Carnet de notes

Vote élec­tro­nique

J’en vois encore qui pour­suivent le mythe du vote élec­tro­nique plus simple qui débloquera la démo­cra­tie. Y compris des ingé­nieurs qui travaillent dans les réseaux.

Sauf que rempla­cer le papier est loin d’être évident. Le système papier est simple, diffi­cile à corrompre, et diffi­cile à tracer. Ça fait beau­coup. Mais surtout tout le proces­sus est trans­pa­rent ainsi que véri­fiable par le citoyen, ce qui est un pré-requis essen­tiel.

Pour le vote élec­tro­nique il faut garan­tir :

  1. Que le logi­ciel fait ce qu’on attend de lui (sans défaut)
  2. Que le maté­riel fait ce qu’on attend de lui (sans défaut)
  3. Que le logi­ciel n’est pas mali­cieux ou corrompu
  4. Que le maté­riel (micro­codes inclus) n’est pas mali­cieux ou corrompu
  5. Que le logi­ciel exécuté soit celui prévu, que le maté­riel prenne bien en compte le logi­ciel demandé, que personne n’a été capable d’injec­ter un autre logi­ciel, que personne n’a pu modi­fier le logi­ciel avant ou pendant le vote
  6. Que le maté­riel utilisé (micro­codes inclus) soit celui prévu, que personne n’a été capable de le modi­fier avant ou pendant le vote
  7. Que les données de vote résul­tat sont celles produites par le logi­ciel et le maté­riel prévus
  8. Que personne n’est capable de tracer les votes pour les rendre nomi­na­tifs
  9. Que s’il y a une quel­conque anoma­lie, elle puisse être détec­tée et/ou limi­tée dans son effet

Aucun de ces points n’est réel­le­ment véri­fiable par le citoyen moyen.

À vrai dire même les profes­sion­nels ne se risque­raient pas à donner une quel­conque garan­tie. En réalité on ne va même pas jusque là. Au mieux, ce qu’ils font aujourd’­hui c’est certi­fier qu’ils n’ont pas iden­ti­fié de problème majeur, ce qui est nette­ment diffé­rent.

Si on y met vrai­ment les moyens, les points 1 et 3 peuvent être véri­fiés avec un niveau de confiance pas si décon­nant mais ça n’aura de toutes façons aucune utilité tant qu’ont est tota­le­ment à poil devant les risques 4 et 5 et qu’on doit faire une confiance aveugle à ceux qui certi­fient les diffé­rentes parties de la chaîne.

Même le point 6, sécu­ri­ser plus de 150 000 machines depuis leur concep­tion jusqu’à leur répar­ti­tion dans près de 70 000 empla­ce­ments diffé­rents en France et à l’autre bout du monde, est loin d’être évident. Si tant est qu’il soit possible de le faire en se proté­geant contre des orga­ni­sa­tions de la taille d’États, c’est typique­ment invé­ri­fiable par le citoyen moyen et demande de faire confiance à une entité qui contrô­lera tout ça (aie, qui ? pas le gouver­ne­ment en place j’es­père).

Dit autre­ment : Vous n’avez aucune garan­tie que le résul­tat du vote tel que publié corres­ponde aux inten­tions de vote des élec­teurs, ou que les opéra­tions de vote aient été anonymes. Aucune.

Personne n’a à ce jour et à ma connais­sance trouvé une solu­tion à ce problème dans le cadre d’un vote élec­tro­nique. Si c’était le cas ça aurait déjà fait grand bruit rien que par le nombre de personnes qui se seraient atte­lées à véri­fier le système et par le nombre d’études et papiers de recherche le confir­mant.

Gênant, quand même.

Et si vous pensez avoir la solu­tion, après avoir avec humi­lité consi­déré que si ça vous semble simple c’est proba­ble­ment que vous vous trom­pez quelque part vu le nombre de personnes très intel­li­gentes qui sont déjà passées sur le sujet, je vous invite à faire une grande commu­ni­ca­tion publique dans la presse avec le détail de mise en œuvre que tout le monde pourra véri­fier pour confir­mer.

Vous voulez des exemples ?

