Verslag Les élections simultanées du 26 mai 2019 pour le Parlement européen, la Chambre des représentants et les Parlements de région et communauté

SESSION EXTRAORDINAIRE 2019

13 juin 2019 de Belgique DU COLLÈGE D’EXPERTS CHARGÉS DU CONTRÔLE DU SYSTÈME DE VOTE ET DE DÉPOUILLEMENT AUTOMATISÉS RAPPORT Les élections simultanées du 26 mai 2019 pour le Parlement européen, la Chambre des représentants et les Parlements de région et communauté

Rapport du Collège d’expert systèmes électroniques de v de collecte de

Élections simultané pour le Parlement euro représentants et les Pa commu

Bruxelles, le 7

Rapport du Collège d’exper -

Table des M 1 1.1 1.2 1.3 1.4 1.5 1.6 Mise à disposition des moyens nécess 2 2.1 Modifications concernant les système 2.2 Modifications concernant la publicati 2.3 Modifications concernant le Collège d 3 3.1 3.2 3.2.1 3.2.2 La procédure électorale avec preuve 3.2.3 Éléments techniques du système S

10 3.3 3.3.1 3.3.2 4 4.1 Contrôles effectués avant le jour des é 4.1.1 Contrôles du système SmartMatic .. 4.1.2 Contrôle du système Martine – mod 4.1.3 Relations entre les firmes responsab 4.1.4 4.1.5 4.1.6 Visite du Datacenter au SPF Intérieu 4.1.7 Participation aux séances de format 4.1.8 4.2 Constatations le jour des élections .... 4.2.1 Contrôles dans les bureaux de vote 4.2.2 Incidents dans les bureaux de vote . 4.2.3 Contrôles dans les bureaux principa 4.2.4 Incident : Publication prématurée d 4.2.5 Incident de la transmission des résu

28 4.3 Contrôles effectués après le jour des é 4.3.1 4.4 4.4.1 Code source des logiciels SmartMat 4.4.2 Code source du système Martine ... 5 5.1 Recommandations faisant suite au pr

5.2 Recommandations concernant les pro 5.3 Recommandations faisant suite aux ra 5.4 6

Rapport du Collège d’exp 1 Le Collège 1.1 Composition du Collège En application de l’article 24 de la loi du 7 f 2018 organisant le vote électronique avec suivent sont désignés pour une durée de 5 a Experts désignés par la Chambre des représ effectifs :

M. Bruno DE NYS, M. Kare suppléants : Mme Sophie JONCKH VEREECKEN. Experts désignés par le Parlement flamand effectif :

M. Bart MARTENS ; suppléant :

M. Romain VOES. Experts désignés par le Parlement de la Rég effectif :

M. Emmanuel WILLEMS ; suppléant :

M. Pascal VAN de WALL Experts désignés par le Parlement de la Com effectif :

M. Daniel BRANDT ; suppléante : Mme Susi SARLETTE OS Ces experts constituent le Collège d’experts Le Parlement wallon n’a désigné aucun exp Conformément à l’article 24 § 2 de la loi d désigné en leur sein un président, M. Emm MARTENS. 1.2 Le Collège non permanent Conformément à l’article de l’article 24 § 3 vote électronique avec preuve papier, les ex afin de composer le Collège non permanent 26 mai 2019 pour le Parlement europée Parlements de région et de communauté : Experts désignés par la Chambre des rep BADOUX. Experts désignés par le Parlement wallo Alexandre BUBOIS

DUMORTIER

et M. Jean-Michel DRICOT

HICK

et M. Andreas SCHENK. 1.3 La mission Le rôle, la mission et les moyens du Collège

chapitre 7, article 25, modifié par la loi du 1 « § 1. Lors de l’élection des membres de la C européen et des Parlements de communaut préparation, l’utilisation et le bon fonctionn de décryptage, d’enregistrement et de total procédures concernant la confection, la dist logiciels et des supports d’information élect également la préparation, l’utilisation et le b logiciels et procédures de transmission et de tout logiciel utilisé dans le cadre des élection d’autres modalités que celles prévues par la Les experts reçoivent du ministre de l’Intérie l’ensemble des données, renseignements et contrôle sur les systèmes de vote, d’enregist sur les systèmes de transmission digitale de électoraux, les organismes d’avis visés à l’ar privées — ainsi que leurs membres — assoc déroulement du processus électoral fourniss ainsi que l’ensemble des données, renseigne le contrôle visé à l’alinéa 1er.

Les experts peuvent notamment émettre da l’élection — des votes qui ne sont ni scannés logiciels des systèmes de vote, la transcripti de vote, la transcription exacte, par la lectur bulletin de vote, des suffrages exprimés sur vote, l’enregistrement exact du support de m le support de mémoire destiné à la totalisat suffrages exprimés. Ils peuvent également v transmission digitale des résultats électorau Le Collège d’Experts peut procéder à un aud et l’intégrité du système de vote électroniqu en papier.

Ils effectuent ce contrôle à partir du quaran l’élection et après celle-ci, jusqu’au dépôt du

Rapport du Collège d’expe 1.4 Le rapport « § 2. Au plus tard quinze jours après la clô avant la validation des élections pour ce qu les Parlements de communauté et de régi remettent un rapport au ministre de l’Inté fédérales, régionales et communautaires. » 1.5 Secret « § 3. Les experts sont tenus au secret. Tou conformément à l’article 458 du Code pénal 1.6 Mise à disposition des moye les moyens et ressources nécessaires pour présent article. »

2 Législation Depuis les dernières élections simultanées électronique a fait l’objet de quelques modi 2.1 Modifications concernant le Deux modifications ont été opérées aux syst Un système d’obturation automatiq d’éviter que l’électeur ne place son b scanné. La fente s’ouvre automatiqu et reste ouverte pendant quelques attendre le prochain vote. Pour faciliter le vote des électeurs ma de vote présents dans les bureaux Malines a été muni d’un boîtier élec électeur malvoyant ou aveugle d’ex sans utilisation de l’écran de visualisa 2.2 Modifications concernant la Les codes sources sont publiés par le SPF élections.

Ils ne comprennent pas les élém pendant une période de 6 mois. 2.3 Modifications concernant le Les membres du Collège permanent Parlement européen. Ils restent en p pas eu lieu. Le rôle du Collège d’experts est éten élections, même lorsque le vote ne s d’experts permanent les moy l’accomplissement de ses tâches. peuvent confier au Collège d’expert contrôle et d’étude relatives à la sé systèmes, logiciels et matériels utilis

3 Description des systèmes Deux systèmes sont à considérer pour le co 1. le système « Martine » développé p des données de base pour l'électio collecte des résultats provenant d dépouillement, le calcul et la diffusio 2. le système de vote électronique m utilisé dans 157 communes de la r région de Bruxelles -Capitale et germanophone. Ces systèmes sont pour l’essentiel identiqu communales de 2018.

3.1 Description fonctionnelle gl Avant les élections, le système Martine ser candidats pour confectionner les listes. Les opération sont intégrés à l’environnement d clés USB utilisées le jour des élections. Le jour des élections, à la clôture des opéra du président génère un fichier résultat « X7S des votes émis dans ce bureau. Au bureau principal, le système Martine i central qui effectue la totalisation de tous calcule les résultats complets de l’élection e Pour le vote traditionnel, dans le bureau l’encodage des résultats des bureaux de dé 3.2 SmartMatic 3.2.1 Description fonctionnelle Le système SmartMatic existe en deux vers fois en 2012 et une version 2018 utilisée élections de 2018 ou de 2019, ont décidé d L’urne et la machine du président La version 2012 est constituée d’un ordi connectés un hub USB muni de deux clés US lecteur-enregistreur de cartes à puces.

Les bureau de vote, tant pour la machine du L’urne est composée d’un réservoir destin machines à voter et est coiffée d’un scanne

Dans la version 2018, le PC du président d écran tactile connecté au hub USB de l’urne La machine à voter La machine à voter SmartMatic est un ordin placés avec un boîtier particulier muni d’un et d’une imprimante intégrée. L’interrupteu électrique, les connecteurs USB, le connec arrière. Les seuls composants de l’ordina lecteur de carte à puce, l’écran tactile et l’im machine à voter n’a ni clavier ni disque dur.

Dans deux cantons (Alost et Malines) expéri voyants et les aveugles, les machines à voter de brancher un casque audio et disposant de des élections, des listes et des candidats. À l’occasion des élections, deux versions d version originale de 2012 et la nouvelle ver au niveau de la taille de l’appareil, des po l’imprimante. Pour le reste, elles offrent les 3.2.2 La procédure électorale avec L’ouverture du bureau de vote ave La première opération consiste à démarrer clés USB identiques qui lui ont été fournies Le président et son bureau vérifient le bon démarrent la machine du président.

Ensu machine du président et des périphériques carte à puce, clavier, souris…). La machine du président demande de dém USB est nécessaire pour démarrer les mach à voter sont prêtes, les clés USB sont réintro Le déroulement du vote Le vote est réalisé sur la machine à voter voter imprime une preuve papier reprenant représentations sous forme de QR-code. Chaque électeur reçoit une carte à puce i l’emporte dans l’isoloir et l’introduit dan initialisée, non initialisée ou déjà utilisée est l’opération de vote et ne contient aucune enregistrer le vote.

L’écran affiche des indications pendant tou l’électeur de choisir la langue de l’interface

blanc, vote en tête de liste, un ou plusieurs élection que le système lui présente. A chaq avant de passer à l’étape suivante. Lorsque élection sur l’écran tactile, le vote est définit qu’il n’est pas confirmé, l’électeur peut ann Après confirmation du vote, la machine à vo ainsi que sous la forme d’un QR-code sur l’électeur à retirer la carte à puce. Dans un scanner le QR-code de sa preuve papier au du QR-code est alors affiché à l’écran et l’él L’électeur se dirige ensuite vers l’urne où il son bulletin de vote au-dessus du scanner visuelle que le QR-code a bien été lu et en fente de l’urne s’ouvre et l’électeur introdui la carte à puce au président ou à un assesse La clôture du bureau de vote A l’issue du scrutin, le bureau de vote est clô clés est imprimé.

Ce rapport est signé de bureau de vote et joint à leur PV. L’urne est ouverte et les bulletins « preu enveloppe. Cette enveloppe contenant les procès-verbal, les clés USB du bureau et l’e sont emmenés au bureau principal. 3.2.3 Éléments techniques du systè bureaux de vote Le système SmartMatic utilisé dans les burea mémoires de type clés USB. Ces clés USB co les données nécessaires au fonctionnemen président et machine de vote) et périphériq un isoloir).

Les clés USB sont produites de manière cent tous les bureaux de vote, tant pour la ve matériel SmartMatic. Elles ne deviennent sp premier démarrage et l’introduction du correspondant. À partir de ce moment, les clés ne peuvent vote spécifique. La clé contient par ailleurs deux zones de st informatique : l’une est propre et spécifiqu bureau de vote le jour des élections. Dans « partition SmartMatic ».

L’autre sert au s bureau de vote qui doivent être transfé

totalisation par commune et le calcul de rapport, elle est identifiée en tant que « pa Partition SmartMatic À chaque bulletin de vote scanné par l'urn dans un fichier signé et crypté avec /SAESLocal/SAES/Votes » de la clé. À la fin d fichiers « .VT » qu'il y a eu de bulletins scan Au moment de la clôture des opérations, un est généré pour chaque élection. Ces fichie de manière à ne pouvoir être décryptés qu totaliser.

Partition Martine À la clôture du bureau de vote, les fichiers « fichiers de contrôle, sont copiés depuis l Martine. Parmi les fichiers de contrôle se trouve le f bureau de vote du «Rapport des chiffres-clé 3.3 Martine Martine est une plateforme en ligne multitâ de la structure de l’élection, du nom et du no de bureaux de vote par commune et de dépôts, des PV d’arrêts, des PV de dépouille Les acteurs concernés par Martine sont : les communes, les bureaux principaux, les candidats, le pouvoir organisateur.

3.3.1 Infrastructure La solution repose sur un environnement Centos/Redhat et VMware ESXi hypervisor. 3 serveurs. Tous les modules sont déployés du mode de fonctionnement « actif/actif » serveur fonctionnent en mode « actif/passi Au minimum deux lignes redondantes sont alerte. Les bases de données principales continu. Les infrastructures sont équipées d Internet, de switches, firewalls… redondant

3.3.2 Logiciels Martine est construite à partir d’ensemble en trois catégories : « Web modules », conçus pour les u « Back end modules », pour gérer e des candidats ; « Support modules » à usage interne Les modules Martine propose les modules décrits ci-dess 3.3.2.1.1 MA1X (Web) MA1X offre les outils pour préparer les liste 3.3.2.1.2 MA2X (web) MA2X est utilisée par l’équipe du bureau p bureaux de votes « papiers » les donnée système.

Pour les bureaux de vote électron via l’introduction de la clé USB SmartMatic sont transférés vers MA2X et enregistrés po MA2X s’occupe également de la productio bureau principal. 3.3.2.1.3 MA3X (web) MA3X contient les informations relatives dépouillement : les adresses et personnes d bureau, etc. MA3X est également utilisé par MA1B (voir des utilisateurs authentifiés. 3.3.2.1.4 MA1L MA1L sert à la préparation des actes de dép 3.3.2.1.5 MA1B (Web) MA1B va réceptionner les actes de candida d’arrêt définitif avec le détail des listes reç listes finalisées dans le backend Martine.

3.3.2.1.6 MA3S MA3S supervise les opérations effectuée bureaux principaux. Les modules « Colle l’arrivée des fichiers sur les serveurs centr « Cockpit » permet de suivre toutes les o modules.

3.3.2.1.7 DECRYPT (Support) DECRYPT offre une interface de service à M informations à partir de fichiers de résultat module distinct uniquement pour la sécurit et peut donc être séparé davantage au niv d'accès. Le déchiffrement nécessite la clé de à partir de clés USB. 3.3.2.1.8 MA1-COLLECT (Backend) MA1-COLLECT est le point d'entrée principa de surveillance. Il effectue une validation si un traitement ultérieur par MA2-CALCULAT MA2X pour lire les données de résultat néce Accès aux modules L’accès aux modules destinés aux comm formations politiques est conditionné pa électronique avec le code pin associé.

Ces m Les utilisateurs des modules MA3X ne sont p organisateurs. Ils sont désignés en intern présidents des bureaux principaux (MA3B) contact ») a été mis au point pour perm utilisateurs. Martine associe à chaque bur transmis aux bureaux concernés par la vo organisateur. La personne qui dispose du login/password en introduisant sa carte d’identité et son c SPOC principal pour ce bureau et pourra utilisant uniquement sa carte d’identité nécessaire que pour la première connexion Un SPOC peut désigner un SPOC backup dan

4 Contrôles et constatation 4.1 Contrôles effectués avant le 4.1.1 Contrôles du système SmartM Remise du code source et compila Une réunion de remise du code source et de le 27 février 2019 au SPF Intérieur en présen de la firme SmartMatic et de membres du C Prévue initialement une semaine plus tôt, l une incompatibilité entre les systèmes Sma niveau des modes de calcul de certains élém À l’occasion de cette réunion, SmartMatic a systèmes de vote électronique, cel recommandations des Collèges d’experts (fé Cyber Security Belgium). activation des cartes à puces, présence d’un clapet de l’urne, mise à jour des algorithmes cryptog mise à jour des algorithmes d’empre génération automatisée des codes d listes des caractères typographique passe, méthode d’introduction du mot de p police de caractère plus grande po billets de vote, gestion de l’extraction prématurée d module audio et permettant la na candidats pour les électeurs mal-voy impression du rapport du bureau de lieu et place d’un imprimante à jet d partition FAT32 pour le transferts de Certaines étaient déjà implémentées à l’occ L’application a ensuite été compilée sur suivante : démarrage du PC de compilation d’exploitation Linux Ubuntu 14.04 LT installation d’Ubuntu 14.04 LTS sur l redémarrage du PC de compilation s par SmartMatic ; compilation et génération de l’i (machine de préparation) ;

compilation et génération de l’imag de la machine à voter (VM) ; À la fin de la compilation, une copie du cod ont été copiées sur différentes clés USB représentants de l’organisme d’avis, du Coll Une copie a également été mise sous enve dernière copie, également sous enveloppe s les étapes suivantes devant aboutir à la con élections. Enfin, des représentant du SPF Intérieur SmartMatic se sont rendus à l’agence banca Rapport de l’organisme d’avis L’organe consultatif agréé pour les système l’article 4 § 3 de la loi du 7 février 2014 org papier pour les élections du Parlement euro des Parlements de communauté et de régio d’un système de vote électronique PricewaterhouseCoopers (PwC).

La société PwC a été mandatée pour la vér du système SmartMatic (convention PwC-Sm À l’occasion d’une réunion organisée le 2 présenté un pré-rapport de son analyse approche en plusieurs phases était ind compatibilité entre SmartMatic et Martine a les modules de Martine n’étant pas encore t L’analyse s’est focalisée sur l’application de p le système de duplication, le système du pr voter et l’application de recomptage.

