Auteur/autrice : Éric

On me pointe un article sur la block­chain pour les votes élec­tro­niques. J’ai peur qu’on se retrouve avec les deux mêmes dilemmes habi­tuels : Non fiable et au choix soit non véri­fiable soit non secret (ici c’est le secret qui est sacri­fié).

Pour rappel, le vote doit être libre (je vote ce que je veux), secret (corol­laire du précé­dent, je vote sans contrainte et sans peur). Le résul­tat doit être fiable (le compte doit corres­pondre aux votes réels avec une marge d’er­reur non signi­fi­ca­tive) et véri­fiable (je n’ai pas à faire confiance, je peux m’as­su­rer que la fiabi­lité est réelle).

The current plan is to keep the voting machine discon­nec­ted from the Inter­net. Further­more, all ballots are burned to a DVD before connec­ting the machine to the Inter­net, crea­ting a physi­cal backup of all votes just in case.

Tout est dans ce simple para­graphe. tout d’abord on parle d’un ordi­na­teur hors-ligne. Contrai­re­ment à ce qui est annoncé plus haut dans l’ar­ticle, on ne pourra pas suivre en temps réel depuis Inter­net (ni même voter depuis Inter­net d’ailleurs).

Avec les infor­ma­tions que donne l’ar­ticle, le résul­tat de la machine est tota­le­ment non véri­fiable. Jusqu’au moment où le DVD est gravé en fin de vote, le système n’est qu’une gigan­tesque boite noire à laquelle il faut faire confiance les yeux bandés. Je ne sais pas si le vote qu’il me dit avoir pris en compte sera bien ajouté au bon candi­dat, ni que les données ne seront pas modi­fiées d’ici au gravage du DVD. Rien ne le garan­tit, nulle part. Ouille.

Il peut y avoir des erreurs ou failles de sécu­rité (volon­taires ou non) dans le code source du logi­ciel de vote, dans les biblio­thèques de code utili­sées ou dans le système d’ex­ploi­ta­tion. Il peut y avoir du code mali­cieux injecté dans le binaire du logi­ciel de vote, dans le système d’ex­ploi­ta­tion, ou même dans le bios de l’or­di­na­teur. Récem­ment on a même vu des vers trans­por­tés dans des firm­wares de disques durs, donc virtuel­le­ment indé­tec­tables. Aie.

Some people might wonder how Block­chain Tech­no­lo­gies Corp. plans to keep the voting process tamper-proof, as block­chain tech­no­logy requires an inter­net connec­tion.

La block­chain, sauf si je manque quelque chose dans la retrans­crip­tion de l’ar­ticle, n’a aucun inté­rêt dans tout le proces­sus tant que les votes ne sont pas parta­gés dans le réseau et vali­dés par tout un chacun (sur quelle base ? comment savent-ils que le compte est bon avant de l’en­té­ri­ner sur les réseaux ?).

Bref, c’est juste pour faire joli et tech­nique à la mode, mais ça n’a aucun inté­rêt. Pffff.

Their propo­sed process is simple, elegant, and conve­nient in its own way. Voting ballots would remain the same, other than three QR codes at the bottom. The first code repre­sents a block­chain address; the second one repre­sents the ballot ID, and the final code is the elec­tion ID. These QR codes would then be scan­ned once the ballot is depo­si­ted into the voting machine, and auto­ma­ti­cally trans­fer “vote units” to the appro­priate candi­date;

Aie. Donc chaque bulle­tin contient non seule­ment le contenu du vote mais aussi un iden­ti­fiant secret appar­te­nant au votant. Comment cet iden­ti­fiant est-il créé ou trans­mis ? Avec quelle sécu­rité est-il gardé par l’élec­teur ? La véri­fia­bi­lité du système est basé là dessus.

Proba­ble­ment que ces iden­ti­fiants (l’adresse block­chain) sont attri­bués par l’or­ga­ni­sa­teur du vote (l’État). Ce dernier aurait alors capa­cité à faus­ser le vote, ou savoir qui a voté quoi. Oups.

Dans tous les cas, le résul­tat n’est toujours pas véri­fiable. Chacun peut véri­fier son propre vote, mais pas le résul­tat global. On peut imagi­ner que ça fonc­tionne si tout le monde véri­fie (et sait véri­fier) son propre vote, mais c’est une garan­tie assez faible : Que se passe-t-il si un groupe assez signi­fi­ca­tif conteste le résul­tat ? Personne ne saura s’ils sont de bonne foi ou non. Tout repose sur la confiance, pas la trans­pa­rence ni la véri­fia­bi­lité. Argh.

It is not common to see the combi­na­tion of block­chain tech­no­logy with a paper trail. Howe­ver, in light of the sensi­tive nature of voting results, Block­chain Tech­no­logy Corp. prefers to take no risks. In a way, the paper trail can be used as an arbi­tra­tor in case the block­chain data and/or DVD data don’t match up.

Atten­tion, Voilà l’étape de véri­fi­ca­tion, la vraie. La source de vérité est une simple impres­sion incré­men­tale sur un papier à chaque vote.

Elle n’a de sens que si le votant voit son vote s’ins­crire en temps réel, de façon intel­li­gible, et que le papier reste à tout moment visible.

Très proba­ble­ment on se retrouve avec un jour­nal papier ordonné de tous les votes, et c’est la fin du secret (l’ordre de passage est celui du papier, on sait qui vote quoi). Malgré ce secret éventé, on ne saura pas quoi faire si un groupe de taille signi­fi­ca­tive déclare que son vote n’a pas été correc­te­ment pris en compte.

Dans le meilleur des cas il y a un système méca­nique de mélange après impres­sion. Par exemple si la machine qui scanne notre bulle­tin, écrit ensuite un nouveau bulle­tin devant nos yeux, en cache ou masque le contenu du vote mais garde visible le papier lui-même jusqu’au dépouille­ment de véri­fi­ca­tion s’il est demandé. Tiens, ce pour­rait être fait en le mettant dans une enve­loppe qui tombe dans une urne trans­pa­rente, tout ça sous les yeux des scru­ta­teurs tiers (ça me rappelle quelque chose, pas vous ? :-)

The current plan is to keep the voting machine discon­nec­ted from the Inter­net.

Et avec tout ça on parle d’un ordi­na­teur de vote local, donc toujours pas de vote par Inter­net (qui ajou­te­rait mille problèmes de sécu­rité et empê­che­rait une partie des solu­tions trou­vées par l’im­plé­men­ta­tion décrite ici).

Même si tout fonc­tion­nait à merveille et qu’on trou­vait une solu­tion au problème initial de la boite noire (je vous dis un secret : on ne trou­vera pas), trop peu de citoyens seraient capables de comprendre comment tout ça fonc­tionne et de le garan­tir. Il faudra faire confiance à l’or­ga­ni­sa­teur du vote, ce qui est bien la dernière chose qu’on souhaite sur une élec­tion natio­nale orga­ni­sée par le pouvoir en place… Bref, c’est inadapté.

Je ne peux m’em­pê­cher de trou­ver tout ça bien compliqué par rapport aux isoloirs non élec­tro­niques, pour un gain large­ment discu­table.

Tout ça pour ça…

D’ailleurs c’est assez assumé dans l’article d’ori­gine sur Vice.com :

The open source code combi­ned with the paper, DVD, and block­chain audit trails may not comple­tely elimi­nate fraud in the voting process, but it will be a step in the right direc­tion. Espe­cially compa­red to the 10–15 year old, buggy elec­tro­nic voting machines we use today

En gros : Ça ne garan­tit pas vrai­ment contre la fraude, mais c’est mieux que les machines à voter d’il y a 15 ans sur lesquelles ont a réussi à chan­ger les votes des élec­teurs précé­dents, faire voter pour un non-candi­dat, avoir plus de votes que de votants, faire chan­ter l’hymne natio­nal en plein vote, et j’en passe des meilleures.

Ailleurs dans l’ar­ticle il est assumé que ça ne protège seule­ment qu’à peu près le secret du vote. Ni fiabi­lité ni secret : on est très loin d’une solu­tion.

Je serai très ravi de voir une vraie solu­tion de vote élec­tro­nique satis­fai­sante (ne parlons pas de parfait, satis­fai­sante suffi­rait). Un jour peut-être, mais c’est peu probable.

La problé­ma­tique n’est pas vrai­ment une problé­ma­tique tech­nique. Elle est dans la trans­pa­rence du proces­sus, qui ne pourra jamais être atteinte par une puce (dont par prin­cipe on ne voit pas le fonc­tion­ne­ment) sans atteindre au secret des votes.

Entre temps, appe­ler à la mise en place d’un vote élec­tro­nique, connais­sant l’état de l’art sur le sujet et sauf à vouloir sacri­fier le secret du vote, c’est sacré­ment dange­reux quand même.

Je pour­rais vous dire que tous les essais de vote élec­tro­nique ont montré des erreurs ou des failles de sécu­rité nette­ment plus impor­tantes que ce qui est possible sur des votes papier.

Je pour­rais vous dire que l’es­sen­tiel des pays qui ont étudié la ques­tion voire qui ont mis en pratique le vote élec­tro­nique ont ou sont en train de faire marche arrière.

Je pour­rais vous dire qu’en l’état de nos connais­sances, sachant que les États savent infec­ter les firm­wares de carte mère ou même ceux des disques durs pour créer des chevaux de troie extrê­me­ment complexes, il est en pratique impos­sible de s’as­su­rer de quel logi­ciel tourne effec­ti­ve­ment sur le serveur inter­net ou la machine à voter, et donc d’avoir confiance dans le résul­tat.

Je pour­rais vous dire que même si ce n’était pas le cas, le citoyen lambda est tota­le­ment inca­pable de véri­fier le fonc­tion­ne­ment ou la sécu­rité d’un système de vote élec­tro­nique, et que cette capa­cité de véri­fi­ca­tion est le socle de la confiance et du vote démo­cra­tique.

En fait je vais simple­ment vous dire qu’aujourd’­hui, malgré toutes les intel­li­gences qui s’y sont penchées, nous ne savons pas faire un vote élec­tro­nique qui ait à la fois un résul­tat véri­fiable et des votes anonymes. C’est soit l’un soit l’autre, même si nous arri­vions à sécu­ri­ser tota­le­ment le système. Malheu­reu­se­ment les deux sont tota­le­ment indis­pen­sables au proces­sus.

Que notre secré­taire d’État au numé­rique envi­sage le vote par Inter­net comme solu­tion à l’abs­ten­tion aux élec­tion relève soit de l’im­pro­vi­sa­tion complète au point de n’en avoir parlé avec aucun conseiller, soit de la malhon­nê­teté à propo­ser une solu­tion dont on connait la dange­ro­sité extrême.

Rien que cette sortie poli­tique au lende­main du lance­ment de la campagne de finan­ce­ment de La Quadra­ture du Net, justi­fie de vite faire un don. Nous jouons le futur de notre démo­cra­tie, rien que ça.

Le site est vieux, moche, mais ordi­na­teurs-de-vote contient une multi­tude d’in­for­ma­tions pour ceux qui veulent en savoir plus.