Coucou les moules !
Je viens de voir passer sur Numérama aujourd'hui cet article qui donne le code de l'appliquette java ainsi que le code à injecter pour falsifier les votes. Tout est bien chiffré entre le serveur et l'ordi du votant, mais malheureusement, si l'ordinateur du votant est compromis… Vous avez 20 pages d'explications et une vidéo en sus.
Bonne lecture/Bon visionnage, et désolé pour ce journal marque-page. Pour me faire pardonner, voilà un nimage attendrissante.
# Lui, il va avoir des problèmes...
Posté par Maclag . Évalué à 7.
Je vois déjà venir une plainte sur un truc genre fraude ou incitation à la fraude.
S'ensuivront quelques jours d'enfumage avec des explications techniques foireuses pour justifier qu'en vrai "c'est pas si simple!".
[^] # Re: Lui, il va avoir des problèmes...
Posté par Littleboy . Évalué à 7.
Son explication necessite a un moment d'avoir les droits d'administration sur la machine (pour installer son 'malware').
A partir de la, tu peux faire a peu pres tout ce que tu veux sur la machine de l'utilisateur. C'est comme dire que Hello Word a une faille de securite parce qu'avec les droits root j'ai installe un lib que je precharche dans le logiciel et qui va modifier le code. C'est completement con…
Apres le logiciel n'est quand meme pas terrible et pourrait etre un peu plus blinde (detection de debuggeurs, module noyau pour eviter de se faire intercepter tout les appels systeme, etc.). Cela dit, au final si la machine est rootee avant l'installation du logiciel, ca sert a rien.
[^] # Re: Lui, il va avoir des problèmes...
Posté par feth . Évalué à 2.
En même temps, Numérama quoi (ils font des articles potables aussi, mais n'ont pas peur du sensationnel pas cher). Clairement, c'est comme si Greenpeace avait utilisé des missiles nucléaires quadri-soniques pour montrer que les centrales nucléaires sont mal sécurisées.
[^] # Re: Lui, il va avoir des problèmes...
Posté par Zenitram (site web personnel) . Évalué à 10.
Si Greenpeace est capable de construire des missiles nucléaires quadri-soniques, ils auraient 100% raison de dire que les centrales nucléaires sont mal sécurisées. Juste que Greenpeace ne sait pas faire.
Le problème ici c'est que pour le vote électronique, beaucoup de monde est capable de prendre le contrôle d'un PC, il suffit de voir le nombre de virus (et d'anti-virus) qui se baladent. Alors pour déclarer ses revenus, ce n'est pas gênant (ça se voit, ça se corrige, rien à gagner), mais pour un vote, c'est invisible.
Le problème est double : c'est largement faisable à grande échelle et c'est invisible. C'est un grand danger, réel (contrairement aux missiles nucléaires quadri-soniques fait par Greenpeace), mais ça ne perturbe pas foule :(.
[^] # Re: Lui, il va avoir des problèmes...
Posté par feth . Évalué à 2.
Un scrutin sincère c'est a minima
* des votants seuls et aussi nus que toléré,
* un lieu neutre, public et surveillé par les cityoens,
* une urne transparente.
Le vote par Internet n'offrant aucun de ces points, je ne vois pas l'intérêt d'une démonstration technologique. Si tu me donnes un accès root sur ton ordinateur et tes clefs privées, je peux usurper ton identité, news at 11.
L'exemple avec les missiles quadri-soniques n'est pas réaliste, c'est vrai. Je vais tenter une journée sans analogie foireuse.
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
Pourquoi qu'ils doivent être nus, les électeurs ? Ça ne me gêne pas forcément (surtout si plein d'électrices viennent remplir leur devoir civique ;-) mais je ne comprends pas quelle fraude tu espères éviter ainsi (pour l'usurpation d'identité, il suffit techniquement que l'électeur n'aie pas le visage masqué).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par qdm . Évalué à 1.
C'est pour éviter des fraudes de ce type. http://www.liberation.fr/politiques/0101575162-perpignan-alduy-droit-dans-ses-chaussettes
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
Euh, oui mais là c'est le président du bureau de vote, pas un simple électeur qui a beaucoup moins de possibilités de fraude : honnêtement, à moins d'être prestidigitateur, sortir un bulletin de ta manche et le glisser dans l'urne alors que tout le monde a les yeux sur toi, c'est coton (en plus, ça ne fera qu'invalider le scrutin, vu que le nombre d'enveloppes trouvées au dépouillement sera supérieur à la liste d'émargement et au compteur de l'urne).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par feth . Évalué à 3.
Il est interdit d'avoir des armes ou du matériel de propagande dans un bureau de vote. La nudité c'est la neutralité. Les chrétiens ne présentent-ils pas leur âme nue à leur dieu (ou au prêtre intercesseur dans le cas des catholiques) ?
À l'extrême, on pourrait imaginer que deux personnes se glissent dans le même vêtement, altérant la sincérité du scrutin.
Des vraies questions maintenant :
[^] # Re: Lui, il va avoir des problèmes...
Posté par oinkoink_daotter . Évalué à 2.
Moches. /o/
[^] # Re: Lui, il va avoir des problèmes...
Posté par claudex . Évalué à 4.
C'est aussi un moyen d'éviter que l'électeur ait une caméra sur lui afin qu'il puisse montrer pour qui il a voté et vendre son vote.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lui, il va avoir des problèmes...
Posté par B16F4RV4RD1N . Évalué à 7.
c'est quel pourcentage des ordinateurs windows qui sont en "administrateur" par défaut ?
C'est quel pourcentage des ordinateurs sous windows qui sont déjà vérolés ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Lui, il va avoir des problèmes...
Posté par Zenitram (site web personnel) . Évalué à -3.
Faut arrêter un jour avec ça : ce n'est plus le cas depuis des lustres (Windows XP?)
Le hic est que c'est relativement facile d'avoir les droits admin, quelque soit l'OS. Linux compris (regarde juste le nombre de failles locales qui monte les droits).
Quelque soit l'OS (dans les plus diffusé : que ce soit Windows, Mac, Linux), les machines ne sont pas à jour, il y a des failles.
Non, Linux n'est pas exempt de failles, non il n'est pas parfait.
Bref : demande-toi quel pourcentage de machines sont vérolées, accuser l'OS dominant d'être dominant et donc plus visé est bas et nul. La seule chose que tu peux gagner en disant ça est d'être pris pour un intégriste linuxien qui croit que Linux est une religion, qu'on n'écoutera pas du fait de son manque d’objectivité.
[^] # Re: Lui, il va avoir des problèmes...
Posté par gnumdk (site web personnel) . Évalué à 5.
Euh, c'est toujours le cas, même avec Windows Seven, y'a juste UAC qui rajoute une pseudo protection (contournable vu que dans le cas du compte admin, ca se résume à un oui/non).
[^] # Re: Lui, il va avoir des problèmes...
Posté par Alex . Évalué à 2.
Faut arrêter un jour avec ça : ce n'est plus le cas depuis des lustres (Windows XP?)
je pense que le parc xp est toujours important
ceci dit ce n'est pas tant la technique qui est a critiqué, mais les habitudes d'utilisation.
Dans un public geek sous linux, on peut s'attendre à ce que l'utilisateur fasse attention à ce qui tourne en admin, ou tout du moin se demande pourquoi un sudo est lancé. Cela ne me semble pas être le cas dans la population windows (en tout cas mon entourage, et je suppose que c'est la même chose sous mac).
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . Évalué à 4.
Mon avis perso (rien de scientifique, hein) :
Donc, je subodore qu'une babasse Linux avec un navigateur vulnérable (ou un greffon pourri, genre Flash) aurait autant de chances de se faire pwner qu'une machine Windows si l'intérêt y était. La parade la plus efficace (sauf 0day) reste des mises à jour très régulières (voire automatiques ?).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Aucune importance : cela démontre, avec un exemple réel, que le vote par Internet est vulnérable. La vulnérabilité nécessite un rootkit sur l'ordinateur du votant, certes, et alors ? Les virus, ça existe et ça marche même vachement bien, donc corrompre massivement le système de vote, c'est tout à fait faisable, c'est tout ce qu'il fallait montrer.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par Juke (site web personnel) . Évalué à 10.
Oui et ce n'est pas une question de rootkit. Ce vote pouvant s'exercer sous la menace, il est vulnérable.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par Zenitram (site web personnel) . Évalué à 10.
Si, c'est une question de rootkit.
Par exemple, le vote par correspondance est utilisé, et ça "choque" moins. Car c'est plus dur de généraliser la modification.
Donc : avec le vote par correspondance, on avait déjà enlevé l'isoloir, bon ça peut encore passer car la fraude ne peut pas facilement être massive, mais avec le vote électronique on rend possible la fraude massive à faible coût, encore pire.
Vu que virer l'isoloir est pas mal accepté par la population (va comprendre…), il ne faut pas argumenter sur ce point, il faut argumenter sur les virus/rootkit qui changent (à la baisse) le coût de la fraude, si tu veux convaincre.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par j_m . Évalué à -1. Dernière modification le 29 mai 2012 à 17:47.
Tu penses à une milice armée qui fait du porte à porte le jour du scrutin pour faire voter les gens de force ? C'est bien plus efficace de faire le pied de grue devant le bureau de vote avec un air menacant.
Et pour un truc secret en privé, ça n'aura aucune conséquence statistiquement considérable.
Le vote sous la menace est un risque théorique du point de vue de la démocratie.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par Anonyme . Évalué à 3.
Sauf que ça ne fonctionne pas puisque, dans l’isoloir, tu fais ce que tu veux.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par Zenitram (site web personnel) . Évalué à 3.
Aujourd’hui, oui. Mais tu en es sûr pour demain?
[^] # Re: Lui, il va avoir desproblèmes...
Posté par j_m . Évalué à 2.
Dans les pays où la démocratie est menacée, c'est au bureau de vote que les problèmes commencent.
Les autres arguments contre le vote par internet sont bons, mais celui-ci, non.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
Moi, je pense plus à « file-moi un accès à distance à ta machine le temps que je vote pour moi à ta place, et en échange je te file un beau bifton » (ça marche aussi pour le vote par correspondance : si tu n'as pas à aller dans un isoloir, tu peux vendre ton vote).
Envoyé depuis mon PDP 11/70
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Lui, il va avoir desproblèmes...
Posté par Maclag . Évalué à 3.
Mais non enfin!
Tout le monde sait que c'est la famille apeurée devant l'ordinateur sous le contrôle du linuxien crypto-communiste de la maison qui est contrainte de voter pour la gauche révolutionnaire!
[^] # Re: Lui, il va avoir des problèmes...
Posté par lapada . Évalué à 7.
J'ajoute que comme la liste des adresses mails et physiques et des noms de tous les électeurs d'une circonscription est filée sous forme de cd gravée aux candidats, il est assez facile de cibler les ordinateurs à spammer et infecter.
[^] # Pourquoi les droits d’administrations ?
Posté par Arthur Accroc . Évalué à 6.
Pourquoi ne suffirait-il pas de l’installer sous l’utilisateur courant, si c’est celui qui vote ?
C’est d’ailleurs ce qu’il dit dans son article : « Le programme pot de miel s’installe alors en tant que programme non privilégié (il n’a pas besoin de privilèges administrateurs, ce qui permet de passer sous certains radars) ».
Dans une certaine mesure, voter depuis un compté séparé serait un premier niveau de sécurité, mais qui le fera ?
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Pourquoi les droits d’administrations ?
Posté par Littleboy . Évalué à 2.
Le programme externe tournera avec les droits utilisateur, mais lors de l'installation il doit modifier une variable d'environnement systeme, et pour ca il lui faut les droits d'admin.
