Étiquette : vote électronique

Abstention et vote électronique

Je pourrais me contenter de pointer que, là où il y a vote électronique (les quelques bureaux avec encore des machines locales, ou les français de l’étranger), il n’y a pas de taux de participation significativement plus forte.

Je vais quand même ajouter une évidence.

Il y a des exceptions mais la plupart des français de métropole sont 10 minutes de leur bureau de vote, 15 maximum, bureau dans lequel ils resteront probablement moins de 10 minutes.

Si ces personnes ne sont pas prêtes à investir en 2× 30 minutes par an pour déterminer l’avenir du pays et de leurs collectivités, le problème n’est pas dans la présence ou l’absence d’une app de vote sur leur smartphone.

Mépriser les autres en les traitant implicitement de flemmards n’y changera rien.

Vu le désalignement entre le corps politique et les citoyens, la proportion de non-adhésion avec les décisions prises, le sentiment d’impuissance et d’absence de contrôle sur ces décisions, le manque de diversité dans l’offre politique et de représentation de cette diversité au niveau des instances élues, le nombre de personnes qui se sentent totalement lâchées voire exclues par l’administration, la verticalité du fonctionnement réel du pouvoir en France… croire que la question vient du vote électronique est surtout très satisfaisant pour ne pas se remettre en cause.

Et si plutôt on mettait en œuvre un vrai chantier démocratique ? Et si on s’assurait d’utiliser autre chose que des scrutins majoritaires à deux tours pour notre représentation ?

Je vous vois venir, à me dire que ce n’est pas ça qui est vraiment le problème, tant que les gens ne s’intéressent pas à la politique.

On a eu ces dernières années un engagement majeur de la population au niveau politique. On a eu tout le mouvement des gilets jaunes dont la proposition phare était le référendum d’initiative citoyenne pour avoir une participation directe dans la vie politique. On a eu des mouvements sociaux qui portaient de vrais messages politiques sur les retraites ou les libertés. On a eu des pétitions qui ont enfin passé les quorums nécessaires pour imposer des inscriptions à l’ordre du jour parlementaire.

Croire que l’abstention relève du désintérêt de la vie publique et des questions politique c’est se mettre le doigt dans l’œil jusqu’au coude.

Le fond c’est au contraire que la politique ne les laisse pas s’y impliquer autrement que comme on leur dit, en glissant une fois de temps en temps un chèque en blanc pour des partis dont ils ne veulent majoritairement pas (ce n’est pas une opinion, ce sont les chiffres réels des élections), en votant pour l’un afin surtout de rejeter l’autre. Faire ce chèque en blanc par internet risque de ne pas changer fondamentalement le problème.

24 juin 2021
Oui mais l’Estonie…

L’Estonie utilise massivement le vote électronique pour ses élections. C’est un peu vu comme le joker dès qu’on parle de vote électronique et de ses difficultés. « L’Estonie y arrive bien », en oubliant que c’est quasiment le seul pays avec la Corée du sud à avancer sérieusement sur cette voie, les autres ayant fait machine arrière, ou sont au mieux restés sur un status quo défectueux.

L’Estonie propose en effet le vote électronique en parallèle du bulletin papier depuis 2005. L’électeur choisi ce qu’il utilise, sachant qu’un vote papier annule le vote électronique correspondant. Le contexte est particulièrement favorable puisque l’accès à Internet y est considéré comme un droit social. Aux dernières élections c’est quasiment la moitié des votants qui utilisent la procédure par Internet.

Encourageant mais c’est une histoire qui n’a pas été toute rose.

En 2011 Paavo Pihelgas a prouvé qu’il était possible de changer le vote d’un électeur sans que celui-ci ne le remarque. La vérifiabilité du vote par l’électeur n’existe que depuis 2013. Elle est de plus limitée dans le temps et ne garantit pas la prise en compte dans le résultat. Elle sert juste à vérifier que le logiciel utilisé par le votant n’a pas envoyé un vote différent de celui souhaité.

Le logiciel serveur n’était pas ouvert avant 2013. Le logiciel client ne l’est toujours pas aujourd’hui, par choix.

Une équipe d’experts internationale a montré en 2014 des défaillances abondantes dans les processus, des vulnérabilités graves, un modèle de sécurité obsolète, un manque de transparence et des attaques possibles de grande envergure pour modifier l’élection à la fois côté client et côté serveur.

