Le vote pour la couleur du tramway du Grand Besançon a été faussé !

Tous les habitants du Grand Besançon le savent : ils peuvent s’exprimer sur la couleur de leur futur tramway.
La France entière est même au courant depuis que Jean-Louis Fousseret ((Maire de la Ville et Président de la Communauté d’Agglomération)) a fait la publicité de cette consultation sur l’antenne d’Europe 1 le 27 avril dernier.

L’annonce de la couleur qui aura remporté le plus de suffrages sera faite le samedi 4 juin à 18h00 à la Foire Comtoise de Besançon.
Nous connaîtrons alors la livrée définitive du tramway du Grand Besançon.

Mais voilà qu’une annonce inattendue pourrait bien gâcher la fête : de nombreux votes effectués par Internet ne correspondraient pas aux choix des Grands Bisontins !

C’est en tout cas le message que délivre une étonnante vidéo postée ce vendredi 27 mai sur YouTube par un certain TramwayRose. Un pseudo très prometteur…

La vidéo a été signalée ce samedi 28 mai sur le site undernews.fr vraisemblablement par celui qui en est l’auteur. L’information est parue sur Twitter à 14h25 :

Voici la vidéo

Que voyons-nous sur cette vidéo ?

Nous y voyons un écran d’ordinateur sur lequel s’enchaînent automatiquement les actions générées par un script ((Un script est un programme écrit en langage informatique permettant d’exécuter automatiquement des tâches simples comme entrer des données dans un formulaire, valider, envoyer un email…)).

Ce script vote sur le site du tramway et il ne fait pas dans la demi-mesure !
Cette vidéo dure 1minute 10 mais elle est accélérée. N’empêche que l’on y voit 11 votes s’enchaîner sans aucune intervention humaine.

Un texte accompagne cette vidéo. Son auteur s’adresse aux Bisontins :

Message à l’attention des habitants de Besançon:

Fidèle auditeur d’Europe1 j’ai appris il y a quelques semaines que la mairie de Besançon souhaitait faire participer la France entière à un vote permettant de choisir la future couleur du Tramway de la ville!

J’en suis ravi car vous savez moi j’aime tout particulièrement la couleur rose, de ce fait je n’ai pu m’empêcher par amusement et par défi de créer un outil informatique se chargeant de voter de manière automatique…

Pour rappel, j’avais commis un billet sur cette interview de Jean-Louis Fousseret dans laquelle le Maire appelait l’ensemble des Français (!) à choisir la couleur du tramway bisontin.
Il semble que cet appel ait été entendu !

TramwayRose décrit ensuite le fonctionnement de son « outil informatique ».

C’est l’exécution de cet outil que vous pouvez voir sur cette vidéo. Comme vous pouvez le constater celui-ci prend soin d’utiliser des adresses IP ((l’adresse IP est le numéro d’identification d’un ordinateur sur Internet)) et des adresses email différentes à chaque vote en utilisant le réseau Tor et un dictionnaire d’adresses spécialement conçu.
Mon outil prend également soin d’insérer aléatoirement quelques votes blancs et bleus dans la liste, il ne faudrait évidemment pas que ce sondage paraisse truqué 🙂

Effectivement, en regardant attentivement cette vidéo, nous remarquons que les 11 votes sont répartis de la manière suivante :

  • 9 pour le choix rose
  • 1 pour le choix blanc
  • 1 pour le choix bleu

Nous observons donc une majorité de votes « roses » et quelques votes « blancs » et « bleus » s’intercalant entre les autres afin de ne pas trop attirer l’attention.

D’ailleurs je n’ai pas pu m’empêcher de remarquer la tentative désespérée de renforcer ce système au dernier moment… ahhh si seulement cela avait été fait correctement !

Sachez qu’utiliser une chaine dérivée (empreinte MD5) de l’adresse mail utilisée pour voter comme jeton de validation n’est pas un mécanisme de protection efficace. Il est toujours possible d’utiliser des emails n’existant pas puisque le numéro aléatoire servant à la validation est prévisible.

Des explications complexes pour les néophytes mais en clair : notre « bidouilleur fan de rose » taquine les concepteurs du formulaire de vote qui, d’après lui, n’ont pas pris les mesures de sécurité suffisantes pour empêcher des votes multiples.

Il est vrai que dès les premiers jours du vote, certains internautes avaient remarqué et signalé sur Twitter qu’il était possible de s’exprimer autant de fois qu’on le souhaitait depuis le site du tram.

