Étiquette : vote électronique

  • Absten­tion et vote élec­tro­nique

    Je pour­rais me conten­ter de poin­ter que, là où il y a vote élec­tro­nique (les quelques bureaux avec encore des machines locales, ou les français de l’étran­ger), il n’y a pas de taux de parti­ci­pa­tion signi­fi­ca­ti­ve­ment plus forte.

    Je vais quand même ajou­ter une évidence.

    Il y a des excep­tions mais la plupart des français de métro­pole sont 10 minutes de leur bureau de vote, 15 maxi­mum, bureau dans lequel ils reste­ront proba­ble­ment moins de 10 minutes.

    Si ces personnes ne sont pas prêtes à inves­tir en 2× 30 minutes par an pour déter­mi­ner l’ave­nir du pays et de leurs collec­ti­vi­tés, le problème n’est pas dans la présence ou l’ab­sence d’une app de vote sur leur smart­phone.

    Mépri­ser les autres en les trai­tant impli­ci­te­ment de flem­mards n’y chan­gera rien.

    Vu le désa­li­gne­ment entre le corps poli­tique et les citoyens, la propor­tion de non-adhé­sion avec les déci­sions prises, le senti­ment d’im­puis­sance et d’ab­sence de contrôle sur ces déci­sions, le manque de diver­sité dans l’offre poli­tique et de repré­sen­ta­tion de cette diver­sité au niveau des instances élues, le nombre de personnes qui se sentent tota­le­ment lâchées voire exclues par l’ad­mi­nis­tra­tion, la verti­ca­lité du fonc­tion­ne­ment réel du pouvoir en Fran­ce… croire que la ques­tion vient du vote élec­tro­nique est surtout très satis­fai­sant pour ne pas se remettre en cause.

    Et si plutôt on mettait en œuvre un vrai chan­tier démo­cra­tique ? Et si on s’as­su­rait d’uti­li­ser autre chose que des scru­tins majo­ri­taires à deux tours pour notre repré­sen­ta­tion ?

    Je vous vois venir, à me dire que ce n’est pas ça qui est vrai­ment le problème, tant que les gens ne s’in­té­ressent pas à la poli­tique.

    On a eu ces dernières années un enga­ge­ment majeur de la popu­la­tion au niveau poli­tique. On a eu tout le mouve­ment des gilets jaunes dont la propo­si­tion phare était le réfé­ren­dum d’ini­tia­tive citoyenne pour avoir une parti­ci­pa­tion directe dans la vie poli­tique. On a eu des mouve­ments sociaux qui portaient de vrais messages poli­tiques sur les retraites ou les liber­tés. On a eu des péti­tions qui ont enfin passé les quorums néces­saires pour impo­ser des inscrip­tions à l’ordre du jour parle­men­taire.

    Croire que l’abs­ten­tion relève du désin­té­rêt de la vie publique et des ques­tions poli­tique c’est se mettre le doigt dans l’œil jusqu’au coude.

    Le fond c’est au contraire que la poli­tique ne les laisse pas s’y impliquer autre­ment que comme on leur dit, en glis­sant une fois de temps en temps un chèque en blanc pour des partis dont ils ne veulent majo­ri­tai­re­ment pas (ce n’est pas une opinion, ce sont les chiffres réels des élec­tions), en votant pour l’un afin surtout de reje­ter l’autre. Faire ce chèque en blanc par inter­net risque de ne pas chan­ger fonda­men­ta­le­ment le problème.

  • Oui mais l’Es­to­nie…

    L’Es­to­nie utilise massi­ve­ment le vote élec­tro­nique pour ses élec­tions. C’est un peu vu comme le joker dès qu’on parle de vote élec­tro­nique et de ses diffi­cul­tés. « L’Es­to­nie y arrive bien », en oubliant que c’est quasi­ment le seul pays avec la Corée du sud à avan­cer sérieu­se­ment sur cette voie, les autres ayant fait machine arrière, ou sont au mieux restés sur un status quo défec­tueux.