Le système prétend avoir une vérifiabilité de bout en bout depuis 2017 mais une équipe de chercheurs internationaux a contesté cette affirmation depuis.

Plus globalement, la commission d’observation électorale a émis des inquiétudes avec des points à corriger régulièrement (2007, 2011, 2013, 2015). C’est toujours un débat public en 2019 jusqu’au ministre des nouvelles technologies.

Pour terminer par une vraie note positive : Le système semble faire l’objet d’un débat public constructif permanent, et évolue en réponse. Rien que ça est une réussite sociale comme on en a peu chez nous. Ça mérite d’être souligné.

Et techniquement ?

Ils utilisent la crypto de leur carte à puce qui leur sert de carte d’identité et d’à peu près tout, y compris pour des prêts bancaires.

Leur vote a une double enveloppe. L’enveloppe externe, chiffrée, est signée pour identifier l’électeur. Elle contient elle-même le vote chiffré. Les serveurs de vote ont la première clef (identifier le votant) mais pas la seconde. Les signatures sont retirées des votes avant l’étape de dépouillement, assurant une isolation théorique entre les identités et les votes.

Depuis 2017 le dépouillement utilise les propriétés homomorphes du chiffrement comme le fait Helios, mais ils continuent aussi de déchiffrer les votes pour les compter en plus à l’ancienne en parallèle.

L’État estonien est maître du système

Le logiciel client n’est même pas open source. Même si ça ne garantit pas tout, on n’a pas le minimum. C’est important parce que le système permet plusieurs votes du même électeur, seul le dernier étant pris en compte. C’est vu comme une défense contre la contrainte (si tu es contraint, tu peux revoter derrière). Un second malicieux vote peut très bien être envoyé après celui de l’électeur, à son insu, et remplacer l’original.

La séparation entre les identités et les votes est théorique. Une fois le vote envoyé il faut faire confiance au serveur pour respecter le code source public et effectivement retirer les identités avant les dépouillements (et contrairement à Elios, ils déchiffrent les votes eux-mêmes). Rien ne le garantit.

La clef de déchiffrement des votes eux-mêmes n’est pas partagée entre différents acteurs aux intérêts divergents et est donc particulièrement sensible aux malversations (encore plus que ce qui est décrit pour Helios).

Enfin, il n’y a aucune vérifiabilité publique. Si on parle de chiffrement homomorphique comme Helios, l’urne n’est pas publique et seules les autorités en place et personnes désignées par elles ont le droit de procéder à une vérification du dépouillement.

Le processus est parfait tant que tout le monde est de bonne foi et se fait confiance mais…

En pratique, les autorités estoniennes ont la capacité d’ignorer des votes, d’en remplacer, ou de chercher qui a voté quoi.
Il ne faut compter que sur leur promesse de ne pas le faire.

Sachant que le gouvernement, en coalition avec l’extrême droite, est tombé en début d’année pour des scandales de corruption, on peut considérer que les choix estoniens ne sont pas sans risques.

Afin de modérer toutefois, et pour reprendre une conclusion similaire à celle de l’article sur Helios. Un système répond à des besoins et un contexte spécifiques.

Je ne juge pas leurs choix, ne connaissant ni leur histoire ni leurs enjeux spécifiques. Je tiens aussi beaucoup à l’autodétermination démocratique et je n’ai pas à leur imposer un choix que je trouve meilleur.

Je ne prétends pas non plus que tous les pays avec du papier font mieux. Je peux par contre affirmer le système papier français est bien plus sûr que l’éventuelle transposition du système électronique estonien en France, et que ce dernier est très loin de me faire rêver.

22 juin 2021
Parlons un peu Helios

Helios fait à ma connaissance partie des systèmes les plus avancés pour du vote électronique. On l’avait mentionné brièvement ici il y a deux ans dans les discussions au sujet du vote électronique mais je ne crois pas qu’il y ait eu de révolution depuis. Belenios semble apporter des réponses à quelques objections ci-dessous mais je n’ai pas encore intégré tout ça. J’ai vu aussi Civitas qui semble répondre à d’autres point, mais je n’ai pas encore étudié ce dernier non plus. Ce qui semble toutefois certain, c’est que le système parfait n’existe toutefois pas.

