Parlons un peu Helios

Helios fait à ma connais­sance partie des systèmes les plus avan­cés pour du vote élec­tro­nique. On l’avait mentionné briè­ve­ment ici il y a deux ans dans les discus­sions au sujet du vote élec­tro­nique mais je ne crois pas qu’il y ait eu de révo­lu­tion depuis. Bele­nios semble appor­ter des réponses à quelques objec­tions ci-dessous mais je n’ai pas encore inté­gré tout ça. J’ai vu aussi Civi­tas qui semble répondre à d’autres point, mais je n’ai pas encore étudié ce dernier non plus. Ce qui semble toute­fois certain, c’est que le système parfait n’existe toute­fois pas.

Helios garan­tit à la fois le secret et la véri­fia­bi­lité

Je crois que c’est ce qui m’a le plus retourné l’es­prit la première fois. On se base sur de la cryp­to­gra­phie. On envoie dans l’urne un vote chif­fré.

La crypto permet de créer une preuve de vali­dité, c’est à dire prou­ver que notre vote chif­fré contient bien une valeur auto­ri­sée, sans pour autant révé­ler la valeur du dit vote. On ajoute cette preuve de vali­dité (véri­fiable par chacun) à l’urne avec son vote.

La liste des votes chif­frés est elle-même publique. On peut véri­fier que son vote est pris en compte sans modi­fi­ca­tion, et véri­fier qu’on n’a pas ajouté de votes (au prix d’une divul­ga­tion des listes d’émar­ge­ment).

Au dépouille­ment on utilise les proprié­tés homo­morphes du chif­fre­ment. En gros ça permet de faire des calculs à partir des données chif­frées sans les déchif­frer. C’est juste que le résul­tat est chif­fré lui aussi.

Là on déchiffre ce résul­tat (et unique­ment le résul­tat) et on créé une preuve cryp­to­gra­phique que ce qu’on annonce corres­pond bien au résul­tat chif­fré. Les votes n’ont été révé­lés à personne et la clef de chif­fre­ment n’a jamais été publique.

Magique non ?

Ok, donc on sait faire,
où est le loup ?

Il n’y a pas de loup. C’est vrai­ment génial, on peut faire des trucs de dingues en crypto. C’est juste que la problé­ma­tique plus large que celle décrite.

In our opinion, none of the exis­ting voting schemes achieve the same level of secu­rity guaran­tees than tradi­tio­nal on-site paper voting (as it is orga­ni­zed in France for example).

FAQ de Bele­nios

En premier lieu, tout repose sur une clef cryp­to­gra­phique. Il faut faire confiance à qui génère et détient cette clef. Il faut aussi faire confiance au maté­riel et au logi­ciel qui génèrent et mani­pulent cette clef. Il faut aussi faire confiance la sécu­rité du stockage de cette clef. Si cette confiance est mal placée, ce sont les votes de tout le monde, nomi­na­ti­ve­ment, qui sont désor­mais connus.

Les systèmes proposent de répar­tir la clef chez plusieurs tiers de confiance après géné­ra­tion. C’est bien, mais ça ne répond fina­le­ment qu’à une toute petite partie du problème.

Ouch !

C’est vrai aussi pour le votant. Il réalise son vote sur un ordi­na­teur qui réalise les opéra­tions cryp­to­gra­phiques. Il lui faudra faire confiance dans le maté­riel et le logi­ciel utili­sés. La sécu­rité du maté­riel person­nel est une douce illu­sion. La sécu­rité d’un maté­riel géré par l’État (qui impose donc de se dépla­cer en local) pose au mini­mum une ques­tion de confiance (en l’État, ses pres­ta­taires) mais aussi de sécu­rité (sa sécu­rité et celle des autres pres­ta­taires, vis à vis d’autres États, ce qui est loin d’être si évident que ça). Si cette confiance est mal placée, le vote peut être divul­gué, ou peut-être même que le vote enre­gis­tré dans l’urne ne corres­pon­dra pas à ce que l’élec­teur a réel­le­ment choisi.

Aie !

Si on parle de vote à distance – qui est quand même un des avan­tages attendu du vote élec­tro­nique – on ajoute aussi la possi­bi­lité de contrainte ou d’achat de vote. Ça existe déjà sur nos urnes trans­pa­rentes, mais à une échelle qui ne peut pas être massive. La contrainte est diffi­cile sans procu­ra­tion et on ne peut avoir qu’une procu­ra­tion par personne. Il y a eu des histoires d’achat de vote mais fina­le­ment chacun reste libre dans l’iso­loir.

En fait le système Helios faci­lite l’achat ou la contrainte parce qu’un tiers peut impo­ser au votant de four­nir un élément qui lui permet­tra de déchif­frer le vote dans l’urne publique. Bref, on a un outil qui permet poten­tiel­le­ment de la contrainte de vote massive.

Ouille !

