Oui mais l’Es­to­nie…

L’Es­to­nie utilise massi­ve­ment le vote élec­tro­nique pour ses élec­tions. C’est un peu vu comme le joker dès qu’on parle de vote élec­tro­nique et de ses diffi­cul­tés. « L’Es­to­nie y arrive bien », en oubliant que c’est quasi­ment le seul pays avec la Corée du sud à avan­cer sérieu­se­ment sur cette voie, les autres ayant fait machine arrière, ou sont au mieux restés sur un status quo défec­tueux.

L’Es­to­nie propose en effet le vote élec­tro­nique en paral­lèle du bulle­tin papier depuis 2005. L’élec­teur choisi ce qu’il utilise, sachant qu’un vote papier annule le vote élec­tro­nique corres­pon­dant. Le contexte est parti­cu­liè­re­ment favo­rable puisque l’ac­cès à Inter­net y est consi­déré comme un droit social. Aux dernières élec­tions c’est quasi­ment la moitié des votants qui utilisent la procé­dure par Inter­net.

Encou­ra­geant mais c’est une histoire qui n’a pas été toute rose.

En 2011 Paavo Pihel­gas a prouvé qu’il était possible de chan­ger le vote d’un élec­teur sans que celui-ci ne le remarque. La véri­fia­bi­lité du vote par l’élec­teur n’existe que depuis 2013. Elle est de plus limi­tée dans le temps et ne garan­tit pas la prise en compte dans le résul­tat. Elle sert juste à véri­fier que le logi­ciel utilisé par le votant n’a pas envoyé un vote diffé­rent de celui souhaité.

Le logi­ciel serveur n’était pas ouvert avant 2013. Le logi­ciel client ne l’est toujours pas aujourd’­hui, par choix.

Une équipe d’ex­perts inter­na­tio­nale a montré en 2014 des défaillances abon­dantes dans les proces­sus, des vulné­ra­bi­li­tés graves, un modèle de sécu­rité obso­lète, un manque de trans­pa­rence et des attaques possibles de grande enver­gure pour modi­fier l’élec­tion à la fois côté client et côté serveur.

Le système prétend avoir une véri­fia­bi­lité de bout en bout depuis 2017 mais une équipe de cher­cheurs inter­na­tio­naux a contesté cette affir­ma­tion depuis.

Plus globa­le­ment, la commis­sion d’ob­ser­va­tion élec­to­rale a émis des inquié­tudes avec des points à corri­ger régu­liè­re­ment (2007, 2011, 2013, 2015). C’est toujours un débat public en 2019 jusqu’au ministre des nouvelles tech­no­lo­gies.

Pour termi­ner par une vraie note posi­tive : Le système semble faire l’objet d’un débat public construc­tif perma­nent, et évolue en réponse. Rien que ça est une réus­site sociale comme on en a peu chez nous. Ça mérite d’être souli­gné.

Et tech­nique­ment ?

Ils utilisent la crypto de leur carte à puce qui leur sert de carte d’iden­tité et d’à peu près tout, y compris pour des prêts bancaires.

Leur vote a une double enve­loppe. L’en­ve­loppe externe, chif­frée, est signée pour iden­ti­fier l’élec­teur. Elle contient elle-même le vote chif­fré. Les serveurs de vote ont la première clef (iden­ti­fier le votant) mais pas la seconde. Les signa­tures sont reti­rées des votes avant l’étape de dépouille­ment, assu­rant une isola­tion théo­rique entre les iden­ti­tés et les votes.

Depuis 2017 le dépouille­ment utilise les proprié­tés homo­morphes du chif­fre­ment comme le fait Helios, mais ils conti­nuent aussi de déchif­frer les votes pour les comp­ter en plus à l’an­cienne en paral­lèle.

L’État esto­nien est maître du système

Le logi­ciel client n’est même pas open source. Même si ça ne garan­tit pas tout, on n’a pas le mini­mum. C’est impor­tant parce que le système permet plusieurs votes du même élec­teur, seul le dernier étant pris en compte. C’est vu comme une défense contre la contrainte (si tu es contraint, tu peux revo­ter derrière). Un second mali­cieux vote peut très bien être envoyé après celui de l’élec­teur, à son insu, et rempla­cer l’ori­gi­nal.

La sépa­ra­tion entre les iden­ti­tés et les votes est théo­rique. Une fois le vote envoyé il faut faire confiance au serveur pour respec­ter le code source public et effec­ti­ve­ment reti­rer les iden­ti­tés avant les dépouille­ments (et contrai­re­ment à Elios, ils déchiffrent les votes eux-mêmes). Rien ne le garan­tit.

La clef de déchif­fre­ment des votes eux-mêmes n’est pas parta­gée entre diffé­rents acteurs aux inté­rêts diver­gents et est donc parti­cu­liè­re­ment sensible aux malver­sa­tions (encore plus que ce qui est décrit pour Helios).

Enfin, il n’y a aucune véri­fia­bi­lité publique. Si on parle de chif­fre­ment homo­mor­phique comme Helios, l’urne n’est pas publique et seules les auto­ri­tés en place et personnes dési­gnées par elles ont le droit de procé­der à une véri­fi­ca­tion du dépouille­ment.

Le proces­sus est parfait tant que tout le monde est de bonne foi et se fait confiance mais…

En pratique, les auto­ri­tés esto­niennes ont la capa­cité d’igno­rer des votes, d’en rempla­cer, ou de cher­cher qui a voté quoi.

Il ne faut comp­ter que sur leur promesse de ne pas le faire.

Sachant que le gouver­ne­ment, en coali­tion avec l’ex­trême droite, est tombé en début d’an­née pour des scan­dales de corrup­tion, on peut consi­dé­rer que les choix esto­niens ne sont pas sans risques.


Afin de modé­rer toute­fois, et pour reprendre une conclu­sion simi­laire à celle de l’ar­ticle sur Helios. Un système répond à des besoins et un contexte spéci­fiques.

Je ne juge pas leurs choix, ne connais­sant ni leur histoire ni leurs enjeux spéci­fiques. Je tiens aussi beau­coup à l’au­to­dé­ter­mi­na­tion démo­cra­tique et je n’ai pas à leur impo­ser un choix que je trouve meilleur.

Je ne prétends pas non plus que tous les pays avec du papier font mieux. Je peux par contre affir­mer le système papier français est bien plus sûr que l’éven­tuelle trans­po­si­tion du système élec­tro­nique esto­nien en France, et que ce dernier est très loin de me faire rêver.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *