articles de paulds.fr

Le vote électronique n’est pas prêt, il est même vulnérable !

Thu, 10 May 2012 07:58:40 +0000 - (source)

Régulièrement je demande à ce que l’outil numérique prenne une place plus importante dans le paysage politique. Et pourtant je milite contre le vote électronique, que ce soit dans les bureaux de vote ou à la maison comme vient de le proposer notre cher ministère des affaires étrangères. Il y a une raison à cette apparente schizophrénie : le réseau actuel n’est pas conçu pour cela et n’autoriserai que des dérives.

Hier j’ai lu que le vote par Internet allait devenir une réalité pour 2012, aux législatives et pour les Français de l’étranger. Et j’ai aussi lu quelque chose de très inquiétant : cette procédure ne sera encadrée que par une seule et unique personne.

Vous commencez à me connaitre, quand un nouveau site aussi important est lancé, je fais un petit tour dessus, surtout s’il est en .gouv.fr. Et là en particulier je tombe sur une vérification de la configuration. Il faut que je rétablisse les configurations diverses et variées de mon navigateur qui interdit le javascript, bloque un certain nombre d’informations et tente quelques petites manipulations sur les entêtes HTTP tout seul mais même après cela le site ne détecte pas mon applet Java (qui lui pour le coup est activé et fonctionnel, même si je ne m’en sers jamais).

On me propose un lien pour contacter une assistance… C’est vexant, mais certes. Et là un formulaire… Miam !

Mon navigateur, par habitude me propose bien vite la valeur « >d pour le premier champ, je tente, en re-désactivant javascript qui me gêne en vérifiant  tous les champs et en me disant de les remplir tous… Et là :

Non seulement le formulaire a été soumis alors que je n’ai rempli que le prénom (numéro de ticket support à la clef) – ce qui veut dire que l’ensemble des contrôles de sécurité de ce formulaire au moins sont effectués en javascript, côté client et donc désactivables – mais en plus de cela j’ai le droit à une information bonus en tête de ma page qui me semble fortement être une jolie injection dans les entêtes du mail… Dans un premier temps j’ai cru qu’il s’agissait du destinataire, mais après un second test ce sont mes informations qui sont apparues, celles de l’envoi précédent (2054-da Silva Paul–)… Mais alors là franchement, je ne vois même pas comment ça peut se retrouver là ! Une chose est sure : le « - - » à la fin ne me rassure pas, ce sont les commentaires en SQL, très utilisés pour les injections…

J’ai renvoyé le formulaire deux fois, javascript activé cette fois-ci et ai obtenu des résultats aléatoires… Alors j’ai essayé autre chose, toujours depuis ce formulaire de test et voilà l’écran sur lequel je suis tombé qui parle de lui même :

Non ça ne vous parle pas ? Bah c’est une injection SQL sur système Microsoft en espagnol avec affichage des erreurs (le tout hébergé dans un datacenter à Barcelone, on repassera pour le « achetez-français » ^^)… Pour les moins techniques d’entre vous cela signifie qu’au moins les tickets de support, si ce n’est l’ensemble du système de vote par ce site sont accessibles en lecture ou en écriture (en fonction du niveau de sévérité de la faille) à n’importe quelle personne ayant des compétences dans le domaine… La faille a été signalée, esperons qu’elle soit corrigée avant les législatives…

Alors que faire ? Et bien peut-être sortir des chemins battus, s’entourer de gens compétents lorsque l’on travaille sur des projets comme ceux-ci et envisager l’in-envisageable : pourquoi pas envisager le vote en P2P ?

flattr this!


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles