ENQUÊTE FRANCETV INFO. Régionales : comment on a réussi à frauder au référendum du PS

Vendredi matin, francetv info a pu voter à plusieurs reprises, sur internet comme auprès de militants qui tiennent des points de vote dans Paris.

Le référendum en ligne du Parti socialiste sur l\'unité de la gauche aux élections régionales, le 16 octobre 2015.
Le référendum en ligne du Parti socialiste sur l'unité de la gauche aux élections régionales, le 16 octobre 2015. (FRANCETV INFO)

Quelle valeur auront les résultats du référendum du Parti socialiste sur l'unité de la gauche aux élections régionales, qui se déroule pendant trois jours, du vendredi 16 au dimanche 18 octobre ? La question peut légitimement se poser, lorsqu'on constate les possibilités de fraude massive que francetv info a pu expérimenter vendredi matin. 

Dans l'espoir de toucher le plus grand nombre de personnes, le PS a mis en place deux systèmes : 2 000 points de vote tenus par des militants un peu partout en France, et une plateforme internet pour pouvoir voter en ligne. Dans les deux cas, la question est la même : "Face à la droite et l'extrême droite, souhaitez-vous l'unité de la gauche et des écologistes aux élections régionales ?"

Au point de vote, pas besoin de carte d'identité 

Au marché Crimée-Curial, dans le 19e arrondissement de Paris, une poignée d'adhérents socialistes a installé une petite table au coin d'une rue. Sur les bulletins détrempés par la pluie, deux choix : "OUI" ou "NON". La procédure est minimaliste : un nom, une date de naissance et une adresse postale ou électronique, et le vote est enregistré. Nous décidons de faire le test, en falsifiant notre adresse postale. Notre carte d'identité ne nous est pas demandée. Impossible, dès lors, pour le Parti socialiste, de s'assurer que nous ne revoterons pas une deuxième fois, puis une troisième fois, puis une quatrième fois… "Les gens sont consciencieux", veut croire l'un des militants qui tiennent le point de vote. "C'est plus en interne qu'il faut se méfier !", lâche-t-il en rigolant.

Au marché des Enfants rouges, dans le 3e arrondissement de la capitale, rebelote. Nous nous faisons à nouveau passer pour un sympathisant désireux de prendre part au référendum, et cachons évidemment le fait que nous avons déjà voté ailleurs une heure plus tôt. Nous inventons une autre identité, une autre adresse mail, et signons la feuille d'émargement. Personne ne nous demande plus de renseignements. Après avoir voté "oui" une première fois, nous votons "non". 

Sur internet, une adresse mail jetable, et le tour est joué

Si la fraude est possible dans les bureaux de vote "physiques", elle l'est aussi par voie électronique. Sur Referendum-unite.com, la question posée sur l'unité de la gauche est évidemment la même. Pour participer, c'est très simple : il suffit d'entrer nom, prénom, adresse e-mail et code postal. Une heure après l'ouverture du scrutin, nous nous connectons au site, dans le but de tester la sécurisation de la procédure. Nous entrons une fausse identité, un faux code postal, et une adresse e-mail temporaire, qui nous permettra simplement de valider notre vote. Nous votons une première fois "OUI". "Merci ! Nous venons de vous envoyer un courriel. Pour valider définitivement votre vote, vous devez cliquer sur le lien contenu dans ce courriel", nous prévient le site internet. Nous nous exécutons. "Merci, votre vote a été confirmé !" A notre grande surprise, le fait d'utiliser une adresse temporaire et jetable de type Yopmail n'a pas été rejeté par le site. 

Un internaute mal intentionné, souhaitant "pourrir" le résultat (dans un sens comme dans l'autre), peut-il alors voter à nouveau ? Nous retentons l'expérience, d'abord avec la même adresse e-mail. Cette fois, après avoir voté "OUI", nous souhaitons voter "NON", afin d'annuler notre premier vote. Cela nous est impossible. "La valeur du champ e-mail est déjà utilisée." Nous retentons notre chance, mais en créant une deuxième adresse e-mail temporaire. Cette fois, aucun message d'erreur ! La plateforme n'a pas détecté que nous utilisions la même adresse IP, le code qui identifie notre connexion internet.

Nous recommençons encore l'opération, et revotons "OUI". Pas de problème. Nous revotons une quatrième fois ? Pas de problème… Nous avons voté deux fois "OUI", deux fois "NON". Nous arrêtons ici notre expérience. Ses résultats sont édifiants.

Le prestataire choisi par le PS minimise les risques

"La procédure de validation par e-mail est hyper sécurisée", assure pourtant tout de go Thierry Daguzan, le directeur de l'agence de communication Opérationnelle, le prestataire choisi par le PS pour la mise en place de ce vote en ligne. "Après, c'est vrai, si une personne se crée dix adresses mail, elle pourra effectivement voter dix fois. C'est techniquement possible, reconnaît pourtant Thierry Daguzan, interrogé par francetv info. Mais enfin, sur le nombre total de votants, ce sera anecdotique… Même si cent personnes s'organisent pour voter dix fois chacune, cela restera anecdotique. De toute façon, il n'y a pas d'autre moyen de sécuriser ce genre de vote."

Des propos qui font bondir Eric Filiol, expert en cryptologie à l'Ecole supérieure d'informatique, électronique et automatique (ESIEA). "Pas de filtrage par adresse IP, pas de détection des adresses mail jetables... Cette plateforme traduit un mépris total pour la sécurité, et l'incompétence crasse des personnes qui en sont responsables", lâche-t-il, contacté par francetv info.

Non seulement ils passent pour des idiots, mais en plus, cela peut entacher l'image du parti. Il aurait encore mieux valu ne rien faire !Eric Filiol, expert informatique en cryptologieà francetv info

"Sans liste de contrôle, il est impossible de vérifier que les personnes qui votent existent bel et bien, et il est donc impossible de faire un scrutin sérieux. Le pire, c'est qu'à l'arrivée, il sera impossible de mesurer l'ampleur de la fraude, pointe Eric Filiol. Comment faire pour détecter une fausse adresse e-mail et une fausse identité, si on ne dispose pas de base de données sérieuse au départ ? C'est tout simplement aberrant..."

Embarras au siège du PS

Du côté de la rue de Solférino, vendredi midi, l'heure est à l'embarras. "La Haute Autorité du parti fera des vérifications. Maintenant, c'est vrai que si on donne des faux noms, des fausses adresses, il est possible de frauder, et qu'on ne pourra pas recroiser avec les listes électorales. On le savait dès le départ", concède la porte-parole du PS Corinne Narassiguin, interrogée par francetv info.

On compte sur la bonne foi des gens, qui s'engagent sur l'honneur à ne voter qu'une seule fois...Corinne Narassiguin, porte-parole du PSà francetv info

"On a fait un choix, celui de la simplicité. On a pris un risque, qu'on assume totalement." Y compris si, d'ici à dimanche soir, des fraudes massives sont constatées ?