Helios fait à ma connaissance partie des systèmes les plus avancés pour du vote électronique. On l’avait mentionné brièvement ici il y a deux ans dans les discussions au sujet du vote électronique mais je ne crois pas qu’il y ait eu de révolution depuis. Belenios semble apporter des réponses à quelques objections ci-dessous mais je n’ai pas encore intégré tout ça. J’ai vu aussi Civitas qui semble répondre à d’autres point, mais je n’ai pas encore étudié ce dernier non plus. Ce qui semble toutefois certain, c’est que le système parfait n’existe toutefois pas.
Helios garantit à la fois le secret et la vérifiabilité
Je crois que c’est ce qui m’a le plus retourné l’esprit la première fois. On se base sur de la cryptographie. On envoie dans l’urne un vote chiffré.
La crypto permet de créer une preuve de validité, c’est à dire prouver que notre vote chiffré contient bien une valeur autorisée, sans pour autant révéler la valeur du dit vote. On ajoute cette preuve de validité (vérifiable par chacun) à l’urne avec son vote.
La liste des votes chiffrés est elle-même publique. On peut vérifier que son vote est pris en compte sans modification, et vérifier qu’on n’a pas ajouté de votes (au prix d’une divulgation des listes d’émargement).
Au dépouillement on utilise les propriétés homomorphes du chiffrement. En gros ça permet de faire des calculs à partir des données chiffrées sans les déchiffrer. C’est juste que le résultat est chiffré lui aussi.
Là on déchiffre ce résultat (et uniquement le résultat) et on créé une preuve cryptographique que ce qu’on annonce correspond bien au résultat chiffré. Les votes n’ont été révélés à personne et la clef de chiffrement n’a jamais été publique.
Magique non ?
Ok, donc on sait faire,
où est le loup ?
Il n’y a pas de loup. C’est vraiment génial, on peut faire des trucs de dingues en crypto. C’est juste que la problématique plus large que celle décrite.
In our opinion, none of the existing voting schemes achieve the same level of security guarantees than traditional on-site paper voting (as it is organized in France for example).
FAQ de Belenios
En premier lieu, tout repose sur une clef cryptographique. Il faut faire confiance à qui génère et détient cette clef. Il faut aussi faire confiance au matériel et au logiciel qui génèrent et manipulent cette clef. Il faut aussi faire confiance la sécurité du stockage de cette clef. Si cette confiance est mal placée, ce sont les votes de tout le monde, nominativement, qui sont désormais connus.
Les systèmes proposent de répartir la clef chez plusieurs tiers de confiance après génération. C’est bien, mais ça ne répond finalement qu’à une toute petite partie du problème.
Ouch !
C’est vrai aussi pour le votant. Il réalise son vote sur un ordinateur qui réalise les opérations cryptographiques. Il lui faudra faire confiance dans le matériel et le logiciel utilisés. La sécurité du matériel personnel est une douce illusion. La sécurité d’un matériel géré par l’État (qui impose donc de se déplacer en local) pose au minimum une question de confiance (en l’État, ses prestataires) mais aussi de sécurité (sa sécurité et celle des autres prestataires, vis à vis d’autres États, ce qui est loin d’être si évident que ça). Si cette confiance est mal placée, le vote peut être divulgué, ou peut-être même que le vote enregistré dans l’urne ne correspondra pas à ce que l’électeur a réellement choisi.
Aie !
Si on parle de vote à distance – qui est quand même un des avantages attendu du vote électronique – on ajoute aussi la possibilité de contrainte ou d’achat de vote. Ça existe déjà sur nos urnes transparentes, mais à une échelle qui ne peut pas être massive. La contrainte est difficile sans procuration et on ne peut avoir qu’une procuration par personne. Il y a eu des histoires d’achat de vote mais finalement chacun reste libre dans l’isoloir.
En fait le système Helios facilite l’achat ou la contrainte parce qu’un tiers peut imposer au votant de fournir un élément qui lui permettra de déchiffrer le vote dans l’urne publique. Bref, on a un outil qui permet potentiellement de la contrainte de vote massive.
Ouille !