Bref, a un moment l'utilisateur a lance un programme malveillant avec les droits root. A partir de la, programme de vote ou pas, tu peux faire tout ce que tu veux (son exemple est facilement detectable et contournable dans l'appli de vote, mais on peut faire la meme chose avec un rootkit beaucoup moins detectable).
[^] # Re: Pourquoi les droits d’administrations ?
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
Moi, je lis ceci : « Afin de pouvoir injecter le code modifié dans la JVM qui exécute le programme de vote client, on ajoute la variable d'environnement JAVAWS_VM_ARGS à l'environnement de l'utilisateur en cours. […] On remarquera que l'ajout d'une nouvelle variable d'environnement utilisateur ne nécessite pas de privilèges administrateur » (pp. 13-14). Peux-tu indiquer la page où l'auteur parle d'exécution avec les droits d'admin ?
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par Jux (site web personnel) . Évalué à 9.
Il est un principe bien connu en sécurité qui dit que la sécurité d'une chaîne est égale à celle du maillon le plus faible.
Avec le vote par internet, on aura beau construire une chaîne super sécurisé entre l'état et le PC de l'utilisateur, le gros problème, celui qu'il sera vraiment très très très dur de résoudre, c'est la sécurité du PC de l'utilisateur. Si on est incapable de garantir la sécurité du PC de l'utilisateur, alors la jolie chaîne de sécurité qu'on a construite, elle est intéressante théoriquement, mais pratiquement ça ne vaut rien du tout.
[^] # Re: Lui, il va avoir des problèmes...
Posté par Badeu . Évalué à 2.
Même au delà de la règle du maillon faible d'une chaine de sécurité, il y a celle qui dit que jamais jamais jamais on ne doit faire confiance à l'utilisateur. Je me demande à quel moment ils se sont dit "chouette on va faire un système qui tourne sur le poste client".
[^] # Re: Lui, il va avoir des problèmes...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
C'est pas une chaîne.
En votant aujourd'hui, je ne suis pas passé par le PC d'un autre électeur.
[^] # Re: Lui, il va avoir des problèmes...
Posté par Jux (site web personnel) . Évalué à 2. Dernière modification le 29 mai 2012 à 16:33.
La chaîne c'est :
[PC électeur] - [Routeur électeur] - [FAI électeur] - [FAI Etat] - [Serveur Etat]
[^] # Re: Lui, il va avoir des problèmes...
Posté par claudex . Évalué à 2.
J'ai lu que les serveurs étaient hébergés en Espagne, c'est une erreur ou tu as oublié
- [Serveur État] - [FAI sous-traitant] - [Serveurs sous-traitant]
?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lui, il va avoir des problèmes...
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Ils ne sont pas en Espagne pour le vote en cours. Ils sont à Vendôme (41). Ils étaient en Espagne uniquement pour le test de vote.
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . Évalué à 1. Dernière modification le 29 mai 2012 à 21:22.
Pas tout à fait exact : il peut y avoir un nombre variable de transitaires entre le FAI et le réseau de l'État. Mais, sauf implémentation pourrie du chiffrement, le maillon faible sera de toute façon le poste client (comme d'hab', quoi).
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par 2PetitsVerres . Évalué à 2.
Tu peux aussi voter en utilisant une innovation qui sauve de l'énergie : http. Https n'est pas obligatoire…
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Lui, il va avoir des problèmes...
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
Heu… Ça fout la trouille©. Pas nécessairement pour le bulletin lui-même (l'applet peut toujours chiffrer le payload même si la couche transport est en clair) mais pour l'identification : sans HTTPS, comment peut-on être sûr qu'on télécharge bien l'applet du site gouvernemental et pas une version compromise sur un serveur pirate ? J'espère vraiment que ce genre de points basiques ont été pris en compte, sinon c'est tout bonnement grotesque.
Envoyé depuis mon PDP 11/70
[^] # Re: Lui, il va avoir des problèmes...
Posté par 2PetitsVerres . Évalué à 2.
