On me pointe un article sur la blockchain pour les votes électroniques. J’ai peur qu’on se retrouve avec les deux mêmes dilemmes habituels : Non fiable et au choix soit non vérifiable soit non secret (ici c’est le secret qui est sacrifié).
Pour rappel, le vote doit être libre (je vote ce que je veux), secret (corollaire du précédent, je vote sans contrainte et sans peur). Le résultat doit être fiable (le compte doit correspondre aux votes réels avec une marge d’erreur non significative) et vérifiable (je n’ai pas à faire confiance, je peux m’assurer que la fiabilité est réelle).
The current plan is to keep the voting machine disconnected from the Internet. Furthermore, all ballots are burned to a DVD before connecting the machine to the Internet, creating a physical backup of all votes just in case.
Tout est dans ce simple paragraphe. tout d’abord on parle d’un ordinateur hors-ligne. Contrairement à ce qui est annoncé plus haut dans l’article, on ne pourra pas suivre en temps réel depuis Internet (ni même voter depuis Internet d’ailleurs).
Avec les informations que donne l’article, le résultat de la machine est totalement non vérifiable. Jusqu’au moment où le DVD est gravé en fin de vote, le système n’est qu’une gigantesque boite noire à laquelle il faut faire confiance les yeux bandés. Je ne sais pas si le vote qu’il me dit avoir pris en compte sera bien ajouté au bon candidat, ni que les données ne seront pas modifiées d’ici au gravage du DVD. Rien ne le garantit, nulle part. Ouille.
Il peut y avoir des erreurs ou failles de sécurité (volontaires ou non) dans le code source du logiciel de vote, dans les bibliothèques de code utilisées ou dans le système d’exploitation. Il peut y avoir du code malicieux injecté dans le binaire du logiciel de vote, dans le système d’exploitation, ou même dans le bios de l’ordinateur. Récemment on a même vu des vers transportés dans des firmwares de disques durs, donc virtuellement indétectables. Aie.
Some people might wonder how Blockchain Technologies Corp. plans to keep the voting process tamper-proof, as blockchain technology requires an internet connection.
La blockchain, sauf si je manque quelque chose dans la retranscription de l’article, n’a aucun intérêt dans tout le processus tant que les votes ne sont pas partagés dans le réseau et validés par tout un chacun (sur quelle base ? comment savent-ils que le compte est bon avant de l’entériner sur les réseaux ?).
Bref, c’est juste pour faire joli et technique à la mode, mais ça n’a aucun intérêt. Pffff.
Their proposed process is simple, elegant, and convenient in its own way. Voting ballots would remain the same, other than three QR codes at the bottom. The first code represents a blockchain address; the second one represents the ballot ID, and the final code is the election ID. These QR codes would then be scanned once the ballot is deposited into the voting machine, and automatically transfer “vote units” to the appropriate candidate;
Aie. Donc chaque bulletin contient non seulement le contenu du vote mais aussi un identifiant secret appartenant au votant. Comment cet identifiant est-il créé ou transmis ? Avec quelle sécurité est-il gardé par l’électeur ? La vérifiabilité du système est basé là dessus.
Probablement que ces identifiants (l’adresse blockchain) sont attribués par l’organisateur du vote (l’État). Ce dernier aurait alors capacité à fausser le vote, ou savoir qui a voté quoi. Oups.
Dans tous les cas, le résultat n’est toujours pas vérifiable. Chacun peut vérifier son propre vote, mais pas le résultat global. On peut imaginer que ça fonctionne si tout le monde vérifie (et sait vérifier) son propre vote, mais c’est une garantie assez faible : Que se passe-t-il si un groupe assez significatif conteste le résultat ? Personne ne saura s’ils sont de bonne foi ou non. Tout repose sur la confiance, pas la transparence ni la vérifiabilité. Argh.
It is not common to see the combination of blockchain technology with a paper trail. However, in light of the sensitive nature of voting results, Blockchain Technology Corp. prefers to take no risks. In a way, the paper trail can be used as an arbitrator in case the blockchain data and/or DVD data don’t match up.
Attention, Voilà l’étape de vérification, la vraie. La source de vérité est une simple impression incrémentale sur un papier à chaque vote.
Elle n’a de sens que si le votant voit son vote s’inscrire en temps réel, de façon intelligible, et que le papier reste à tout moment visible.
Très probablement on se retrouve avec un journal papier ordonné de tous les votes, et c’est la fin du secret (l’ordre de passage est celui du papier, on sait qui vote quoi). Malgré ce secret éventé, on ne saura pas quoi faire si un groupe de taille significative déclare que son vote n’a pas été correctement pris en compte.
Dans le meilleur des cas il y a un système mécanique de mélange après impression. Par exemple si la machine qui scanne notre bulletin, écrit ensuite un nouveau bulletin devant nos yeux, en cache ou masque le contenu du vote mais garde visible le papier lui-même jusqu’au dépouillement de vérification s’il est demandé. Tiens, ce pourrait être fait en le mettant dans une enveloppe qui tombe dans une urne transparente, tout ça sous les yeux des scrutateurs tiers (ça me rappelle quelque chose, pas vous ? :-)
The current plan is to keep the voting machine disconnected from the Internet.
Et avec tout ça on parle d’un ordinateur de vote local, donc toujours pas de vote par Internet (qui ajouterait mille problèmes de sécurité et empêcherait une partie des solutions trouvées par l’implémentation décrite ici).
Même si tout fonctionnait à merveille et qu’on trouvait une solution au problème initial de la boite noire (je vous dis un secret : on ne trouvera pas), trop peu de citoyens seraient capables de comprendre comment tout ça fonctionne et de le garantir. Il faudra faire confiance à l’organisateur du vote, ce qui est bien la dernière chose qu’on souhaite sur une élection nationale organisée par le pouvoir en place… Bref, c’est inadapté.
Je ne peux m’empêcher de trouver tout ça bien compliqué par rapport aux isoloirs non électroniques, pour un gain largement discutable.
Tout ça pour ça…
D’ailleurs c’est assez assumé dans l’article d’origine sur Vice.com :
The open source code combined with the paper, DVD, and blockchain audit trails may not completely eliminate fraud in the voting process, but it will be a step in the right direction. Especially compared to the 10–15 year old, buggy electronic voting machines we use today
En gros : Ça ne garantit pas vraiment contre la fraude, mais c’est mieux que les machines à voter d’il y a 15 ans sur lesquelles ont a réussi à changer les votes des électeurs précédents, faire voter pour un non-candidat, avoir plus de votes que de votants, faire chanter l’hymne national en plein vote, et j’en passe des meilleures.
Ailleurs dans l’article il est assumé que ça ne protège seulement qu’à peu près le secret du vote. Ni fiabilité ni secret : on est très loin d’une solution.
Je serai très ravi de voir une vraie solution de vote électronique satisfaisante (ne parlons pas de parfait, satisfaisante suffirait). Un jour peut-être, mais c’est peu probable.
La problématique n’est pas vraiment une problématique technique. Elle est dans la transparence du processus, qui ne pourra jamais être atteinte par une puce (dont par principe on ne voit pas le fonctionnement) sans atteindre au secret des votes.
Entre temps, appeler à la mise en place d’un vote électronique, connaissant l’état de l’art sur le sujet et sauf à vouloir sacrifier le secret du vote, c’est sacrément dangereux quand même.