Enfin, même une fois dépassé tout ça, l’électeur doit quand même faire confiance globalement dans tout le système. Le système d’urne transparente peut être compris et vérifié par chacun, jusqu’à mon fils de 9 ans. La cryptographie ne l’est pas. Les électeurs ne peuvent que confirmer que le logiciel qu’ils ont entre les mains donne le même résultat que celui annoncé, et doivent faire confiance à ce logiciel.
Même si le logiciel était réimplémenté par des personnes de confiance, seule une toute petite minorité a la connaissance pour comprendre et vérifier le mécanisme cryptographique théorique pour s’assurer qu’il est fiable.
Honnêtement, je suis dans la technique informatique, proche des milieux sensibles à la vie privée et à la crypto, mais je ne crois pas connaître quelqu’un qui saurait prouver mathématiquement avec un bon niveau de confiance la solidité des algorithmes en jeu.
Quand on voit la défiance vis à vis des vaccins ou même sur la forme de la terre, autant dire qu’on court à la catastrophe si on croit que « faites confiance aux experts » est une bonne réponse.
Achevez-moi.
Même après tout ça, la recherche avance. Je ne vais pas parler de casser la crypto d’aujourd’hui avec des ordinateurs quantiques. C’est un domaine que je ne connais pas du tout. On a par contre un assez bon historique pour identifier le risque sérieux que ce qu’on chiffre aujourd’hui soit déchiffrable dans 10, 20 ou 30 ans.
20 ans ça parait long mais je ne sais pas ce que sera notre pays, qui sera au pouvoir et ce qu’ils pourraient en faire. Si demain on a un pouvoir autoritaire, savoir qu’aujourd’hui j’ai voté X ou Y pourrait me coûter ma vie. La France était en guerre avec tortures et crimes contre l’humanité sur son sol il y a encore 60 ans.
Gloups.
Même plus modérément, je ne veux pas que mon voisin sache pour qui j’ai voté il y a 20 ans. C’est ma tranquillité qui est en jeu. Je ne veux pas que je ne sais quelle entreprise de marketing l’utilise pour du profilage. Le secret du vote m’est essentiel.
Mais alors,
faut-il tout jeter ?
Certainement pas !
On peut encore inventer des choses, même si pour l’instant on a l’impression que la boite noire qu’est l’électronique laisse peu de place aux objections levées plus haut. Le problème n’est pas théorique, il est pratique, à cause de la complexité en jeu.
Ça dépend de ce qu’on vise.
On sait désormais que le matériel peut être compromis à la source, avant même d’être utilisé, soit par le constructeur, soit par un acteur étatique tiers. C’est jouable pour influencer une élection nationale. C’est plus ridicule pour l’élection des parents d’élèves de l’école primaire de Trifouilli-les-oies.
Ça dépend aussi des risques et de ce qu’on remplace.
On vote par exemple à distance pour les français de l’étranger. C’est un compromis faute de meilleure solution et parce que les risques sont limités. Ces votes sont suffisamment faibles dans l’ensemble national pour que probablement ce risque ne soit pas déterminant. On donne d’ailleurs souvent les résultats avant que certaines zones non métropolitaines n’aient fini de voter ou d’être comptabilisées. C’est dire…
La Suisse le considère d’ailleurs de façon intéressante. Les garanties demandées pour un système ne sont pas les mêmes suivant qu’il peut concerner moins de 30%, entre 30 et 50%, ou plus de 50% des votants.
Ce pourrait être aussi une solution sur un pays avec des corruptions locales telles que les risques de manipulations d’urnes seraient plus importants que celles de manipulations informatiques, ou pour un pays en désorganisation générale sur le terrain suite à une catastrophe, ou que sais-je encore.
C’est un équilibre des risques et des bénéfices, en fonction des alternatives. Aujourd’hui il s’avère juste qu’on a en France une alternative sûre, simple, efficace, d’un coût acceptable, et compréhensible par tous. La barrière à l’entrée est donc très haute, et le vote électronique ne la passe pas, pas tel qu’on sait le concevoir aujourd’hui.
Note : On parle de sujet complexes (c’est d’ailleurs un des problèmes). Si je me trompe, ou s’il existe des parades à mes objections, ou si vous avez des données complémentaires, vous êtes plus que bienvenu à commenter et ajouter à l’information.
Je corrigerai mon propre texte le cas échéant.
Je vous demande juste d’être constructif et de me donner les liens vers les informations détaillées pour que je puisse les consulter.
Laisser un commentaire