PwC a et a conduit des entrevues avec l’équipe en L’avis définitif a été remis le 12 avril 2019. Les experts ont reçu copie de l’avis définitif Cet avis mentionne toute une série de pro pouvant être neutralisés par des procéd notamment au niveau de l’application d d’injection des listes électorales et des listes Inclusion d'un correctif suite à un avant le pré-rapport de l’organism Le 15 mars 2019, soit une semaine avant le intérieur a découvert et signalé un problèm première génération.

Ces machines sont

reconnues par le système, SmartMatic aya configuration des périphériques pouvant êt La solution au problème consistait donc à aj la machine président, l’information permet de l’accepter comme périphérique autorisé. La société SmartMatic a proposé une sol soumise au Collège. Celui-ci a émis un avis estimant que celle-ci et sa mise en œuvre s’ de la procédure habituelle de génération d décidé de corriger le problème au niveau de et de corriger manuellement le fichier de co Le 25 mars 2019, en présence de représenta et de l’organisme d’avis, les représentants de disque de la machine président en incluant configuration des périphériques.

Cette o compilation et chaque partie a reçu une compilation (copie des images disque pour machine président et pour la machine à vot Création de l'environnement de pr Comme évoqué plus haut, l’environnement de préparation de la clé USB de base dont bureaux de vote le jour des élections. Cet e deux serveurs et un PC lient, tous les trois ra L’image disque « ECM » générée lors la com et ces deux serveurs.

Le 15 avril 2019, dans les locaux du SPF Inté de la clé USB de base, appelée « clé mas représentants du SPF Intérieur en prés représentants de la société SmartMatic. La liste des bureaux de votes a été chargé différents éléments cryptographiques néce Collège en a pris une copie. Génération des impressions d’écra À la suite de la clôture des candidatures en de données contenant les listes électorales dans l’environnement de préparation (« ECM Ceci s’est fait en présence du Collège, le 24 À partir de cet environnement est alors g utilisée sur une machine à voter pour gén candidats.

Ces captures d’écrans sont ensuit des bureaux principaux.

Génération de la « clé master » po Lors de l’approbation plus d’une centaine d par les présidents des bureaux principaux po détecter bien avant. Le risque d’erreur est réel. En effet, à ce stad de la sorte implique de devoir introduire deu l’environnement SmartMatic et une fois dan Suite à ces corrections, le pouvoir organisa duplication sur plus de 9000 clés USB. Le Collège a pris une copie de la « clé master ces contrôles après les élections.

Confection des supports mémoire Le 10 mai 2019, le Collège a visité les loca pour les élections ont été dupliquées. Il contenant les mots de passe. Le couloir rep sécurisé via un système de badge, un garde e fermés à clé. Le personnel chargé de la copie de passe est du personnel propre au SPF Int Environnement de test du Collège Le Collège s’est doté d’un environnement pour l’environnement « ECM » et a généré s une vingtaine d’exemplaires en vue d’eff cantons.

Pour cela, le Collège dispose d’une voter de la génération 2018 avec lesquelles ouverture d’un bureau de vote (dém démarrage de machines à voter ; émission de votes et visualisation de décryptage des fichiers « .VT » à l’aid avec la version lisible du vote. Tous ces tests se sont avérés concluants sur C’est lors de ces tests que le Collège a déco linguistiques du logiciel de la machine à vot allemande apparaît en fin de vote un messa l’aide du scanner à main prévu à cet effet néerlandaise, ce message n’apparait pas.

Le Collège en a averti le SPF Intérieur dès s ce problème et l’organisme d’avis non plus. de cette découverte, il n’a pas été possible générées et mises sous enveloppe.

Interrogé à ce sujet, le SPF Intérieur a com problème se situait dans les fichiers so visiblement inspiré des fichiers de configu communales et provinciales en Flandre en 2 ces élections en Flandre ne souhaitait pas v contrôle supplémentaire. 4.1.2 Contrôle du système Martine La société PwC s'est vu confier le mandat de (accord PwC-Civadis du 26 février 2019). L' concernait (1) la sécurité, l'intégrité, la frau (2) le respect de la législation, (3) le caract PwC a effectué de nombreux contrôles a l'équipe de développement.

Le 17 mai 2019, le collège a assisté à la p évaluation de MA2X (module de traitement là, le Collège avait également reçu le rappo MA2X. En ce qui concerne les autres constatations que sur un nombre important d’entre e fournisseur CIVADIS d’autre part, avaient d interprétation correcte. Au cours de la réun possibilité de répondre par écrit. Cette rép d'évaluation de PwC pour arriver à une vers Au moment de l'édition de son rapport, document mis à jour.

Les commentaires suivants peuvent être for PwC n'a pas étudié un certain nomb leur rapport). Cela inclut les système lire les clés USB et / ou pour envoyer de données centrale de Bruxelles. C nombre de ces éléments sont en fiabilité et la convivialité du système Il a été constaté que jusque peu ava été apportées au logiciel (dernière v analyse approfondie du logiciel, tel q En fin de compte, PwC a donné l’avis suivant effectués et à condition que les instructions manuelles (supplémentaires) nécessaires so vous référant à la définition de l’aptitude, le

raisonnable1 - mais pas absolue - que l’ap répond aux critères d’adéquation définis ci- 4.1.3 Relations entre les firmes res Afin de garantir l’authenticité et la fiabilité d systèmes SmartMatic et Martine (développ création des clés USB et au calcul des résu informatiques sont mis en œuvre : Encryption Signature électronique Calcul d’empreinte numérique (h Somme de contrôle (checksum) Etc. La compatibilité des deux systèmes est donc entre les deux firmes responsables des déve SPF Intérieur a informé le Collège de ce que p la préparation des élections, les sociétés Martine) se rejetant régulièrement la compatibilité ou d’interprétation des implémenter dans leurs logiciels.