Peut-être que je me trompe. Enfin j'ai l'impression qu'il y a un flou autour de ça. (le premières dépêches parlaient de la possibilité de ne pas utiliser https)
D'un autre coté, https, si ça se base sur les certificats du navigateur, ça fait quelque entreprises qui peuvent jouer au man in the middle (verisign, …) Si c'est le SSL de java, je ne sais pas qui est dans les CA par défaut.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Lui, il va avoir des problèmes...
Posté par Alex . Évalué à 2.
l'applet peut toujours chiffrer le payload même si la couche transport est en clair
Cela garantie l'anonymat, mais pas la non usurpation du vote, sauf échange de clés préalable.
[^] # Re: Lui, il va avoir des problèmes...
Posté par Grunt . Évalué à 5.
Heu.. non. C'est une conception merdique de la sécurité, ça : on décide à la place du luser que sa machine est mal sécurisée. Apprendre aux gens à dire "Oui, je veux laisser le logiciel faire sa sauce" n'est pas une bonne chose, et éventuellement faire chier les users expérimentés qui auraient une bonne raison de faire tourner un débuggueur, ce n'est pas une bonne politique. Il faut tirer les gens vers le haut, pas vers le bas.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Lui, il va avoir des problèmes...
Posté par Littleboy . Évalué à 3.
Aux dernieres nouvelles, c'est le boulot du systeme d'exploitation que de permettre a des applis de s'executer dans un contexte securise (ie. sans interference externe d'autres applis). Tous les OS vont dans cette direction depuis des annees (proteger les applis les unes des autres, les faire tourner chacune dans une sandbox, etc.).
Si tu sais faire tourner un debuggueur, tu peux facilement te donner les droits pour acceder a tout ce que tu veux. Il y a des applis qui detectent juste un debuggeur qui tourne sur la machine et qui refusent de se lancer (il y en a qui detectent IDA, ou un debuggeur kernel), mais c'est rare. De toute facon, si tu es root tu peux faire tout ce que tu veux.
Bon courage. Les gens ils veulent pouvoir installer des applis sur le market et ne pas risquer de voir toutes leurs informations perso envoyees sur un serveur a l'autre bout du monde. Je te laisse comparer les parts de marche des systemes qui permettent ca de facon securisee et les autres (et on parle de choses destinees au grand public, pas d'un serveur ou la problematique est evidemment difference).
Reduire la securite du systeme et forcer les gens a gerer la securite a la main (ce qu'ils sont bien incapables de faire), c'est pas les tirer vers le haut et c'est l'assurance de te faire cataloguer comme gros lourd a ne pas ecouter.
# Bof
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -2.
Du moment que Poutine n'est pas élu pour les Français de l'étranger, ça me va…
# Pas d'identifiant…
Posté par reg . Évalué à 1.
En ce qui me concerne, j'ai bien reçu mon mot de passe par mail, mais jamais reçu l'identifiant, ni par SMS, ni par courrier.
J'imagine qu'ils ne les ont pas envoyés car j'ai l'habitude de recevoir des SMS et des courriers de l'administration.
Évidemment, alors que pour l'élection présidentielle, on était spammé sur tous supports concernant les modalités du vote, ce coup-ci, silence radio.
[^] # Re: Pas d'identifiant…
Posté par Maclag . Évalué à 4.
Et pour les SMS, ce qui te rassure c'est qu'ils t'envoient régulièrement des SMS. Maintenant la bonne blague ce serait de se rendre compte qu'ils utilisent un mauvais numéro et que quelqu'un d'autre a reçu ton identifiant.
Question: c'est l'administration locale qui envoie les SMS, ou c'est géré d'ailleurs?
# mal identifier
Posté par hitmanu . Évalué à -2. Dernière modification le 29 mai 2012 à 16:51.
cela voudrai dire que tu a mal renseigner le questionnaire puisque ce doit être envoyer en automatique grasse au renseignement que tu leur a livrer. ;)
c'est une faille ca aussi? :)
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.