Sécurité et Intégrité
Introduction
Les élections en ligne organisées par “Edifice Vote” sont sécurisées et garantissent l’intégrité du vote. Nous mettons tout en œuvre pour garantir la confidentialité des données et la transparence du processus électoral.
Dans ce cadre, nous respectons les exigences du RGPD et les recommandations de la CNIL adaptées au vote électronique pour les élections de représentants de parents d’élèves.
Règlement Général sur la Protection des Données (RGPD)
Le Règlement Général sur la Protection des Données (RGPD) est une réglementation européenne qui vise à protéger les données personnelles des citoyens de l’Union Européenne. Edifice est conforme au RGPD et s’engage à protéger les données personnelles des utilisateurs.
Pour prendre connaissance de notre registre de traitement, contactez notre dpo à l’adresse : dpo@edifice.io
Recommandations de la CNIL
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié des recommandations pour le vote électronique. “Edifice Vote” respecte les objectifs liés à ces recommandations en proposant des solutions adaptées aux élections de représentants de parents d’élèves. À noter qu’une nouvelle recommandation est en projet et disponible via ce lien.
Conformité aux exigences
| Objectifs de sécurité | Edifice Vote |
| 1-01 : Mettre en œuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l’éditeur et/ou rendue publique par des tiers). | Conforme – Notre outil SonarQube assure désormais l’analyse de la qualité du code de EDIFICE Vote. – Clever Cloud en tant que PaaS et DBaaS garantit le cloisonnement des services de ces différents clients |
| 1-02 : Définir le vote d’un électeur comme une opération atomique, c’est-à-dire comme comportant de manière indivisible le choix, la validation, l’enregistrement du bulletin dans l’urne, l’émargement et la délivrance d’un récépissé. | Conforme Le système effectue toutes les actions sans discontinuité jusqu’à la délivrance du recépissé dans la même transaction SQL atomique. Le vote n’arrive à la base de données qu’après traitement et anonymisation, en effet l’urne et la liste d’émargement ne sont pas liées. |
| 1-03 : Authentifier les électeurs en s’assurant que les risques majeurs liés à une usurpation d’identité sont réduit de manière significative. | Conforme L’authentification des utilisateurs ayant accès au scrutin est effectué selon une authentification multifacteur : – Un identifiant fourni par voie papier est fourni à l’électeur – Un code d’identification à usage unique est envoyé par mail. En cas de saisie de code pin erroné, un mécanisme d’attente est mis en place pour éviter les attaques par bruteforce. |
| 1-04 : Assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant. | Conforme Le bulletin est chiffré avec la clé publique via l’algorithme AES-GCM puis chiffré une seconde fois pendant son envoi par le protocole TLS/SSL. |
| 1-05 : Assurer la stricte confidentialité et l’intégrité du bulletin pendant son transport. | Conforme Les échanges sont chiffrés avec le protocole TLS 1.2 conformément à l’état de l’art. |
| 1-06 : Assurer, de manière organisationnelle et/ou technique, la stricte confidentialité et l’intégrité du bulletin pendant son traitement et son stockage dans l’urne jusqu’au dépouillement. | Conforme Le bulletin de vote est chiffré de sa création jusqu’au dépouillement, il est déchiffré lors de la phase de dépouillement uniquement pour compter les voix. Il reste stocké chiffré en base de données et aucune version déchiffrée n’est disponible dans le système. Une altération valide du bulletin ne pourra se faire que si la clé de chiffrement/déchiffrement est compromise. L’algorithme de chiffrement utilisé est AES-GCM, celui-ci fournit un mécanisme de vérification de l’intégrité de la donnée ce qui permet de garantir la confidentialité et l’intégrité du vote. |
| 1-07 : Assurer l’étanchéité totale entre l’identité de votant et l’expression de son vote pendant toute la durée du traitement. | Conforme L’implémentation de l’enregistrement des votes mis en place par Edifice Vote ne conserve aucun lien entre un vote et un votant en base de données. Le bulletin est chiffré par AES-GCM indépendamment de l’identité du votant, ainsi l’accès au bulletin chiffré ne permet pas de remonter à des informations nominatives. |
| 1-08 : Renforcer la confidentialité et l’intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d’un seuil de secret déterminé. | Conforme Afin de procéder au dépouillement, la reconstitution de la clé privée est obligatoire. Celle-ci est partagée en 3 parties dont au moins 2 sont nécessaires pour la reconstitution. |
| 1-09 : Définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin. | Conforme Les vérifications effectuées par la solution ne permettent de lancer le dépouillement tant que l’urne n’est pas scellée et que la clé de dépouillement n’est pas reconstruite. Une fois la clé reconstruite, les votes des participants sont déchiffrés et comptabilisés. |
| 1-10 : Assurer l’intégrité du système, de l’urne et de la liste d’émargement. | Conforme – Un bouton permet de vérifier que le nombre de votes dans l’urne est égal au nombre d’émargements présents dans la liste garantissant ainsi l’intégrité du vote. – Une journalisation permet d’horodater les différents évènements depuis le démarrage du vote. |
| 1-11 : S’assurer que le dépouillement de l’urne puisse être vérifié a posteriori. | Conforme – Un système permet de rejouer le dépouillement en disposant des fragments de la clé privée. – En cas de contrôle, la journalisation opérée décrit toutes les actions produites de façon horodatée pour un contrôle de cohérence. |
| 2-01 : Assurer une haute disponibilité de la solution. | Conforme La haute disponibilité est assurée par Clever Cloud en tant qu’hébergeur de l’infrastructure Edifice Vote. |
| 2-02 : Assurer un contrôle automatique de l’intégrité du système, de l’urne et de la liste d’émargement. | Conforme Le contrôle automatique est effectué par une comparaison entre la quantité de votes cumulés de toutes les listes et le nombre de parents ayant voté en conformité avec la liste d’émargement. |
| 2-03 : Permettre le contrôle automatique par le bureau électoral de l’intégrité de la plateforme de vote pendant tout le scrutin. | Conforme Ce contrôle est rendu possible grâce à une interface de suivi qui permet de surveiller le taux de participation et la feuille d’émargement. |
| 2-04 : Authentifier les électeurs en s’assurant que les risques majeurs et mineurs liés à une usurpation d’identité sont réduits de manière significative. | Conforme L’identifiant et mot de passe sont fournis par deux canaux différents. Mais en cas de vol de ces deux éléments, seule la désactivation de ces moyens sur signalement de l’utilisateur peut empêcher l’exploitation. |
| 2-05 : Assurer un cloisonnement logique entre chaque prestation de vote de sorte qu’il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours. | Conforme – L’accès réseau est segmenté : aucun flux inter-scrutins n’est autorisé. – Au niveau applicatif, chaque scrutin est identifié par un contexte unique qui ne permet pas de croisement ou de fuite de contexte. – Chaque scrutin possède ses clés de chiffrement spécifiques |
| 2-06 : Utiliser un système d’information mettant en œuvre les mesures de sécurité physique et logique recommandées par les éditeurs et l’ANSSI. | Conforme Clever Cloud est certifié ISO27001 donc justifie de mesures de sécurité physique et logique à l’état de l’art. : https://www.clever-cloud.com/fr/security/ |
| 2-07 : Assurer la transparence de l’urne pour tous les électeurs. | Conforme – Tous les bulletins sont chiffrés et signés dès leur dépôt dans l’urne. – Chaque électeur peut vérifier que son propre vote est bien présent dans l’urne, grâce à un reçu cryptographique ou un identifiant de bulletin. |