    L’Es­to­nie propose en effet le vote élec­tro­nique en paral­lèle du bulle­tin papier depuis 2005. L’élec­teur choisi ce qu’il utilise, sachant qu’un vote papier annule le vote élec­tro­nique corres­pon­dant. Le contexte est parti­cu­liè­re­ment favo­rable puisque l’ac­cès à Inter­net y est consi­déré comme un droit social. Aux dernières élec­tions c’est quasi­ment la moitié des votants qui utilisent la procé­dure par Inter­net.

    Encou­ra­geant mais c’est une histoire qui n’a pas été toute rose.

    En 2011 Paavo Pihel­gas a prouvé qu’il était possible de chan­ger le vote d’un élec­teur sans que celui-ci ne le remarque. La véri­fia­bi­lité du vote par l’élec­teur n’existe que depuis 2013. Elle est de plus limi­tée dans le temps et ne garan­tit pas la prise en compte dans le résul­tat. Elle sert juste à véri­fier que le logi­ciel utilisé par le votant n’a pas envoyé un vote diffé­rent de celui souhaité.

    Le logi­ciel serveur n’était pas ouvert avant 2013. Le logi­ciel client ne l’est toujours pas aujourd’­hui, par choix.

    Une équipe d’ex­perts inter­na­tio­nale a montré en 2014 des défaillances abon­dantes dans les proces­sus, des vulné­ra­bi­li­tés graves, un modèle de sécu­rité obso­lète, un manque de trans­pa­rence et des attaques possibles de grande enver­gure pour modi­fier l’élec­tion à la fois côté client et côté serveur.

    Le système prétend avoir une véri­fia­bi­lité de bout en bout depuis 2017 mais une équipe de cher­cheurs inter­na­tio­naux a contesté cette affir­ma­tion depuis.

    Plus globa­le­ment, la commis­sion d’ob­ser­va­tion élec­to­rale a émis des inquié­tudes avec des points à corri­ger régu­liè­re­ment (2007, 2011, 2013, 2015). C’est toujours un débat public en 2019 jusqu’au ministre des nouvelles tech­no­lo­gies.

    Pour termi­ner par une vraie note posi­tive : Le système semble faire l’objet d’un débat public construc­tif perma­nent, et évolue en réponse. Rien que ça est une réus­site sociale comme on en a peu chez nous. Ça mérite d’être souli­gné.

    Et tech­nique­ment ?

    Ils utilisent la crypto de leur carte à puce qui leur sert de carte d’iden­tité et d’à peu près tout, y compris pour des prêts bancaires.

    Leur vote a une double enve­loppe. L’en­ve­loppe externe, chif­frée, est signée pour iden­ti­fier l’élec­teur. Elle contient elle-même le vote chif­fré. Les serveurs de vote ont la première clef (iden­ti­fier le votant) mais pas la seconde. Les signa­tures sont reti­rées des votes avant l’étape de dépouille­ment, assu­rant une isola­tion théo­rique entre les iden­ti­tés et les votes.

    Depuis 2017 le dépouille­ment utilise les proprié­tés homo­morphes du chif­fre­ment comme le fait Helios, mais ils conti­nuent aussi de déchif­frer les votes pour les comp­ter en plus à l’an­cienne en paral­lèle.

    L’État esto­nien est maître du système

    Le logi­ciel client n’est même pas open source. Même si ça ne garan­tit pas tout, on n’a pas le mini­mum. C’est impor­tant parce que le système permet plusieurs votes du même élec­teur, seul le dernier étant pris en compte. C’est vu comme une défense contre la contrainte (si tu es contraint, tu peux revo­ter derrière). Un second mali­cieux vote peut très bien être envoyé après celui de l’élec­teur, à son insu, et rempla­cer l’ori­gi­nal.

    La sépa­ra­tion entre les iden­ti­tés et les votes est théo­rique. Une fois le vote envoyé il faut faire confiance au serveur pour respec­ter le code source public et effec­ti­ve­ment reti­rer les iden­ti­tés avant les dépouille­ments (et contrai­re­ment à Elios, ils déchiffrent les votes eux-mêmes). Rien ne le garan­tit.