Le Collège regrette vivement ce manque de 4.1.4 Analyse des codes sources Le Collège d’experts a analysé succinctem mission, la manière dont la sécurité info différents systèmes, sur base du code sourc entreprises. Le Collège d’experts émet dans relatives à la sécurité des systèmes de vot cryptographiques. Le Collège d’experts suggère aussi de systématiques d’audits, de relectures systé normes de qualité des codes sources et d transparence et la sécurité du processus él cours de la période précédant l'élection (dé et gestion des clés cryptographiques).

Le Collège d'experts constate qu'il a parfoi questions posées à la société SmartMatic.

1 En ce qui concerne le terme « certitude raisonnab relatif au système de contrôle interne au sein des se

4.1.5 Analyse du CCB Périmètre et méthodologie Le Collège d'experts a pu rencontrer des spé Belgique (CCB) et consulter les différents rap L'approche du CCB s'est concentrée sur plus la gestion de la sécurité au niveau pr la sécurité du cycle de développeme des recommandations et le suivi de c un exercice de pénétration du systèm En pratique, ces analyses ont été menées constante avec les sociétés chargées de dé SmartMatic), et/ou en parallèle de organisationnelle des sociétés est égalemen et classés selon, la vraisemblance du risque l'impact sur les élections.

De nombreuses co toutes les demandes ont été rencontrées. Par rapport à l'analyse menée en 2018, sensibiliser les responsables techniques de leurs installations (sites webs, moyens de co Le CCB a également aidé à la mise en place procédures formelles pour les incidents env A la suite de ces analyses et exercices, le amélioré mais que le niveau de sécurité de l élections dans de bonnes conditions.

Cycle de développement et gestion Le CCB a conduit une série d'interviews et sociétés SmartMatic et Civadis. Globalement, le Collège d'experts constate qui auraient pu être identifiées et corrigée production. Sécurité des machines à voter e « Martine » Lors de cette phase d'analyse, le CCB a procé mode dit « purple team »). Le CCB a relevé Ils ont été transmis aux deux sous-traitants a Une réunion a ensuite eu lieu afin de passer

4.1.6 Visite du Datacenter au SPF In Les membres du Collège ont visité le centre serveurs sont situés dans la salle des serveu Le collège a pu constater que toutes les bo sont appliquées : sécurité des personnes (accès restre réseaux (protégés et redondants) alimentation électrique (séparée et base de données (dupliquée en tem 4.1.7 Participation aux séances de f Formations des formateurs L’objectif était de former le personnel com présidents et secrétaires des bureaux de vo que les formations des formateurs ont eu l que le Collège permanent n’en a pas été in formations.

Formations des présidents de bure Les membres du collège ont assisté aux for bureaux de vote des communes suivantes : Alost Anderlecht Berchem- Saint-Agathe Berlare Bruxelles Eupen Lochristi Liedekerke Lubbeek Saint-Josse-ten-Noode Saint-Vith Woluwe-Saint-Lambert Woluwe-Saint-Pierre Zele Globalement, Le Collège a constaté que les Quelques remarques s’imposent cependant la partie clôture du bureau avec les p pas été toujours été expliquée.

Par c ont eu de grandes difficultés pour re il n’y avait pas toujours de mat fourniture des machines de démons été prévu dans leur budget ;

certaines communes ont produit leu certaines machines de démonstrat Lochristi) ; il est clairement dit (et répété) que faut lancer les PC quand même (An ce qui est contraire à la législation soit constitué ; certaines salles ne sont pas adapté bancs pour noter (Anderlecht, Berch il est parfois conseillé de ne pas fa permettant de contrôler son vote (B Le matériel de démonstration étai bureaux de vote n’étaient pas invité Lors des formations il n’a pas toujo débrancher les clés USB des machine 4.1.8 Respect des procédures Lors de l’installation de l’environn A l’occasion de l’installation de l’environnem étonné de découvrir que certains fichiers remis au SPF Intérieur qu’à ce moment et q source remis par SmartMatic à l’occasion de certains de ces fichiers ont par la suite d problèmes soulevés par le SPF Intérieur l’organisme d’avis et/ou considérés comme Ces fichiers ont été soumis à l’organisme d’a Le Collège déplore qu’il y ait une telle disco formalisme de la compilation de référence sous enveloppes scellées, mise au coffre, et la société SmartMatic de certains élém programmation, qui ont une incidence su président et le comportement de la machin Après la clôture du dépôt des cand Il a été rapporté au Collège que, bien que le les présidents des bureaux principaux, certa celles-ci après leur signature formelle.

Ce apporter des corrections à ces listes sans législation. Il s'agit d'une centaine de modifications (ort l'utilisation de caractères accentués ou non À Anvers la liste ‘Piratenpartij’ (liste 23) ma avait bien déposé sa liste, comme la procéd

Un PV pour ce problème a été rédigé, et le dans le tableau final de Martine. Vu les limites de temps pour la confection dernière minute ont contraint les services d ces modifications en dehors de la procédu être la cause d’erreurs. 4.2 Constatations le jour des éle Le jour du scrutin, les membres du Collèg bureaux de votes et dans les bureaux de tot 4.2.1 Contrôles dans les bureaux d Les experts ont effectué des contrôles dan électronique.

Les contrôles ont été principa de tests pour analyse ultérieure, réponse déroulement des opérations. Votes de test Dans chaque bureau de vote contrôlé, des du Collège, souvent en présence d'un assess vote. Les votes émis ont été contrôlés dans conjointement par l'assesseur et l'expert. To à l'écran. Les bulletins ont ensuite été emportés p environnement propre au Collège après le j Questionnaire Un rapport basé sur un questionnaire-type collaboration du président du bureau de consignés.

Ce rapport a été établi afin de po et de proposer des recommandations en co Bureaux de vote contrôlés Les bureaux de vote qui ont été contrôlés so Canton Commune Aalst Aalter Asse Affligem Amblève Hoogstraten Baerle-Duc Bilzen Puurs-Saint-Amands Bornem

Bullange Burg Reuland Bütgenbach Deinze Dilbeek-Schepda Bruges Dudzele Elsenborn Ixelles Etterbeek Lennik Gaasbeek Molenbeek-Saint-Jean Ganshoren Léau Geetbets Glabbeek Hasselt Louvain Herent Jette Kalmthout Kelmis Knokke-Heist Koekelberg Furnes Coxyde Courtrai Rhode-St-Genese Krainem Lennik-Gaasbee Linter Lontzen Ostende Auderghem Raeren Roulers Saint-Gilles Schaerbeek Berchem-Sainte Molenbeek-Sain Saint-Josse-Ten- Woluwe-Saint-L Saint-Trond Ternat Tongres Fourons Watermael-Boit

Rhode-Saint-Genèse Wemmel Wezembeek Woluwe-Saint-Pi 4.2.2 Incidents dans les bureaux de Procédures 4.2.2.1.1 Divers Description ouverture des enveloppes des mots complète du bureau ; volet protégeant les ports USB dans pas de contrôle des votes de test pa enveloppes contenant les clés USB e absence de votes de test. Solution Suivre les instructions du manuel. 4.2.2.1.2 Clés USB connecté à la machine d Lors du contrôle du bureau de vote, on a connectées à l’urne, mais connectées à la m On a éjecté correctement d’abord une clé U a éjecté la deuxième clé USB correctement e clé USB à l’urne.

Dans les configurations « machines présid Collège a vérifié que tous les ports USB sont fonctionnement du système. 4.2.2.1.3 Problème de traduction spécifiqu germanophone La traduction en allemand des documents présidents des bureaux de vote utilisant le v tiennent pas compte des 4 élections dans le Le procès-verbal en langue allemande créé de vote électronique actuelle. Il fait, par exe Matériels 4.2.2.2.1 Exemples Florilège de problèmes techniques rencontr

clés USB non fonctionnelles ; problème au démarrage de la machi redémarrage après clés USB en pann difficultés pour sortir des clés USB d mauvais fonctionnement de l’écran panne de machine de vote ; panne de machine du président ; panne d’imprimante ; problèmes avec l’impression des pre problème de lecture des preuves pa 4.2.2.2.2 Solution En cas de problème avec le matériel des bu contractuellement chargée de remplacer le selon le type de panne.

Les clé USB de rem à 30 minutes pour les points qui bloquent le Autres 4.2.2.3.1 Dysfonctionnement de l’imprima Des bulletins sont restés bloqués dans l’impr électeurs concernés par ce problème ont pu Lors de l’intervention du technicien, le bulle autres -- ont été retrouvés à l’intérieur de l été parfois erronément scannés et placés enregistrant ainsi un deuxième vote pour le Il faut donner instruction aux bureaux de bloqués dans les machines à voter sans quo bulletins doivent être considérés comme nu 4.2.2.3.2 Bulletins placés dans l’urne sans a Il est apparu, lors de recomptages d’urne da de votes scannés était supérieur à celui in bureau de vote.

Après analyse, la seule expl de vote ont été placés dans l’urne sans être 4.2.3 Contrôles dans les bureaux p Les membres du Collège se sont rendus da des élections : − Anvers Berchem Saint-Agathe

− Bruxelles − Eupen − Louvain − Lennik − Malmedy − Saint-Gilles − Saint-Vith − Tongres − Zaventem Une majorité de PC des bureaux principaux l’environnement Martine (cf. 4.2.5). Le help Ce problème mis à part, les experts ont pu prises lors de l’acheminement des clés U parfois non signées, parfois non scellées, pa De même, il a dû être procédé à des recomp avec pour seule conséquence une certaine p 4.2.4 Incident : Publication prémat Web des médias Constatation Le jour du scrutin, vers 15 h 30, les premiers publiés sur le site web de la VRT alors que le Des membres du Collège se sont rendus au les résultats publiés étaient conformes à ce avec les membres du bureau de vote, et en de conclure que: les résultats n'avaient pas encore ét le bureau de vote avait reçu la visite Un responsable du SPF Intérieur a indiqué Martine, ce qui a été confirmé par le site In n'était affiché.

Il a également été établi que le système Ma medias avant 16h40. Conclusion La diffusion prématurée des résultats du pre dehors des canaux officiels par des journ compétence du Collège. La confirmation par le SPF Intérieur qu'au heures (également vérifié via le serveur

résultats publiés par anticipation ont égale officiels. 4.2.5 Incident de la transmission de soir des élections Résumé et impact sur le résultat d La procédure de vote prévoit l’envoi des rés USB des machines président ou encodées à les bureaux principaux vers le système Mart Peu de temps après l’envoi des première majorité des bureaux de canton n’arrivaien système a été indisponible pendant plusieur Après analyse des informations transmises a n’a pas eu d’impact sur les résultats.

Description technique des inciden au Collège 4.2.5.2.1 Incident 1 - Accès impossible à l’e les bureaux de votes L’incident a débuté aux alentours de 16 helpdesk de Civadis pour signaler l’impossib Les modules firewall, load-balancer et bas correctement et les paramètres de charge é possible d’établir de nouvelles connexion différents éléments (réseau et routeurs Pro constaté qu’un nombre important de sessio Martine.

Ces sessions étaient dues au serve a été configuré pour empêcher la résolution Martine. Il s’agit, selon les premières analyse de l’environnement Windows 7 provenan bureaux principaux par Civadis pour encode des routeurs fournis pour l’occasion. La décision a été prise de rediriger les re Martine vers les serveurs DNS du SPF In résorbées aussitôt. 4.2.5.2.2 Incident 2 – Perte de connectivité Après la résolution de l’incident 1, des prob sessions ne pouvaient être initiées et les ses Après analyse, il apparait que la connec permettait pas d’atteindre correctement l possible depuis l’Internet ou le réseau du S proposé le basculement de l’accès au modul

(sur le réseau BELNET). La solution a été ingénieurs du CCB et du CERT présents au S A ce moment-là, la connectivité fut r normalement. 4.2.5.2.3 Incident 3 – filtrage bloquant sur En fin de soirée, un ajout de règle filtrage su les utilisateurs actifs, amenant un grand no supprimée et les opérations ont pu reprend 4.2.5.2.4 Suivi des incidents et conclusion Le lundi 27, le Collège a demandé au direct complète des évènements survenus la vei réunions de crise et de consigner les logs ultérieure.