Dans le numéro du mois de mai 2011 de la Presse Bisontine, un article intitulé « Le Tram en voit de toutes les couleurs » se voulait rassurant mais son auteur n’avait visiblement pas saisi l’ampleur de la faille repérée :

Pas daltoniens les informaticiens. Une fausse polémique sur le vote de la couleur du Tram courait depuis que certains internaute affirmaient que l’on pouvait voter plusieurs fois avec la même adresse Internet pour désigner la couleur du futur tramway de Besançon. En clair, le résultat définitif aurait pu être biaisé. Il n’en est rien « car seul le dernier vote Internet est pris en compte » explique la Communauté d’Agglomération du Grand Besançon (…)

Ce n’était évidemment pas le vote multiple avec la même adresse email qui était pointée du doigt mais la possibilité de voter avec des adresses librement inventées du type par exemple : jojo12321@gmail.com puisqu’AUCUN mail de validation n’y était envoyé.
Cela est resté possible pendant plusieurs semaines. Je l’avais d’ailleurs signalé dans ce billet.

Enfin, le 11 mai dernier, je remarquais qu’une mesure de protection avait été ajoutée : chaque vote était désormais suivi de l’envoi d’un email comportant un lien de validation.

Mais quid des votes multiples réalisés avant cette mesure ? Nous ne le saurons sans doute jamais.

Quoi qu’il en soit, cette mesure de protection était visiblement insuffisante.

Cet outil a donc été exécuté durant plusieurs jours, et a ainsi voté et validé un nombre considérable de voix « roses ».

Si notre bidouilleur a effectivement « laissé tourner » son script pendant plusieurs jours, nous pouvons aisément imaginer que le nombre de votes « fictifs » validés est très important. Ces votes fictifs (mais bien réels) peuvent sans doute modifier les résultats de la consultation !

Pensez vous que les services de la mairie pourront faire la chasse à ces votes fictifs ? Le tout sans effacer de votes légitimes ? Cette tâche me parait difficile et c’est pourquoi je pense que le futur tram de votre ville devrait être rose !

Bah voyons ! On espère vivement que les services techniques concernés parviendront à trier « le bon grain de l’ivraie »… vous pouvez hein les gars ???

Afin de ne pas laisser subsister de doute je mets à disposition ici http://pad.korben.info/kOg8Q6BmL6 le fameux script en tant que preuve.

La liste des emails utilisés pour le vote n’est évidemment pas fournie, je ne voudrais pas que l’identification des votes fictifs soit trop facile…

Vous trouverez en dessous de cet article l’avis d’une personne plus compétente que moi pour discuter de la fonctionnalité de ce script.

Et puis après tout, peut être que vous avez également voté en masse pour cette si belle couleur !

Vive le tramway rose ! Vive les consultations populaires !

On pourra effectivement toujours nous dire ça.
Que c’est le choix majoritaire qui s’est imposé.

Mais si la couleur définitive s’avère être le rose, le doute sera plus qu’installé.


Avis de spécialiste

Je n’ai pas voulu publier de billet sur cette vidéo sans avoir l’avis d’une personne compétente pour m’éclairer sur le contenu du script et sur la faisabilité technique de ce qu’avance son auteur.

J’ai ainsi interrogé Yves Tannier – développeur Web – et il m’a aimablement répondu :

Le script donné en lien est-il fonctionnel et est-il repérable ?

fonctionnel : OUI
repérable : NON. Lancé depuis le réseau TOR, il n’est pas détectable. La personne a ajouté une ligne pour faire passer son script pour un navigateur (Firefox).

Quelles mesures de protection auraient pu mettre en échec ce type de votes automatiques ?

Il aurait déjà fallu, parmi d’autres mesures pour éviter les fraudes, enregistrer un VRAI code non prévisible.
C’est celui-là qu’il fallait envoyer par mail à l’utilisateur. L’obligeant ainsi à interroger sa boîte mail pour le trouver.
Là, si le lien reçu par mail était http://www.letram-grandbesancon.fr/choisissez-la-couleur-de-votre-tram.html?id=toto@tata.com ça revenait au même que de la « hasher » en MD5 ((le codage utilisé dans le lien à cliquer pour valider n’est pas correctement crypté et très facile à trouver. Il n’est donc pas utile de consulter la boîte mail)).

Yves Tannier m’a également indiqué quelques exemples de mesures qui aurait pu être mises en place afin d’éviter ce type de déconvenue :

– utilisation de cookies sur le navigateur de la personne (même si l’adresse IP de l’ordinateur change, le cookie permet de détecter que l’on a déjà voté depuis l’ordinateur et refuse un nouveau vote).
Cette solution a toutefois ses limites puisque plusieurs personnes de la même famille ne pourraient pas voter depuis le même poste.

jeton (token) empêchant un peu plus de voter depuis un script en obligeant de se rendre sur la page web.
Ici, il n’est plus possible de voter automatiquement. Le clic du doigt humain sur la souris est nécessaire.