    La clef de déchif­fre­ment des votes eux-mêmes n’est pas parta­gée entre diffé­rents acteurs aux inté­rêts diver­gents et est donc parti­cu­liè­re­ment sensible aux malver­sa­tions (encore plus que ce qui est décrit pour Helios).

    Enfin, il n’y a aucune véri­fia­bi­lité publique. Si on parle de chif­fre­ment homo­mor­phique comme Helios, l’urne n’est pas publique et seules les auto­ri­tés en place et personnes dési­gnées par elles ont le droit de procé­der à une véri­fi­ca­tion du dépouille­ment.

    Le proces­sus est parfait tant que tout le monde est de bonne foi et se fait confiance mais…

    En pratique, les auto­ri­tés esto­niennes ont la capa­cité d’igno­rer des votes, d’en rempla­cer, ou de cher­cher qui a voté quoi.

    Il ne faut comp­ter que sur leur promesse de ne pas le faire.

    Sachant que le gouver­ne­ment, en coali­tion avec l’ex­trême droite, est tombé en début d’an­née pour des scan­dales de corrup­tion, on peut consi­dé­rer que les choix esto­niens ne sont pas sans risques.


    Afin de modé­rer toute­fois, et pour reprendre une conclu­sion simi­laire à celle de l’ar­ticle sur Helios. Un système répond à des besoins et un contexte spéci­fiques.

    Je ne juge pas leurs choix, ne connais­sant ni leur histoire ni leurs enjeux spéci­fiques. Je tiens aussi beau­coup à l’au­to­dé­ter­mi­na­tion démo­cra­tique et je n’ai pas à leur impo­ser un choix que je trouve meilleur.

    Je ne prétends pas non plus que tous les pays avec du papier font mieux. Je peux par contre affir­mer le système papier français est bien plus sûr que l’éven­tuelle trans­po­si­tion du système élec­tro­nique esto­nien en France, et que ce dernier est très loin de me faire rêver.

  • Parlons un peu Helios

    Helios fait à ma connais­sance partie des systèmes les plus avan­cés pour du vote élec­tro­nique. On l’avait mentionné briè­ve­ment ici il y a deux ans dans les discus­sions au sujet du vote élec­tro­nique mais je ne crois pas qu’il y ait eu de révo­lu­tion depuis. Bele­nios semble appor­ter des réponses à quelques objec­tions ci-dessous mais je n’ai pas encore inté­gré tout ça. J’ai vu aussi Civi­tas qui semble répondre à d’autres point, mais je n’ai pas encore étudié ce dernier non plus. Ce qui semble toute­fois certain, c’est que le système parfait n’existe toute­fois pas.

    Helios garan­tit à la fois le secret et la véri­fia­bi­lité

    Je crois que c’est ce qui m’a le plus retourné l’es­prit la première fois. On se base sur de la cryp­to­gra­phie. On envoie dans l’urne un vote chif­fré.

    La crypto permet de créer une preuve de vali­dité, c’est à dire prou­ver que notre vote chif­fré contient bien une valeur auto­ri­sée, sans pour autant révé­ler la valeur du dit vote. On ajoute cette preuve de vali­dité (véri­fiable par chacun) à l’urne avec son vote.

    La liste des votes chif­frés est elle-même publique. On peut véri­fier que son vote est pris en compte sans modi­fi­ca­tion, et véri­fier qu’on n’a pas ajouté de votes (au prix d’une divul­ga­tion des listes d’émar­ge­ment).

    Au dépouille­ment on utilise les proprié­tés homo­morphes du chif­fre­ment. En gros ça permet de faire des calculs à partir des données chif­frées sans les déchif­frer. C’est juste que le résul­tat est chif­fré lui aussi.

    Là on déchiffre ce résul­tat (et unique­ment le résul­tat) et on créé une preuve cryp­to­gra­phique que ce qu’on annonce corres­pond bien au résul­tat chif­fré. Les votes n’ont été révé­lés à personne et la clef de chif­fre­ment n’a jamais été publique.

    Magique non ?

