Accueil · certificats de l'applet (2012) · applets (2013) · reçus de vote (2013)

Vote par internet des Français de l'étranger pour les législatives 2012 : les reçus de vote

Le serveur des reçus de vote en Espagne ?

Les électeurs Français de l'étranger qui votent aux législatives 2012 par internet utilisent normalement les serveurs de vote et d'émargement situés à Vendôme (41), chez Atos Worldline (par exemple le nom officiel scrutin.diplomatie.gouv.fr est un autre nom de www-election2012-maee.aw.atosorigin.com ou www-election2012-t2-maee.aw.atosorigin.com, et correspond à l'adresse IP 160.92.182.193).

Chaque électeur par internet reçoit un reçu de vote (sans le nom du candidat ou le choix vote blanc).

page du reçu de vote

Il est ensuite possible d'utiliser le site web recudevote.votezaletranger.gouv.fr pour « vérifier » si son vote a été pris en compte. J'ai mis vérifié entre guillemets car vous comprenez bien que vous ne vérifiez pas grand chose : vous avez confié vos identifiant, authentifiant et votre vote à un système informatisé, et si vous lui demandez il vous dit que tout va bien. Vous n'avez aucune garantie que vous êtes le seul à avoir eu cet identifiant par exemple.

Le site votezaletranger.gouv.fr est hébergé par Oxyd. votezaletranger.gouv.fr a pour autre nom 87-252-5-199.oxyd.net et pour adresse IP 87.252.5.199.

Plus étonnant, le site recudevote.votezaletranger.gouv.fr, aussi appelé monvotesecurise.votezaletranger.gouv.fr a pour adresse IP 217.111.179.113.


$ lynx -head http://217.111.179.113
HTTP/1.1 302 Found
Date: Thu, 07 Jun 2012 07:46:58 GMT
Server: Apache
Location: http://monvotesecurise.votezaletranger.gouv.fr/testconfiguration/browser_detect.html?siteLanguage=fr
Connection: close
Content-Type: text/html; charset=iso-8859-1

Sur un accès web avec l'adresse IP ou le nom, on est renvové vers le site de test de configuration. Ça voudrait notamment dire que c'est le seul site web public hébergé sur ce serveur.


$ whois 217.111.179.113
(...)
inetnum:        217.111.179.0 - 217.111.179.255
netname:        NET-ES-ATLAS
descr:          ATLAS-INTERNET-SOLUTIONS-SA
(...)
route:           217.110.0.0/15
descr:           COLT
origin:          AS8220

L'adresse est celle d'une entreprise de services informatique/réseau (ATLAS-IT, filiale de NTT Communications) dont le siège est en Espagne. Sa connexion internet passe par COLT (société télécom).


$ traceroute 217.111.179.113 (depuis divers opérateurs)

L'accès à cette adresse depuis l'Île de France passe par Level3, le plus gros réseau sur internet et arrive chez COLT, à Barcelone apparemment. Et depuis l'Espagne (via Movistar/Telefonica), c'est encore plus direct.

Si on accède en HTTPS, on tombe sur un certificat invalide pour pnyx.scytl.com [copie locale].

certificat scytl.com sur un site gouv.fr électoral

Le Bureau de Vote Électronique a toujours dit que les serveurs étaient en France à Vendôme. N'étant plus délégué d'un candidat au second tour de l'élection, ni candidat, ni électeur par internet sur ce scrutin, je ne suis plus en mesure de leur demander des précisions sur le sujet. Je ne doute pas que quelqu'un se fera un plaisir de le faire.

les erreurs arrivent aussi pendant les élections...

Nota bene : sur les IP voisines .114 répond 404 sur la racine et .100 est mail3.scytl.com, apparemment un serveur de courriels de l'éditeur logiciel espagnol Scytl qui fournit la solution technique.

Obtenir des reçus de vote

Revenons à la page permettant de vérifier les reçus de vote du 1er tour. Après tout je n'en avais jamais vu des reçus de vote moi, je ne suis pas électeur Français de l'étranger votant par internet, j'ignore même à quoi ressemble un identifiant de reçu en fait.

Remarque : il y en a une autre page pour le second tour, non encore active ; c'est le message d'erreur différent qui nous indique qu'elle sera bien là « Le portail de vérification est actuellement indisponible. » au lieu de celui sur une mauvaise adresse « Le test de configuration est actuellement indisponible. ».

Donc nous avons 126947 votants par internet au premier tour. Et on leur a attribué des codes alphanumériques (a priori) à 10 chiffres pour les reçus de vote. Par contre on leur demande juste les quatre premiers sur la page pour le retrouver. Quatre caractères alphanumériques ? Mettons 64 possibilités (majuscules, minuscules, chiffres, ...), donc un total de 644 combinaisons, soit 16 millions. Pour 126947 votants. Soit 0,75% de trouver quatre caractères valides en tapant au hasard.

Par exemple si on tapait au hasard entre "1000" et "1200" (1000, 1001, ..., 1199, 1200), ce sont des codes aussi valables que d'autres. Alors on découvrirait que 10154bWntG et 1149LdtmEI sont des identifiants de reçu valides (2 en 201 essais donc).

En tout cas ça fera un moyen de vérifier les infos de Paul Da Silva concernant la possibilité de voter pour un candidat fantôme et de choisir son identifiant si on voit apparaître un reçu pour AAAAAAAAAA au second tour.

Merci à Xavier pour son aide.

Accueil · certificats de l'applet (2012) · applets (2013) · reçus de vote (2013)

Dernière mise à jour : 2012/06/12

Ce document est placé sous licence Creative Commons by-sa.

Pour me contacter ou avoir des informations, envoyez-moi un message à oumph@free.fr.