Le SPF Intérieur a lancé une enqu le Collège, en totale transparence et avec ra Le Collège a pu conclure, au vu des informa conduites, que les problèmes informatiques du processus. Les propriétés cryptograph authenticité des sources d’envoi dans Mar ont été garanties tout au long du processus du système de vote électronique et d’envoi Le Collège a pu également analyser les p procédures de gestion de crise et les analys 4.3 Contrôles effectués après le 4.3.1 Vérification des totalisations Comme à l’occasion des élections de 201 détectés lors des élections de 20182, le Col retotalisation complète des votes contenus les bureaux de vote.

L’objectif était de comparer les résultats o propres logiciels avec les données diffusé élections et également utilisées pour diffus élections https://elections2019.belgium.be/ Récupération des clés USB Afin de pouvoir procéder à la retotalisation, USB utilisées le jour des élections. À cette f à tous les bureaux de canton où est utilisé

2 Dans une commune bruxelloise et une demi-douza de manipulation avait perturbé la clôture du systèm bulletins de vote n’avaient pas été comptés !

regrouper toutes les clés USB aux bureaux Chambre) pour le lundi 27 mai avant 15h. Malheureusement, cette directive n’a pas é De plus, dans certains cantons, aucune pr récolter les clés USB. Il n’a pas été possible manque 3 jeux de clés répartis sur 3 cantons Lecture des clés USB Le Collège a mis au point un environne d'exploitation, logiciel) pour prendre une cop bureaux de vote en vue de leur analyse et de Au moyen de cet environnement, le Collège les clés USB utilisées dans les bureaux princ pris des copies des clés USB utilisées pour communes.

Ces recomptages avaient été d différentes raisons, comme le scan des vo l'annulation de bulletins de vote qui avaient é l'urne Vérification et décryptage des clés L’environnement de copie des supports mé automatiquement à divers contrôles : comparaison des contenus des deux comparaison des logiciels systèmes d jeux de données (communes, listes, de référence ; vérification et décryptage des fichier Le Collège n’a constaté aucune anomalie convaincu de leur authenticité.

Les cryptographiques en place lui permettent ég clés USB authentiques utilisées dans les diffé Au moyen d’un outil logiciel reçu de SmartMa et des différents mots de passe reçus du décryptage de tous les fichiers de type « .VT Le Collège a ainsi pu obtenir pour chaque bu clé) les fichiers « .VT » décryptés. Étant donné les systèmes cryptographiques système, ainsi que le décryptage sans erreur convaincu de l’authenticité des votes enregi

Copie des fichiers « .VT » pour les Au moment de la lecture des clés USB dans des résultats, le système Martine récupère é sur un serveur central. Pour pallier aux clés USB manquantes dans 3 de Civadis, par l’intermédiaire du SPF In enregistrés par le système Martine le soir de Ces fichiers ont été décryptés au moyen des de vote où ils ont été émis. système, ainsi que le décryptage sans erre convaincu de leur authenticité.

Retotalisation complète des clés U Une fois les fichiers « .VT » décryptés, le Co pour effectuer une retotalisation complète bureaux de vote de toutes les communes. Récupération des données transm En vue de capter les résultats publiés, le Col pour les médias. Il s'agissait de mettre en p sécurisé) sur lequel le SPF Intérieur met, via résultats intermédiaires et, dès que disponib Cela a permis non seulement de saisir les rés les résultats ont été envoyés.

Les fichiers reçus ont été stockés dans une logiciel propre au Collège afin de les comp retotalisation (voir ci-dessus). Vérification de la retotalisation Sur la base des totaux ainsi obtenus, le Collè sur les chiffres électoraux que sur les voix d repris sur le site web officiel des élections. Il ces contrôles. De plus, pour toutes les élections, une com effectuée au niveau des résultats par comm chaque liste que des voix de préférence de liste.

Là non plus, le Collège n’a constaté aucune données diffusées par le système Martine.

4.4 Diffusion du code source 4.4.1 Code source des logiciels Sma Le Collège a pu constater que le code sour Intérieur. Le Collège a comparé ces sources avec compilation de référence pour produire les Le code source publié est identique à celui compilation de référence. 4.4.2 Code source du système Mar La loi ne prévoit pas la publication du code

5 Recommandations 5.1 Recommandations faisant transmission des résultats [#2019-BE.1] Le Collège recommande de tenant compte de manière systématique d authentification via eID, etc.). [#2019-BE.2] Le Collège recommande de m des données dans les bureaux principaux e nécessaires (p.ex. au moyen d’un firewall lo [#2019-BE.3] Le Collège recommande d l’infrastructure réelle (et non simulée) plusie devraient, entre autres, éprouver les lim conditions réelles et permettre de vérifier l’ [#2019-BE.4] Le Collège recommande de co données se faisait systématiquement sur un [#2019-BE.5] Le Collège recommande d’é inclure l’analyse des ordinateurs de transmis 5.2 Recommandations concerna [#2019-BE.6] Le collège a constaté lors de s beaucoup de présidents de bureaux épro procédure de fermeture du bureau (formula Le Collège recommande que les formation problèmes. [#2019-BE.7] Le Collège d'experts recomm d'incidents avec entre autres des procéd interviendraient avant, pendant ou après le [#2019-BE.8] Le Collège d’experts recomm systématiquement effacé après les élections [#2019-BE.9] Le Collège d’experts recomm identification claire, nominative et précis bureaux de vote et dans les bureaux princip techniciens. [#2019-BE.10] Le Collège d’experts recomm vote contienne aussi le numéro de la liste commune dans lequel le vote a été émis. [#2019-BE.11] Le Collège d’experts recomm invités à relire la version lisible et la versio avant numérisation et insertion de ceux-ci d

[#2019-BE.12] Le Collège d’experts recomm aux exigences et critères de qualité d développement sécurisé de logiciels. [#2019-BE.13] Le Collège d’experts recomm du système de vote se fasse au moyen d’ou code clair, lisible et pertinemment commen spécifications permettant de produire le décrites, être rendues disponibles et pou programmes, les librairies, leurs versions et documentés avec précision.

Il s’agit développement. [#2019-BE.14] Au vu des manquements procédures, le Collège d’experts recomm effectué pour s’assurer de l’application de t [#2019-BE.15] Le Collège recommande systématiquement lues, tout particulièreme [#2019-BE.16] Le Collège d’experts recomm MD5 ou SHA-1, mais bien de passer à SHA-2 [#2019-BE.17] Le Collège d’experts recomm SmartMatic de manière à éviter tout code Belgique. [#2019-BE.18] Le Collège d’experts recomm un mot de passe soit limité et qu’une politiq par le SPF Intérieur quant à ce qui se passe q (attente d’un délai avant de pouvoir recom [#2019-BE.19] Le Collège d’experts insiste élections soient rendus disponibles sur le si données « open-data » (JSON, CSV…) afin d 5.3 Recommandations faisant s Après lecture des rapports du CCB, les recom Collège. [#2019-BE.20] Le Collège d’experts recomm au niveau de l'infrastructure matérielle que de communication et/ou un « disaster reco [#2019-BE.21] Le Collège d’experts recom manière sécurisée, sans attendre que le CCB [#2019-BE.22] Le Collège d’experts recomm en mode CBC pour l'authentification.

[#2019-BE.23] Le Collège d’experts recomm soit générée et maintenue à jour pendant uniquement à la fin. [#2019-BE.24] Le Collège d’experts recomm des clefs USB et des mots de passe. [#2019-BE.25] Le Collège d’experts recomm génération des clés cryptographiques qu problem » (extorsion de clés par celui qui la [#2019-BE.26] Le Collège d’experts recomm de sécurité, des interdépendances logicielle et des appels à des parties tierces (p.ex. pou [#2019-BE.27] Le Collège d’experts recomm sondes (IDS) qui permette de détecter tout celui strictement nécessaire aux élections) nettoyer tout trafic indésirable. [#2019-BE.28] Le Collège d’experts recomm bureaux de canton pour la transmission de d’exploitation et de logiciels libres, sécurisé fait pour les systèmes utilisés dans les burea 5.4 Recommandations générale [#2019-BE.29] Le Collège d'experts recomm soit évaluée par des experts en ergonomie v [#2019-BE.30] Le Collège d'experts recomm le pouvoir organisateur concernant les éle publié avec hash et signature électroniqu recommande que ces documents soient di site avec fonction de recherche. [#2019-BE.31] Le Collège demande que la lé soit modifiée pour que les supports mém élections soient transmises au plus tard le d’experts. [#2019-BE.32] Le Collège insiste pour que programmation soient présents dans le cod

6 Conclusion Suite à la modification de la législation, le contrôler les systèmes de vote électronique le cadre des élections même lorsque le vot celles prévues par la présente loi ». La missio informatique utilisé dans les communes e papier ». Comme précédemment, le Collège a surtou lui seul pouvait légalement contrôler, en mémoires utilisés dans les bureaux de vote un contrôle exhaustif des résultats de co traditionnel, le contrôle démocratique dans bureaux de cantons concernés étant assuré Dans les limites de la mission, des moyens e ce qui suit : pour les communes et cantons faisa n’a détecté aucune différence entre le système Martine et publiés sur le s exhaustive qu’il a faite à partir d conséquent que les systèmes ont co ces cantons et communes ; pour les communes faisant usage d vent de problèmes, d’erreurs ou d’i partir des PVs des bureaux de dé canton.

Il considère que de tels pro être détectés par ces bureaux eux-m Le Collège estime donc que le problème de des élections n’a pas eu d’impact sur les rés Par conséquent, le Collège estime que l'obje et de les compter selon les dispositions léga Le Collège remercie tous les intervenants av contrôle pour leur coopération : les représe du CCB, les membres des bureaux de vot personnel des communes. Il tient tout particulièrement à remercier le excellente collaboration, leur disponibilité particulier lors de l’analyse du problème de

Rapport du Collè Bruxelles, le 7 juin 2019.

P

Emmanuel Willems Président

Gelijktijdige verkiezingen v Europees Parlemen Volksvertegenwoordigers e Gewestparl

Brussel, 7 ju

Verkiezingen 2019 - Verslag van h

Verkiezingen 2019 - Verslag va 4.2.1.3 Gecontroleerde stembureaus De gecontroleerde stembureaus worden v Kanton Gemeente Sankt Vith Amel Baarle-Hertog Puurs-Sint-Amands Brussel Bullingen Dilbeek-Schepdaa Brugge Elsene Sint-Joost-Ten-Node Sint-Jans-Molenbeek Ganshoren Zoutleeuw Leuven Sint-Jans-Molenbeek Jette Brecht Sint-Jans-Molenbeek Koekelberg Veurne Koksijde Kortrijk Sint-Genesius-Rode Kraainem Lennik-Gaasbeek Oostende Oudergem Roeselare

Verkiezingen 2019 - Verslag van Schaarbeek Sint-Agatha-Berche Sint-Jans-Molenbeek Sint-Jans-Molenbee Sint-Joost-Ten-Nod Sint-Lambrechts-W Sint-Truiden Tongeren Voeren Watermaal-Bosvoo Sint-Pieters-Woluw

Verkiezingen 2019 - Vers Brussel, 7 juni 2019. Vo Voorzitter