    Ok, donc on sait faire,
    où est le loup ?

    Il n’y a pas de loup. C’est vrai­ment génial, on peut faire des trucs de dingues en crypto. C’est juste que la problé­ma­tique plus large que celle décrite.

    In our opinion, none of the exis­ting voting schemes achieve the same level of secu­rity guaran­tees than tradi­tio­nal on-site paper voting (as it is orga­ni­zed in France for example).

    FAQ de Bele­nios

    En premier lieu, tout repose sur une clef cryp­to­gra­phique. Il faut faire confiance à qui génère et détient cette clef. Il faut aussi faire confiance au maté­riel et au logi­ciel qui génèrent et mani­pulent cette clef. Il faut aussi faire confiance la sécu­rité du stockage de cette clef. Si cette confiance est mal placée, ce sont les votes de tout le monde, nomi­na­ti­ve­ment, qui sont désor­mais connus.

    Les systèmes proposent de répar­tir la clef chez plusieurs tiers de confiance après géné­ra­tion. C’est bien, mais ça ne répond fina­le­ment qu’à une toute petite partie du problème.

    Ouch !

    C’est vrai aussi pour le votant. Il réalise son vote sur un ordi­na­teur qui réalise les opéra­tions cryp­to­gra­phiques. Il lui faudra faire confiance dans le maté­riel et le logi­ciel utili­sés. La sécu­rité du maté­riel person­nel est une douce illu­sion. La sécu­rité d’un maté­riel géré par l’État (qui impose donc de se dépla­cer en local) pose au mini­mum une ques­tion de confiance (en l’État, ses pres­ta­taires) mais aussi de sécu­rité (sa sécu­rité et celle des autres pres­ta­taires, vis à vis d’autres États, ce qui est loin d’être si évident que ça). Si cette confiance est mal placée, le vote peut être divul­gué, ou peut-être même que le vote enre­gis­tré dans l’urne ne corres­pon­dra pas à ce que l’élec­teur a réel­le­ment choisi.

    Aie !

    Si on parle de vote à distance – qui est quand même un des avan­tages attendu du vote élec­tro­nique – on ajoute aussi la possi­bi­lité de contrainte ou d’achat de vote. Ça existe déjà sur nos urnes trans­pa­rentes, mais à une échelle qui ne peut pas être massive. La contrainte est diffi­cile sans procu­ra­tion et on ne peut avoir qu’une procu­ra­tion par personne. Il y a eu des histoires d’achat de vote mais fina­le­ment chacun reste libre dans l’iso­loir.

    En fait le système Helios faci­lite l’achat ou la contrainte parce qu’un tiers peut impo­ser au votant de four­nir un élément qui lui permet­tra de déchif­frer le vote dans l’urne publique. Bref, on a un outil qui permet poten­tiel­le­ment de la contrainte de vote massive.

    Ouille !

    Enfin, même une fois dépassé tout ça, l’élec­teur doit quand même faire confiance globa­le­ment dans tout le système. Le système d’urne trans­pa­rente peut être compris et véri­fié par chacun, jusqu’à mon fils de 9 ans. La cryp­to­gra­phie ne l’est pas. Les élec­teurs ne peuvent que confir­mer que le logi­ciel qu’ils ont entre les mains donne le même résul­tat que celui annoncé, et doivent faire confiance à ce logi­ciel.

    Même si le logi­ciel était réim­plé­menté par des personnes de confiance, seule une toute petite mino­rité a la connais­sance pour comprendre et véri­fier le méca­nisme cryp­to­gra­phique théo­rique pour s’as­su­rer qu’il est fiable.

    Honnê­te­ment, je suis dans la tech­nique infor­ma­tique, proche des milieux sensibles à la vie privée et à la crypto, mais je ne crois pas connaître quelqu’un qui saurait prou­ver mathé­ma­tique­ment avec un bon niveau de confiance la soli­dité des algo­rithmes en jeu.

    Quand on voit la défiance vis à vis des vaccins ou même sur la forme de la terre, autant dire qu’on court à la catas­trophe si on croit que « faites confiance aux experts » est une bonne réponse.