Les machines utili­sées ces dernières années étaient très mal sécu­ri­sées. Si vous cher­chez sur Inter­net vous trou­ve­rez une univer­sité qui a réussi à faire chan­ter un hymne natio­nal à une machine de vote, de nombreuses personnes qui montrent comment modi­fier la machine dans l’iso­loir du bureau de vote, des machines à voter qui donnent plus de votes que d’élec­teurs ou même qui élisent des gens qui n’étaient pas dans les candi­dats, des résul­tats illi­sibles, des machines qui conte­naient déjà des votes avant le début de l’élec­tion, des résul­tats objec­ti­ve­ment faux (genre « tous les votes pour un candi­dat qui fait quelques pour­cents ailleurs »), et je passe de meilleures histoires encore.

Le pire c’est que tout ce qu’on a vu sur ces ordi­na­teurs de vote est assez gros­sier, souvent résul­tat de défauts de concep­tion ou d’or­ga­ni­sa­tion tout aussi gros­siers.

En réalité le problème n’est pas un manque de moyen, c’est que le système est objec­ti­ve­ment quasi­ment impos­sible à garan­tir et à sécu­ri­ser. Je serai très heureux que vous trou­viez une solu­tion mais des gens meilleurs que nous s’y sont cassés les dents plus d’une fois.

Toutes les solu­tions entre­vues jusqu’à présent soit mettent à mal le secret du vote, soit ne sont qu’une auto­ma­ti­sa­tion mineure et peu perti­nente du système papier actuel.

Et surtout, pourquoi ?

Parce que fina­le­ment, le coût des élec­tions papier est énorme, mais les machines à voter ont coûté encore plus cher.

Le seul défaut théo­rique du papier tient dans la lenteur pour obte­nir des résul­tats, c’est à dire quelques heures. Est-on prêt à mettre en danger nos élec­tions pour ne plus attendre quelques heures une fois par an en moyenne ?

Éric

10 réponses à “Vote élec­tro­nique”

  1. Que des élus puissent le croire, je peux le comprendre (mais pas l’accepter) vu le discours qu’ils auront entendu de la part des commerciaux d’ordinateurs de vote et le fait que le ministère de l’Intérieur arrive à donner son blanc-seing à de telles passoires…

    Que des spécialistes des réseaux aient des oeillères de grande taille est nettement plus inquiétant, oui (on rejoint probablement le problème de leur formation initiale où sécu et confidentialité ne sont pas des thèmes enseignés autant que je sache)

    Répondre

  2. Bonjour Eric,

    Il important d’ajouter : si vous avez compris ce message, aller dépouiller, plus y a de monde, plus ça va vite ! Et tant qu’il y a du monde, il n’y aura pas de raison de mettre de machine.

    Le militantisme contre les machines à voter est aussi simple que ça.

    Répondre

    • Oh oui. Merci du rappel Nat.

      D’autant qu’il est très fréquent que les bureaux aient du mal à trouver des gens pour ça. En général quand vous vous proposez , vous obtenez un grand sourire.

      Ca ne prend qu’une heure, éventuellement deux heures quand on a plein de listes et des papiers pliés en 8 ou 16 dans les enveloppes. Une fois par an en moyenne, ça ne va pas vous tuer.

      Mais si vous ne l’avez jamais fait, ça vous montrera surtout l’envers du décors, comment la procédure tente de garantir vos droits, comment sont comptés les votes, ce qu’on trouve dans les enveloppes, autrefois la distinction du vote blanc et nul, etc.

      Pour un citoyen il faut l’avoir fait au moins une fois.

  3. « Et surtout pourquoi ? »

    « Quelques heures une fois par an », c’est acceptable dans notre modèle actuel : le « peuple » n’a guère son mot à dire dans les décisions au jour le jour.

    Mais i on veut se rapprocher un peu plus près d’une démocratie réelle, il faut trouver des moyens pour que chaque individu puisse s’exprimer efficacement.

    Garder un vote papier si on demande son avis au citoyen une fois par semaine, ce n’est pas envisageable en l’état. A mon avis, il est là le challenge du vote électronique.

    À part ça, je crois qu’il y a des travaux en cours très intéressants, basés sur le blockchain de Bitcoin, permettant des votes sécurisés (mais je ne sais pas si ça garanti l’anonymat).

