L’Estonie utilise massivement le vote électronique pour ses élections. C’est un peu vu comme le joker dès qu’on parle de vote électronique et de ses difficultés. « L’Estonie y arrive bien », en oubliant que c’est quasiment le seul pays avec la Corée du sud à avancer sérieusement sur cette voie, les autres ayant fait machine arrière, ou sont au mieux restés sur un status quo défectueux.
L’Estonie propose en effet le vote électronique en parallèle du bulletin papier depuis 2005. L’électeur choisi ce qu’il utilise, sachant qu’un vote papier annule le vote électronique correspondant. Le contexte est particulièrement favorable puisque l’accès à Internet y est considéré comme un droit social. Aux dernières élections c’est quasiment la moitié des votants qui utilisent la procédure par Internet.
Encourageant mais c’est une histoire qui n’a pas été toute rose.
En 2011 Paavo Pihelgas a prouvé qu’il était possible de changer le vote d’un électeur sans que celui-ci ne le remarque. La vérifiabilité du vote par l’électeur n’existe que depuis 2013. Elle est de plus limitée dans le temps et ne garantit pas la prise en compte dans le résultat. Elle sert juste à vérifier que le logiciel utilisé par le votant n’a pas envoyé un vote différent de celui souhaité.
Le logiciel serveur n’était pas ouvert avant 2013. Le logiciel client ne l’est toujours pas aujourd’hui, par choix.
Une équipe d’experts internationale a montré en 2014 des défaillances abondantes dans les processus, des vulnérabilités graves, un modèle de sécurité obsolète, un manque de transparence et des attaques possibles de grande envergure pour modifier l’élection à la fois côté client et côté serveur.
Le système prétend avoir une vérifiabilité de bout en bout depuis 2017 mais une équipe de chercheurs internationaux a contesté cette affirmation depuis.
Plus globalement, la commission d’observation électorale a émis des inquiétudes avec des points à corriger régulièrement (2007, 2011, 2013, 2015). C’est toujours un débat public en 2019 jusqu’au ministre des nouvelles technologies.
Pour terminer par une vraie note positive : Le système semble faire l’objet d’un débat public constructif permanent, et évolue en réponse. Rien que ça est une réussite sociale comme on en a peu chez nous. Ça mérite d’être souligné.
Et techniquement ?
Ils utilisent la crypto de leur carte à puce qui leur sert de carte d’identité et d’à peu près tout, y compris pour des prêts bancaires.
Leur vote a une double enveloppe. L’enveloppe externe, chiffrée, est signée pour identifier l’électeur. Elle contient elle-même le vote chiffré. Les serveurs de vote ont la première clef (identifier le votant) mais pas la seconde. Les signatures sont retirées des votes avant l’étape de dépouillement, assurant une isolation théorique entre les identités et les votes.
Depuis 2017 le dépouillement utilise les propriétés homomorphes du chiffrement comme le fait Helios, mais ils continuent aussi de déchiffrer les votes pour les compter en plus à l’ancienne en parallèle.
L’État estonien est maître du système
Le logiciel client n’est même pas open source. Même si ça ne garantit pas tout, on n’a pas le minimum. C’est important parce que le système permet plusieurs votes du même électeur, seul le dernier étant pris en compte. C’est vu comme une défense contre la contrainte (si tu es contraint, tu peux revoter derrière). Un second malicieux vote peut très bien être envoyé après celui de l’électeur, à son insu, et remplacer l’original.
La séparation entre les identités et les votes est théorique. Une fois le vote envoyé il faut faire confiance au serveur pour respecter le code source public et effectivement retirer les identités avant les dépouillements (et contrairement à Elios, ils déchiffrent les votes eux-mêmes). Rien ne le garantit.
La clef de déchiffrement des votes eux-mêmes n’est pas partagée entre différents acteurs aux intérêts divergents et est donc particulièrement sensible aux malversations (encore plus que ce qui est décrit pour Helios).
Enfin, il n’y a aucune vérifiabilité publique. Si on parle de chiffrement homomorphique comme Helios, l’urne n’est pas publique et seules les autorités en place et personnes désignées par elles ont le droit de procéder à une vérification du dépouillement.
Le processus est parfait tant que tout le monde est de bonne foi et se fait confiance mais…
En pratique, les autorités estoniennes ont la capacité d’ignorer des votes, d’en remplacer, ou de chercher qui a voté quoi.
Il ne faut compter que sur leur promesse de ne pas le faire.
Sachant que le gouvernement, en coalition avec l’extrême droite, est tombé en début d’année pour des scandales de corruption, on peut considérer que les choix estoniens ne sont pas sans risques.
Afin de modérer toutefois, et pour reprendre une conclusion similaire à celle de l’article sur Helios. Un système répond à des besoins et un contexte spécifiques.
Je ne juge pas leurs choix, ne connaissant ni leur histoire ni leurs enjeux spécifiques. Je tiens aussi beaucoup à l’autodétermination démocratique et je n’ai pas à leur imposer un choix que je trouve meilleur.
Je ne prétends pas non plus que tous les pays avec du papier font mieux. Je peux par contre affirmer le système papier français est bien plus sûr que l’éventuelle transposition du système électronique estonien en France, et que ce dernier est très loin de me faire rêver.
Laisser un commentaire