    Ache­vez-moi.

    Même après tout ça, la recherche avance. Je ne vais pas parler de casser la crypto d’aujourd’­hui avec des ordi­na­teurs quan­tiques. C’est un domaine que je ne connais pas du tout. On a par contre un assez bon histo­rique pour iden­ti­fier le risque sérieux que ce qu’on chiffre aujourd’­hui soit déchif­frable dans 10, 20 ou 30 ans.

    20 ans ça parait long mais je ne sais pas ce que sera notre pays, qui sera au pouvoir et ce qu’ils pour­raient en faire. Si demain on a un pouvoir auto­ri­taire, savoir qu’aujourd’­hui j’ai voté X ou Y pour­rait me coûter ma vie. La France était en guerre avec tortures et crimes contre l’hu­ma­nité sur son sol il y a encore 60 ans.

    Gloups.

    Même plus modé­ré­ment, je ne veux pas que mon voisin sache pour qui j’ai voté il y a 20 ans. C’est ma tranquillité qui est en jeu. Je ne veux pas que je ne sais quelle entre­prise de marke­ting l’uti­lise pour du profi­lage. Le secret du vote m’est essen­tiel.

    Mais alors,
    faut-il tout jeter ?

    Certai­ne­ment pas !

    On peut encore inven­ter des choses, même si pour l’ins­tant on a l’im­pres­sion que la boite noire qu’est l’élec­tro­nique laisse peu de place aux objec­tions levées plus haut. Le problème n’est pas théo­rique, il est pratique, à cause de la complexité en jeu.

    Ça dépend de ce qu’on vise.

    On sait désor­mais que le maté­riel peut être compro­mis à la source, avant même d’être utilisé, soit par le construc­teur, soit par un acteur étatique tiers. C’est jouable pour influen­cer une élec­tion natio­nale. C’est plus ridi­cule pour l’élec­tion des parents d’élèves de l’école primaire de Trifouilli-les-oies.

    Ça dépend aussi des risques et de ce qu’on remplace.

    On vote par exemple à distance pour les français de l’étran­ger. C’est un compro­mis faute de meilleure solu­tion et parce que les risques sont limi­tés. Ces votes sont suffi­sam­ment faibles dans l’en­semble natio­nal pour que proba­ble­ment ce risque ne soit pas déter­mi­nant. On donne d’ailleurs souvent les résul­tats avant que certaines zones non métro­po­li­taines n’aient fini de voter ou d’être comp­ta­bi­li­sées. C’est dire…

    La Suisse le consi­dère d’ailleurs de façon inté­res­sante. Les garan­ties deman­dées pour un système ne sont pas les mêmes suivant qu’il peut concer­ner moins de 30%, entre 30 et 50%, ou plus de 50% des votants.

    Ce pour­rait être aussi une solu­tion sur un pays avec des corrup­tions locales telles que les risques de mani­pu­la­tions d’urnes seraient plus impor­tants que celles de mani­pu­la­tions infor­ma­tiques, ou pour un pays en désor­ga­ni­sa­tion géné­rale sur le terrain suite à une catas­trophe, ou que sais-je encore.

    C’est un équi­libre des risques et des béné­fices, en fonc­tion des alter­na­tives. Aujourd’­hui il s’avère juste qu’on a en France une alter­na­tive sûre, simple, effi­cace, d’un coût accep­table, et compré­hen­sible par tous. La barrière à l’en­trée est donc très haute, et le vote élec­tro­nique ne la passe pas, pas tel qu’on sait le conce­voir aujourd’­hui.


    Note : On parle de sujet complexes (c’est d’ailleurs un des problèmes). Si je me trompe, ou s’il existe des parades à mes objec­tions, ou si vous avez des données complé­men­taires, vous êtes plus que bien­venu à commen­ter et ajou­ter à l’in­for­ma­tion.
    Je corri­ge­rai mon propre texte le cas échéant.
    Je vous demande juste d’être construc­tif et de me donner les liens vers les infor­ma­tions détaillées pour que je puisse les consul­ter.