J’ajouterais pour ma part un système de protection qui a sans doute fait ses preuves puisqu’il est utilisé par de nombreux sites Web parmi les plus connus (notamment Facebook): le captcha.
Vous savez, cette image comportant des caractères parfois difficiles à lire qu’il convient de recopier pour valider une action.
On vote, on recopie le captcha (ce qu’une machine ne sait pas faire) puis on valide.

Toute personne s’estimant compétente pour apporter un avis technique sur cette « affaire » peut le faire dans les commentaires ci-dessous ou me contacter par mail :

besacontin@gmail.com

Mise à jour – dimanche 29 mai à 0h30

Avant d’aller me coucher, l’idée me prend de tenter de prendre contact avec TramwayRose.
Je l’ai fait depuis sa page de profil sur YouTube et voici les questions que je lui adressées :

Bonjour TramwayRose,

je suis le tenancier d’un blog bisontin et j’ai découvert votre vidéo cet après-midi.
J’en ai fait un billet : http://t.co/XjKuTpq
J’aimerais vous poser quelques questions pour le compléter et pour éclairer la lanterne des Bisontins…. avant qu’ils ne voient définitivement la vie en rose.

– Êtes-vous un habitant du Grand Besançon ?
– Est-ce le goût du défi qui vous a poussé à mettre en place ce vote automatique ? Avez-vous un autre « motif » ?
– Pourquoi le choix de la couleur « rose fuchsia » ? Est-ce vraiment par goût ou pour nous imposer un « tram de fille » ?
– Nana Mouskouri est-elle au courant que vous l’avez associée à votre forfanterie ?

14 réflexions sur « Le vote pour la couleur du tramway du Grand Besançon a été faussé ! »

  1. Krys

    Franchement… quoi qu’il en soit, Vous y croyez, Vous au « choix » possible de la couleur ??? ^^

  2. Inconnu

    Pourquoi devoir choisir qu’une couleur ?
    Qu’ils nous mettent les 3, comme ça tout le monde est content.

  3. Le Belle Etoile

    @ Inconnu – Remarque pertinente, mais les trois couleurs sont déjà à l’intérieur (du moins sur la photographie du projet) : ce sont celles des sièges !

  4. Inconnu

    @ La Belle Etoile – En quoi ça dérange que les trois couleurs sont déjà à l’intérieur ?
    Ca serait sympa d’avoir les 3 couleurs. Le tramway de Reims en à 9 !

  5. Ping : Une vidéo en 3D du trajet emprunté par le tramway de Besançon | le Bison teint

  6. Kinsk

    Peut importe que le vote soit réellement pris en compte ou qu’il ne s’agisse que de démocratie Canada Dry.
    Fausser ce vote par un script n’était ni difficile ni très malin, néanmoins je dis bravo à l’auteur de cette blague.
    En effet il est temps que les responsables, qu’ils soient politiques, chefs d’entreprises, ou responsable de collectivités prennent conscience qu’il faut arrêter de penser qu’il suffit de quelques lignes de code pour faire un site web.
    La sécurité des sites web est rarement au rendez-vous est même si c’est quelques fois sans importance ou amusant comme ici. C’est beaucoup plus grave quand il s’agit de données bancaires, personnelles ou de santé.
    Alors Mr Fousseret, prenez acte de cet échec reconnaissez votre erreur, annulez le vote et embauchez un responsable sécurité.

  7. Saga

    Quelle idée aussi de proposer la couleur rose à la place de la verte, par exemple, en référence à la première ville verte de France ! Aucune communication, un projet imposé à la va-vite, un vote de couleur brouillon… Si le maire était honnête avec ses administrés, pour une fois, il invaliderait cette consultation pour en faire une plus sérieuse. Et en otant cette couleur rose !

  8. Saga

    On attend d’ailleurs la déclaration de Jean-Louis Fousseret sur ses intentions vis à vis de ce vote, en espérant une grande transparence sur les résultats !

  9. Ping : Votes roses automatiques pour le tram de Besançon : comment le problème a-t-il été résolu ? | le Bison teint

  10. nEMA

    Sait-on qui a développé le site ? Les services de la ville ou bien un prestataire extérieur ?

  11. l'arROSEur

    Merci à ces informaticiens payés à rien f*** qui nous ont pondu un système de vote aussi facile à truquer !

  12. Ping : Je vote, je vote, je vote, je vote, je vote pour choisir la couleur du tramway du Grand Besançon | le Bison teint

  13. Ping : | le Bison teint

  14. Ping : ;-) | le Bison teint

Les commentaires sont fermés.