Helios garantit à la fois le secret et la vérifiabilité

Je crois que c’est ce qui m’a le plus retourné l’esprit la première fois. On se base sur de la cryptographie. On envoie dans l’urne un vote chiffré.

La crypto permet de créer une preuve de validité, c’est à dire prouver que notre vote chiffré contient bien une valeur autorisée, sans pour autant révéler la valeur du dit vote. On ajoute cette preuve de validité (vérifiable par chacun) à l’urne avec son vote.

La liste des votes chiffrés est elle-même publique. On peut vérifier que son vote est pris en compte sans modification, et vérifier qu’on n’a pas ajouté de votes (au prix d’une divulgation des listes d’émargement).

Au dépouillement on utilise les propriétés homomorphes du chiffrement. En gros ça permet de faire des calculs à partir des données chiffrées sans les déchiffrer. C’est juste que le résultat est chiffré lui aussi.

Là on déchiffre ce résultat (et uniquement le résultat) et on créé une preuve cryptographique que ce qu’on annonce correspond bien au résultat chiffré. Les votes n’ont été révélés à personne et la clef de chiffrement n’a jamais été publique.

Magique non ?

Ok, donc on sait faire,
où est le loup ?

Il n’y a pas de loup. C’est vraiment génial, on peut faire des trucs de dingues en crypto. C’est juste que la problématique plus large que celle décrite.

In our opinion, none of the existing voting schemes achieve the same level of security guarantees than traditional on-site paper voting (as it is organized in France for example).
FAQ de Belenios

En premier lieu, tout repose sur une clef cryptographique. Il faut faire confiance à qui génère et détient cette clef. Il faut aussi faire confiance au matériel et au logiciel qui génèrent et manipulent cette clef. Il faut aussi faire confiance la sécurité du stockage de cette clef. Si cette confiance est mal placée, ce sont les votes de tout le monde, nominativement, qui sont désormais connus.

Les systèmes proposent de répartir la clef chez plusieurs tiers de confiance après génération. C’est bien, mais ça ne répond finalement qu’à une toute petite partie du problème.

Ouch !

C’est vrai aussi pour le votant. Il réalise son vote sur un ordinateur qui réalise les opérations cryptographiques. Il lui faudra faire confiance dans le matériel et le logiciel utilisés. La sécurité du matériel personnel est une douce illusion. La sécurité d’un matériel géré par l’État (qui impose donc de se déplacer en local) pose au minimum une question de confiance (en l’État, ses prestataires) mais aussi de sécurité (sa sécurité et celle des autres prestataires, vis à vis d’autres États, ce qui est loin d’être si évident que ça). Si cette confiance est mal placée, le vote peut être divulgué, ou peut-être même que le vote enregistré dans l’urne ne correspondra pas à ce que l’électeur a réellement choisi.

Aie !

Si on parle de vote à distance – qui est quand même un des avantages attendu du vote électronique – on ajoute aussi la possibilité de contrainte ou d’achat de vote. Ça existe déjà sur nos urnes transparentes, mais à une échelle qui ne peut pas être massive. La contrainte est difficile sans procuration et on ne peut avoir qu’une procuration par personne. Il y a eu des histoires d’achat de vote mais finalement chacun reste libre dans l’isoloir.

En fait le système Helios facilite l’achat ou la contrainte parce qu’un tiers peut imposer au votant de fournir un élément qui lui permettra de déchiffrer le vote dans l’urne publique. Bref, on a un outil qui permet potentiellement de la contrainte de vote massive.

Ouille !

Enfin, même une fois dépassé tout ça, l’électeur doit quand même faire confiance globalement dans tout le système. Le système d’urne transparente peut être compris et vérifié par chacun, jusqu’à mon fils de 9 ans. La cryptographie ne l’est pas. Les électeurs ne peuvent que confirmer que le logiciel qu’ils ont entre les mains donne le même résultat que celui annoncé, et doivent faire confiance à ce logiciel.

Même si le logiciel était réimplémenté par des personnes de confiance, seule une toute petite minorité a la connaissance pour comprendre et vérifier le mécanisme cryptographique théorique pour s’assurer qu’il est fiable.

Honnêtement, je suis dans la technique informatique, proche des milieux sensibles à la vie privée et à la crypto, mais je ne crois pas connaître quelqu’un qui saurait prouver mathématiquement avec un bon niveau de confiance la solidité des algorithmes en jeu.

Quand on voit la défiance vis à vis des vaccins ou même sur la forme de la terre, autant dire qu’on court à la catastrophe si on croit que « faites confiance aux experts » est une bonne réponse.

Achevez-moi.

Même après tout ça, la recherche avance. Je ne vais pas parler de casser la crypto d’aujourd’hui avec des ordinateurs quantiques. C’est un domaine que je ne connais pas du tout. On a par contre un assez bon historique pour identifier le risque sérieux que ce qu’on chiffre aujourd’hui soit déchiffrable dans 10, 20 ou 30 ans.

20 ans ça parait long mais je ne sais pas ce que sera notre pays, qui sera au pouvoir et ce qu’ils pourraient en faire. Si demain on a un pouvoir autoritaire, savoir qu’aujourd’hui j’ai voté X ou Y pourrait me coûter ma vie. La France était en guerre avec tortures et crimes contre l’humanité sur son sol il y a encore 60 ans.

Gloups.

Même plus modérément, je ne veux pas que mon voisin sache pour qui j’ai voté il y a 20 ans. C’est ma tranquillité qui est en jeu. Je ne veux pas que je ne sais quelle entreprise de marketing l’utilise pour du profilage. Le secret du vote m’est essentiel.

Mais alors,
faut-il tout jeter ?

Certainement pas !

On peut encore inventer des choses, même si pour l’instant on a l’impression que la boite noire qu’est l’électronique laisse peu de place aux objections levées plus haut. Le problème n’est pas théorique, il est pratique, à cause de la complexité en jeu.

Ça dépend de ce qu’on vise.

On sait désormais que le matériel peut être compromis à la source, avant même d’être utilisé, soit par le constructeur, soit par un acteur étatique tiers. C’est jouable pour influencer une élection nationale. C’est plus ridicule pour l’élection des parents d’élèves de l’école primaire de Trifouilli-les-oies.

Ça dépend aussi des risques et de ce qu’on remplace.

On vote par exemple à distance pour les français de l’étranger. C’est un compromis faute de meilleure solution et parce que les risques sont limités. Ces votes sont suffisamment faibles dans l’ensemble national pour que probablement ce risque ne soit pas déterminant. On donne d’ailleurs souvent les résultats avant que certaines zones non métropolitaines n’aient fini de voter ou d’être comptabilisées. C’est dire…

La Suisse le considère d’ailleurs de façon intéressante. Les garanties demandées pour un système ne sont pas les mêmes suivant qu’il peut concerner moins de 30%, entre 30 et 50%, ou plus de 50% des votants.

Ce pourrait être aussi une solution sur un pays avec des corruptions locales telles que les risques de manipulations d’urnes seraient plus importants que celles de manipulations informatiques, ou pour un pays en désorganisation générale sur le terrain suite à une catastrophe, ou que sais-je encore.

C’est un équilibre des risques et des bénéfices, en fonction des alternatives. Aujourd’hui il s’avère juste qu’on a en France une alternative sûre, simple, efficace, d’un coût acceptable, et compréhensible par tous. La barrière à l’entrée est donc très haute, et le vote électronique ne la passe pas, pas tel qu’on sait le concevoir aujourd’hui.

Note : On parle de sujet complexes (c’est d’ailleurs un des problèmes). Si je me trompe, ou s’il existe des parades à mes objections, ou si vous avez des données complémentaires, vous êtes plus que bienvenu à commenter et ajouter à l’information.
Je corrigerai mon propre texte le cas échéant.
Je vous demande juste d’être constructif et de me donner les liens vers les informations détaillées pour que je puisse les consulter.

22 juin 2021

Étiquette : vote électronique

Absten­tion et vote élec­tro­nique

Oui mais l’Es­to­nie…

Encou­ra­geant mais c’est une histoire qui n’a pas été toute rose.

Et tech­nique­ment ?

L’État esto­nien est maître du système

Parlons un peu Helios

Ok, donc on sait faire, où est le loup ?

Mais alors, faut-il tout jeter ?

Abstention et vote électronique

Oui mais l’Estonie…

Encourageant mais c’est une histoire qui n’a pas été toute rose.

Et techniquement ?

L’État estonien est maître du système

Ok, donc on sait faire,
où est le loup ?

Mais alors,
faut-il tout jeter ?