    Répondre

    • On en est loin du vote une fois par semaine. Et quand on y sera la question ne sera pas technique. Prendre un vote éclairé par semaine me semble irréalisable.

  4. Tu oublies dans tes 9 points le dixième : Que le citoyen comprenne ce que la machine de vote lui demande. Et donc puisse voter ce qu’il a effectivement envie de voter. Plusieurs études ont été réalisés sur le sujet, à chaque fois les taux d’échec sont significatifs.

    Répondre

    • Vrai, mais ça j’imagine qu’en le travaillant on y arrivera, et probablement mieux que ce qu’on fait sur papier (certains font toujours n’importe quoi sur papier, et pas toujours consciemment).

  5. Notons aussi que le vote électronique est une boite noire (matérielle et logicielle), que le citoyen n’est pas autorisé à décortiquer. On ne sait pas ce qui a été testé, comment ça a été testé…

    En Belgique on a eu le problème suivant : le nombre de bulletins électroniques ne correspondait pas avec le nombre de votants sur la liste d’émargement. Après 3 jours, on a trouvé la cause : insérer plusieurs fois la carte de vote, annuler son vote puis enfin voter faisait bugguer le système.

    Le papier, ya que ça de vrai !

    Répondre

  6. http://binaire.blog.lemonde.fr/2015/03/16/les-bonnes-proprietes-dun-systeme-de-vote-electronique/

    Pour poursuivre la série d’article sur le sujet du vote électronique (Qu’est-ce qu’un bon système de vote ? et la sureté des systèmes) par Véronique Cortier, Directrice de recherche au CNRS à Nancy, nous avons choisi de vous parler du système Helios pour mettre en lumière les bonnes propriétés d’un système de vote électronique et les possibilités offertes par certains algorithmes. Pierre Paradinas

    […]

    Pour toutes ces raisons, il semble prématuré d’utiliser le vote par Internet pour des élections à forts enjeux comme des élections politiques importantes. Par contre, il serait réducteur de penser que le vote par Internet est plus dangereux que les autres systèmes de vote en général. Ainsi, le vote par Internet est souvent utilisé pour remplacer le vote par correspondance, qui lui-même n’est pas un système totalement sûr comme nous en avons discuté dans un précédent billet.

    Répondre

  7. Pour être complet, la cryptographie nous permet d’assurer l’inviolabilité du vote sans forcément remettre en cause l’anonymat. Il y a des codes sources qui ont été audités pour cela. La partie technique est donc assez bien maitrisée.

    Le tout repose sur des clefs cryptographiques, des jetons fournis à chacun, et des systèmes pour voter.

    Il faut donc garantir le secret de la clef privée (qui la génère, sur quel matériel et quel logiciel, s’assurer qu’elle n’est pas copiée ou divulguée, et avoir confiance dans les personnes qui en sont dépositaires, individuellement ou collectivement). Bonne chance si vous n’avez pas un tiers de confiance qui fait consensus (et dans ce cas toute la validité du vote repose sur lui).

    Il faut garantir que tout le monde a bien un jeton (vous vous souvenez de combien n’ont pas reçu leur carte d’électeur ?), mais aussi que ce jeton est privé et secret à la réception (on oublie la simple lettre remise dans une boite dont n’importe qui peut avoir un passe) et à l’émission (tiens, qui génère ces jetons, les attribue et les envoie ? lui aura tout contrôle sur l’élection). L’État est évidemment le mieux placé pour jouer ce rôle mais ça lui donnerait un pouvoir énorme sur l’élection.

    Enfin, il faut garantir que si je vote jaune la machine ne recevra pas un vote rouge, et que personne ne peut espionner cette machine. Ça veut dire pouvoir garantir l’absence totale de compromission matérielle et logicielle de la machine sur laquelle on vote. Autant dire mission impossible.

    Juste ça. Et même si on y arrivait, ça demanderait de faire confiance dans ce qui sera une boite noire pour l’essentiel des citoyens.

    La théorie et les mathématiques c’est super, la réalité c’est plus compliqué, et les problèmes réels sont souvent très terre à terre.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.