Enfin, même une fois dépassé tout ça, l’élec­teur doit quand même faire confiance globa­le­ment dans tout le système. Le système d’urne trans­pa­rente peut être compris et véri­fié par chacun, jusqu’à mon fils de 9 ans. La cryp­to­gra­phie ne l’est pas. Les élec­teurs ne peuvent que confir­mer que le logi­ciel qu’ils ont entre les mains donne le même résul­tat que celui annoncé, et doivent faire confiance à ce logi­ciel.

Même si le logi­ciel était réim­plé­menté par des personnes de confiance, seule une toute petite mino­rité a la connais­sance pour comprendre et véri­fier le méca­nisme cryp­to­gra­phique théo­rique pour s’as­su­rer qu’il est fiable.

Honnê­te­ment, je suis dans la tech­nique infor­ma­tique, proche des milieux sensibles à la vie privée et à la crypto, mais je ne crois pas connaître quelqu’un qui saurait prou­ver mathé­ma­tique­ment avec un bon niveau de confiance la soli­dité des algo­rithmes en jeu.

Quand on voit la défiance vis à vis des vaccins ou même sur la forme de la terre, autant dire qu’on court à la catas­trophe si on croit que « faites confiance aux experts » est une bonne réponse.

Ache­vez-moi.

Même après tout ça, la recherche avance. Je ne vais pas parler de casser la crypto d’aujourd’­hui avec des ordi­na­teurs quan­tiques. C’est un domaine que je ne connais pas du tout. On a par contre un assez bon histo­rique pour iden­ti­fier le risque sérieux que ce qu’on chiffre aujourd’­hui soit déchif­frable dans 10, 20 ou 30 ans.

20 ans ça parait long mais je ne sais pas ce que sera notre pays, qui sera au pouvoir et ce qu’ils pour­raient en faire. Si demain on a un pouvoir auto­ri­taire, savoir qu’aujourd’­hui j’ai voté X ou Y pour­rait me coûter ma vie. La France était en guerre avec tortures et crimes contre l’hu­ma­nité sur son sol il y a encore 60 ans.

Gloups.

Même plus modé­ré­ment, je ne veux pas que mon voisin sache pour qui j’ai voté il y a 20 ans. C’est ma tranquillité qui est en jeu. Je ne veux pas que je ne sais quelle entre­prise de marke­ting l’uti­lise pour du profi­lage. Le secret du vote m’est essen­tiel.

Mais alors,
faut-il tout jeter ?

Certai­ne­ment pas !

On peut encore inven­ter des choses, même si pour l’ins­tant on a l’im­pres­sion que la boite noire qu’est l’élec­tro­nique laisse peu de place aux objec­tions levées plus haut. Le problème n’est pas théo­rique, il est pratique, à cause de la complexité en jeu.

Ça dépend de ce qu’on vise.

On sait désor­mais que le maté­riel peut être compro­mis à la source, avant même d’être utilisé, soit par le construc­teur, soit par un acteur étatique tiers. C’est jouable pour influen­cer une élec­tion natio­nale. C’est plus ridi­cule pour l’élec­tion des parents d’élèves de l’école primaire de Trifouilli-les-oies.

Ça dépend aussi des risques et de ce qu’on remplace.

On vote par exemple à distance pour les français de l’étran­ger. C’est un compro­mis faute de meilleure solu­tion et parce que les risques sont limi­tés. Ces votes sont suffi­sam­ment faibles dans l’en­semble natio­nal pour que proba­ble­ment ce risque ne soit pas déter­mi­nant. On donne d’ailleurs souvent les résul­tats avant que certaines zones non métro­po­li­taines n’aient fini de voter ou d’être comp­ta­bi­li­sées. C’est dire…

La Suisse le consi­dère d’ailleurs de façon inté­res­sante. Les garan­ties deman­dées pour un système ne sont pas les mêmes suivant qu’il peut concer­ner moins de 30%, entre 30 et 50%, ou plus de 50% des votants.

Ce pour­rait être aussi une solu­tion sur un pays avec des corrup­tions locales telles que les risques de mani­pu­la­tions d’urnes seraient plus impor­tants que celles de mani­pu­la­tions infor­ma­tiques, ou pour un pays en désor­ga­ni­sa­tion géné­rale sur le terrain suite à une catas­trophe, ou que sais-je encore.

C’est un équi­libre des risques et des béné­fices, en fonc­tion des alter­na­tives. Aujourd’­hui il s’avère juste qu’on a en France une alter­na­tive sûre, simple, effi­cace, d’un coût accep­table, et compré­hen­sible par tous. La barrière à l’en­trée est donc très haute, et le vote élec­tro­nique ne la passe pas, pas tel qu’on sait le conce­voir aujourd’­hui.


Note : On parle de sujet complexes (c’est d’ailleurs un des problèmes). Si je me trompe, ou s’il existe des parades à mes objec­tions, ou si vous avez des données complé­men­taires, vous êtes plus que bien­venu à commen­ter et ajou­ter à l’in­for­ma­tion.
Je corri­ge­rai mon propre texte le cas échéant.
Je vous demande juste d’être construc­tif et de me donner les liens vers les infor­ma­tions détaillées pour que je puisse les consul­ter.

1 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *