Et maintenant, votons en ligne et n’importe comment

Youpi, depuis le 23 mai, c’est la fête du slip technologique pour les expatriés français ! L’État, dans son immense mansuétude, leur a proposé de découvrir le vote électronique et de tester absolument toutes les abominations qui pouvaient en résulter. Délice du planisme total, allégresse d’un système totalement opaque, joie d’une application mal conçue, bonheur du bug tendrement planté et récolté à la bonne saison, tout y est pour une réussite digne des heures les plus glorieuses de notre passé…

Avant de détailler les misères du vote électronique et, plus particulièrement, de son implémentation façon État Français, un peu de contexte s’impose : dans quelques semaines, le premier tour des élections législatives se tiendra en France. Quelques députés ont été assignés aux circonscriptions de l’étranger. Essentiellement, il s’agit de représenter les expatriés et les Français à l’étranger par une douzaine de députés.

Comme on imagine assez bien que les Français concernés sont un peu éparpillés autour de la planète, l’idée d’utiliser le vote électronique est évidemment passée par la tête des énarques et autres fonctionnaires en charge du bazar électoral. Et comme de juste, ils se sont empressés de ne pas se renseigner sur la faisabilité et la pertinence d’une telle idée : moyennant quelques millions d’euros judicieusement engloutis en champagne, petits-fours et, à la marge, quelques lignes de code improvisées sur un coin de table, les Français de l’étranger pourront donc cette année voter électroniquement pour n’importe qui, le tout n’importe comment.

Je dis pour n’importe qui et n’importe comment parce que c’est exactement ce qui va se produire.

N’importe comment est facile à démontrer. Par le truchement d’une aimable lectrice que je remercie au passage, je me suis procuré les différentes pièces de la « procédure » pour enfin pouvoir voter de façon électronique aux prochaines élections. Ce n’est pas triste et permet de donner un nouveau sens au mot « incompétence ».

Notez qu’on le savait déjà : les services de l’État sont notoirement incompétents dans tout ce qui touche les nouvelles technologies et internet en particulier. D’un côté, c’est plutôt une bonne chose puisque cela ménage de grands espaces de libertés qui constituent une soupape de sécurité aux incessants piétinements de l’État sur nos droits fondamentaux. De l’autre, cela donne de grand moment de fou rire comme la Saga France.fr par exemple.

C’est donc sans surprise et avec l’habituelle dose d’exaspération qui vient pour tout moutontribuable-citoyen que la « procédure » s’articule en une suite de désappointements, erreurs et échecs lamentables.

Elle commence par une jolie petite lettre, qui explique de façon un peu embrouillée qu’on peut toujours voter dans une urne, par courrier, par procuration, mais que voter de façon électronique est aussi possible moyennant le sacrifice d’un poulet l’envoi d’un identifiant et d’un mot de passe par des canaux différents et à des moments différents.

Lettre de motivation au vote électronique

D’un côté, on reçoit donc un papier (ce qui est si XXème siècle) avec un identifiant. De l’autre, par e-mail, un mot de passe. L’e-mail aura été préalablement phishé pardon récupéré légalement par le Consulat et ne sera jamais utilisé (si si on vous jure) pour du spamming politique. Une fois l’e-mail reçu, pouf, on peut poursuivre la procédure de vote. À noter qu’on peut aussi recevoir l’identifiant par SMS, ça, c’est vraiment trendy mais ça nécessite aussi de laisser votre numéro de portable au Consulat. J’attends le jour où il trouvera une excuse pour demander le groupe sanguin et un extrait pertinent de l’ADN du citoyen. Je suis sûr que ce jour approche.

Bien, à présent, les choses sérieuses. On se connecte au site www.votezaletranger.gouv.fr qui nous apprend au passage que la suite de la procédure implique d’installer des trucs et des bidules sur son ordinateur, et qu’il est probable qu’on doive mettre à jour sa machine virtuelle java, pour la descendre de la v1.7 à une bonne vieille v1.6. Sans compter qu’en plus, des noms de candidats sont incorrects, mais tout ceci est accessoire, après tout c’est électronique dont forcément hype et n’en parlons plus. Bref, on clique sur le gros bouton bleu. L’écran suivant apparaît.

Vote électronique : vérification de la configuration

Pendant de longues secondes, l’ordinateur « analyse » et fait des machins qui gigotent. Ici, il échouera régulièrement, fera des petits time-out désolés, et, après quelques clics douloureux, pourra éventuellement aboutir, une fois la machine java downgradée réinstallée une demi-douzaine de fois, à l’étape vivifiante suivante, dans laquelle on va enfin pouvoir entrer son identifiant et son mot de passe, puisque la configuration n’est « a priori pas bloquante » (quand je vous dis qu’il y a du LOL dans les nouvelles technologies à la française).

Vote électronique : étape 1

Au passage, on se demande furieusement pourquoi il y a besoin de faire tout ce bordel alors que dans le même temps, HTTPS (une connexion sécurisée de base) ne semble pas obligatoire (!) et que de toute façon, comme personne n’a vu le code source des applications gérant le vote, il pourrait s’y trouver absolument n’importe quoi. Ensuite, on valide, et on obtient éventuellement ceci :

Vote électronique : Ah bah non, ça ne marche toujours pas

Ouf, tout va bien.

Bon. À ce point du récit, il est évident que la procédure, ridiculement compliquée et tortueuse, fera rire n’importe quelle personne qui pratique internet depuis plus de trois mois. On a, de nos jours, moins de mal pour consulter son compte en banque, faire un virement, commander des canards en plastique jaune qui font pouic sur Amazon que pour payer ses impôts en ligne (un grand moment de bonheur à base de low kicks dans les parties sensibles) ou pour tout simplement voter. Tout, depuis le choix discutable de la plateforme, jusqu’à la façon dont a été programmée l’application (manifestement dans le noir et avec des gants de boxe), en passant par la localisation des serveurs (en Espagne !), tout montre l’amateurisme et le jmenfoutisme décontracté dans lequel l’ensemble de l’opération aura été réalisée avec le pognon gratuit des autres. On sent l’odeur du champagne et des escorts sémillantes flotter autour de cette réalisation par un stagiaire sous payé dans la cave d’une ambassade quelconque.

Quelque part, je suis assez content de constater que l’intendance ne suit pas.

En effet, le vote électronique est le rêve humide de tous les apprentis dictateurs et des politiciens tels qu’on les connaît déjà, puisque mal implémenté, c’est l’autoroute vers le trucage facile d’élection pour les nuls, sans le moindre scrupule et la moindre chance de se faire attraper. C’est le rêve de tous les éternels magouilleurs du vote, les manieurs fous de la pelle électorale, celle qui exhume les morts par douzaine ou celle qui remplit les urnes de bulletins favorables.

Permettre au citoyen de voter électroniquement, c’est devoir mettre en place une procédure relativement complexe qui doit permettre à ce dernier de s’assurer que son vote a bien été pris en compte, qu’il n’a pas été modifié, et qu’il reste anonyme, et ce, du début à la fin du processus. Aucune de ces exigences minimales n’est pris en compte dans la parodie bricolée et foireuse qu’on nous offre ici.

Rien, absolument rien n’indique que si l’on vote pour le Clown A ou le Clown B, ce ne sera pas le Clown C qui sera enregistré, quelque part, sur le serveur en question. Rien n’indique que le vote n’aura pas été modifié. Rien n’indique que le vote n’aura pas été effacé, oublié, corrompu. Le citoyen n’a, de fait, strictement aucun moyen de s’assurer que son vote se retrouvera bien exprimé.

Si ça se trouve, un employé du ministère, sous le sceau du secret, est en train de remplir, à partir de la fonction ALEA dans Excel, un grand tableau qu’il va ensuite injecter dans la base de données du « vote électronique des Français de l’Étranger », ou, mieux, une fonction habilement construite pour orienter le vote dans le sens qu’on veut. Absolument aucune méthode ne permet de vérifier que ce n’est pas le cas.

Compte tenu de l’Histoire, compte tenu de la facilité évidente qu’offre une telle parodie de vote pour bidouiller le résultat, compte tenu du nombre de députés (une douzaine) et de Français impliqués (plusieurs centaines de milliers), on peut parier que tout ceci n’est pas fortuit, voire drôlement commode.

Si voter, de façon traditionnelle, est déjà, en soi, une fumisterie et un acte sensément immoral puisque permettant d’imposer la volonté d’un petit nombre sur tout un groupe de personnes, voter de façon électronique comme le propose la Diplomatie Française revient carrément à abdiquer ouvertement toute prétention à la liberté de citoyen et plonger dans les délices d’une naïveté confondante.

J'accepte les BTC, ETH et BCH !

1BuyJKZLeEG5YkpbGn4QhtNTxhUqtpEGKf

Vous aussi, foutez les banquiers centraux dehors, terrorisez l’État et les banques en utilisant les cryptomonnaies, en les promouvant et pourquoi pas, en faisant un don avec !
BTC : 1BuyJKZLeEG5YkpbGn4QhtNTxhUqtpEGKf
BCH : qqefdljudc7c02jhs87f29yymerxpu0zfupuufgvz6
ETH : 0x8e2827A89419Dbdcc88286f64FED21C3B3dEEcd8

Commentaires51

  1. Pere Collateur

    Oui, ça c’est un beau billet qui résume efficacement les problèmes, à ce jour insolubles, du vote électronique.

    A la base, personnellement, pour des raisons évidentes de commodité, j’aimerais pouvoir voter par internet.
    Mais rien, strictement rien dans l’état technologique des choses n’est capable de me prouver à coup sur que mon vote a bien été pris en compte.
    Et donc l’urne transparente est à ce jour encore le meilleur moyen de fournir un vote satisfaisant.

    Quand à cette implémentation franchouillarde de la chose, on a là quasiment toutes les fautes de goût à ne pas faire.
    Et pour ceux qui comme moi utilisent Linux, l’utilisation est encore plus Rock’N’Roll, puisque OpenJDK/icetea n’est pas supporté, ce qui implique donc d’installer java 6 update 32 (32 hein, n’allez pas mettre le 31 sinon fessée ^^), de faire un joli lien symbolique dans firefox pour activer le plugin, puis si ça a marché, une fois le vote terminé, remettre tout d’Équerre, sinon on risque de se balader avec un java qui ne sera jamais mis à jour par le système de package de la distrib. Great!

    Bref, comme vous l’avez noté, l’intendance ne suit plus, et ça c’est aussi l’information importante à retenir:
    Il fut un temps, ou dans les méandres des services de l’état, se trouvaient de myriades de gens pour corriger les erreurs des responsables, par pure conscience professionnelle et aussi par égard pour leurs concitoyens.
    Mais le fait que ce genres de choses (et les exemples ne manquent pas) passent en production comme une lettre à la poste démontre comme un parfum d’Atlas Shrugged qui fleure bon la démission totale d’une bonne partie des méritants, ceux qui font vraiment tourner la boutique.

    En règle général, ce genre d’époque se finit mal, très mal…

    1. Yrreiht

      Je fais partie, à mon niveau, des compétents de base qui corrigent les co…es de nos dirigeants et qui s’efforcent de faire tourner la boutique.

      Hé bien ça devient de plus en plus difficile de contourner les règlements de plus en plus nombreux, de plus en plus cons et de plus en plus lourds.

      Il n’y a pas de démission des méritants. La lutte n’est pas égale et nous perdons petit à petit la batailles des procédures et sommes contraint d’appliquer les règlements…

      Bin oui ça marche moins bien maintenant…

    1. Le Diable probablement

      Vous sous estimez un peu l’état de l’art en matière de cryptographie. Il existe des protocoles de vote anonymes dont la sécurité est démontrable. Encore faut-il que ceux qui les implémentent soient dignes de confiance.

  2. Macsime

    Sur le vote électronique, il n’y a rien de plus simple de garantir l’intégrité du scrutin. Il suffit d’utiliser le bon vieux principe du dépouillement.

    Je m’explique : on associe à chaque personne un identifiant numéroté connu d’elle seule. Et on laisse à la fin du scrutin en téléchargement libre un tableau (si possible en format simple à traiter type Excel) qui associe chaque identifiant à son vote.

    Ainsi le système reste :
    – anonyme puisque seule chaque personne peut identifier son vote par son numéro,
    – infalsifiable puisque chaque personne peut vérifier que son vote est là, donc une fraude serait repérée par le francais lésé : bien sur cela implique que chaque personne prenne la peine de vérifier la comptabilisation de son vote (ce qui n’est pas possible aujourd’hui d’un autre coté…).
    Mais même dans le cas contraire falsifier un vote serait prendre un risque puisqu’on ne peut à priori pas repérer les « négligeant » à l’avance.
    – transparent puisque chacun avec un tableur Excel peut prendre la liberté de recompter les voix

    Après bien sur, faire une plateforme sécurisée pour faire l’opération de vote en lui-même c’est une autre histoire. Mais comme le rappelle h16, les banques y arrivent très bien.

    1. Le Diable probablement

      Ce système ne marche que si vous considérez que vous pouvez faire confiance à l’entité qui émet les identifiants. L’identifiant secret étant partagé, l’anonymité n’est pas garantie par ce protocole. Par ailleurs, il n’est pas forcément souhaitable pour un système de vote qu’il permette au votant de prouver pour qui il a voté : si l’électeur fait l’objet de pressions, et qu’il est démontrable qu’il a voté pour l’issue inverse de celle que souhaite le groupe de pression, les choses ne vont pas se passer très bien pour l’électeur. Un système idéal garantit à la fois un compte des votes correct ET la résistance à ce type de manoeuvre coercitive, ce que ne fait pas ce système.

      1. Macsime

        Autant pour la partie coercition j’avoue ne pas avoir pensé le problème en ces termes, et c’est vrai que l’on facilite le travail d’un maitre chanteur. En même temps, si on est dans une situation où de tels groupes de pressions peuvent sans jamais être inquiétés effectuer de telles menaces sur électeurs, la sincérité d’un scrutin n’est pas la seule préoccupation démocratique à avoir…

        Autant pour l’anonymat et la confiance en l’entité, je ne vois pas ce que ce système aurait a envier au système actuel, si l’on suppose de plus que l’identifiant est unique, à usage unique et délivré de manière aussi sécurisée que le vote, après le vote.

        Mais votre remarque sur la coercition possible rend ce système inutilisable en l’etat, je suis d’accord.

        1. Pour cette partie, il faut utiliser des systèmes de clé privé/clé publique, ce qui rend l’ensemble plus compliqué mais peut assurer l’anonymisation.

      2. gnarf

        Et si l’identifiant secret n’est pas partage?
        D’un cote on a la liste electorale, avec un drapeau qui indique si la personne a vote ou pas.

        De l’autre on a l’urne, avec les votes…et chaque vote est marque d’un identifiant unique aleatoire genere au moment du vote, permettant la verification ulterieure.

        Mais la encore rien ne garantit que le lien entre mon nom sur la liste electorale et mon vote n’est pas conserve quelque-part…la machine sur laquelle je suis connecte a du recevoir mon nom et mon vote…elle peut faire ce qu’elle veut.
        Je me demande vraiment s’il y a moyen de garantir que le nom n’est pas associe au vote.

        1. Le Diable probablement

          Il y aura de fait un lien entre votre identifiant/identité et votre vote si vous voulez que le vote soit vérifiable.

        2. gnarf

          Pas forcement. Je vote, il y a une check box pour le candidat choisi, et il y a un champ pour mettre ce qui me passe par la tete comme marque anonyme pour identification future (qwerty si ca me chante…ou un choix de trois mots dans une liste generee aleatoirement a l’ecran).

          Ensuite s’affiche sur l’ecran que mon vote est pris en compte c’est le vote 12107. Ce numero est stocke dans l’enregistrement du vote, pas dans la liste electorale…la liste electorale contient juste un drapeau « a vote » pour mon nom.

          Je peux verifier par la suite que le vote 12107 correspond bien a ce que j’ai vote, et contient bien le commentaire unique que j’ai laisse (ou les trois mots).

        3. gnarf

          Avec le systeme ci-dessus les votes sont a la fois anonymes, et publics n’importe qui peut faire le recomptage.
          A condition qu’aucun lien cache ne soit stocke qui relie la liste electorale au vote.

        4. Le Diable probablement

          Il faudrait être beaucoup plus précis que ça pour discuter de ce genre de choses, et bien garder à l’esprit qui est en possession de quelle information à chaque moment. Si l’entité chargée d' »afficher sur l’écran » votre numéro de vote connaît ce numéro de vote, elle peut tout à fait procéder à la même « vérification » que vous par la suite. Comment le drapeau est-il ajouté sur la liste électorale sans confirmation de l’enregistrement du vote ? Si les deux systèmes sont liés, votre identité est traçable de façon triviale. Notez aussi que vous avez vous même accès au vote de tout le monde. Ce ne sont pas des qualités souhaitables pour un tel système.

    2. Je confirme qu’un système de vote répondant aux critères minimaux évoqués existe et est parfaitement développable. Mais juste raté, ce n’est pas celui choisi …

      1. Jean

        Aucun système de vote à distance ne permettra jamais de s’assurer que les votants ne remplissent pas leur devoir avec un flingue sur la tempe. Rien ne peut remplacer l’isoloir.

        Egalement tu auras beau avoir un joli tableau excel à la fin, personne ne pourra non plus te certifier que ton vote est allé à la personne de ton choix (à moins de rendre public les votes, mais là on revient à l’objection 1).

        Enfin il est impossible de certifier une machine électronique. Même si le code source t’es fourni, tu ne pourras pas t’assurer :
        – Que c’est effectivement ce code qui tourne sur la machine
        – Que ce code n’a pas été compilé avec un compilateur vicié. A moins d’obtenir et de savoir ausculter le code source du compilateur. Mais tu ne pourrais pas non plus t’assurer que c’est ce code qui tourne.

        Bref, vote électronique = caca

        1. Le Diable probablement

          a) Vous surestimez la sécurité qu’offre un isoloir/un bureau de vote. Remarquez aussi que vote électronique != vote à distance.
          b) Il est techniquement possible de vérifier qu’un vote électronique est attribué correctement. (Mais cette demande va à l’encontre du besoin de resistance à la coercition évoqué plus haut). Remarquez aussi qu’un vote sur papier n’est pas plus vérifiable.
          c) Objection valable dans le cas de machine dédiées, mais ce n’est pas le seul schéma possible.

        2. Oui, le vote électronique = caca, mais essentiellement parce qu’on ne peut pas séparer l’entité qui dépouille de l’entité qui vérifie la qualité du votant. Les autres objections sont soit valables quelque soit le système de vote, soit déjà résolu par cryptographie standard.

        3. Jack

          a) Vous surestimez la sécurité qu’offre un isoloir/un bureau de vote.

          Ah oui? Vous m’intéressez, pourriez-vous préciser? Comment le vote dans l’isoloir permettrait-il la coercition du vote?

        4. Jean

          Vous semblez tous les deux oublier que n’importe quel citoyen peut assister au dépouillement lors d’un vote papier.

          Donc la chaîne isoloir > urne > dépouillement est inviolable, et LA SEULE qui garantisse le vote en l’âme et conscience du votant.

          A moins de mettre David Copperfield sur le coup, ouvrir une boîte et en compter les papiers qui en sortent sous les yeux de tous empêche toute malversation.

        5. Le Diable probablement

          Aucun rapport avec le bourrage d’urnes.

          Pour ce qui est de la coercition, disons qu’elle est au moins proportionnelle au degré d’isolement garanti par l’isoloir. Autrement dit le degré d’isolement garanti par un panneau en carton avec un rideau plus ou moins troué. Nul doute qu’une personne bien intentionnée pourra veiller sans trop de problème à ce que vous fassiez votre devoir démocratique, en vous ayant préalablement remis le bulletin ad hoc. Pas besoin de flingue sur la tempe, suffit qu’il soit à la sortie du bureau de vote. Et ce n’est qu’un des scénarios les moins james bondesque qu’on peut imaginer.

        6. Emmanuel M

          C’est intéressant, je suis personnellement très opposé au vote électronique notamment à cause de l’absence d’isoloir.

          Les pressions familiales existent, et rien ne garantit que le votant n’est pas soumis à une pression forte

          Imaginez une grande opération « je vote avec les jeunes contre Le Pen » organisée sur un campus, avec des « scrutateurs » qui tiennent une liste de nom de ceux qui ne se pointent pas à l’opération.

  3. Calvin

    Très bon article, avec démonstrations par l’exemple.
    Ca ressemble à un anti-manuel d’utilisation !!
    Néanmoins, les dérives d’un vote électronique à des fins dictatoriales ne sont pas pour demain en France.
    Non pas que certains n’aient pas été tenté, mais parce que pour l’instant, vu le type de candidats proposés (tous socialistes à la dernière élection présidentielle), il n’est même pas utile de tripatouiller les votes.

    (Une coquille : « une fonction habilement construire pour « , en fait construite)

  4. pi31416

    C’est cette histoire d’installer / désinstaller java machin-chose version trucmuche qui m’a fait comprendre que nous avions affaire à des incapables de première.

    Vous en allez pas tout de suite, les aminches, j’ai un cadeau pour vous. Mon identifiant de vote (à conserver précieusement, me bonnit mon con…sul)

    Le voici: b4hg5vmez9

    Et mon mot de passe pour le premier tour: mcbdheacye

    Bonne et joyeuse votation!

    Accessoirement, si je me ramasse un savon de môssieur le consul, vous saurez ce qu’il en est du secret du scrutin.

      1. pi31416

        Antoine Bergeot. Pourquoi? Parce que c’est le seul dans le tas qui ne parle pas de « solidarité » et autres fariboles mondaines à la mode, et qui ne dit pas une seule fois « ensemble ».

        A noter qu’il y a un rigolo qui chante « solidarité et progrès ». Çui-là il me fait l’effet d’avoir été pondu par Ségolène (solidarité) et Dario Moreno chantant « je suis brésilien, j’ai de l’or » (ordem e progresso).

  5. nebukanetsar

    De la même façon qu’H16, je pense qu’il serait très facile de faire que tout vote « non conforme » au résultat escompté soit modifié dans les entrailles des logiciels et des machines de la chaîne.
    Le simple raffinement consistant en un paramétrage subtil évitant d’obtenir un score « à la soviétique » du vote conforme doit pouvoir se bidouiller sans grande difficulté pour un informaticien moyen.
    Ceci endormirait déjà la méfiance d’une bonne partie de l’électorat.
    Je vois également mal comment on pourrait éviter que le repérage de chaque vote et de sa teneur ne soit au minimum attribuable à l’adresse IP tartempion, à défaut du votant réel y ayant accès.
    Connaître les votes de tel foyer disposant de telle adresse IP constituerait déjà un grand pas dans les possibilités d’asservissement.
    Peut-être y a t il néanmoins des moyens mais s’il faut bac + 15 en informatique pour les comprendre ou les utiliser…

  6. nebukanetsar

    P.S. Après une campagne électorale de neuf mois où le produire français était en exergue pour un oui ou pour un non, je me demande si la localisation des serveurs en Espagne (?) résulte bien d’un hasard hasardeux?

  7. gem

    Déjà, informatiser un truc n’a d’intérêt que si on fait assez souvent pour que jeu en vaille la chandelle. Vu qu’en moyenne on doit mettre un bulletin dans l’urne un fois par an…

    Ensuite, on sait que pour que le vote soit sincère et secret l’isoloir est un élément crucial : le votant y entre avec une enveloppe anonyme et un paquet de bulletin, il en sort avec une enveloppe anonyme contenant son choix caché. L’enveloppe est le masque qui maintient un lien 1 pour 1 entre les votants et les votes tout en rompant le lien entre chaque vote et le votant qui l’a déposé.
    A l’étape suivant il faut une urne transparente, permettant de voir chaque votant voter une fois et une seule.

    L’informatique sait imiter l’urne transparente ; c’est facile. Elle sait peut-être imiter l’enveloppe, à base d’un dispositif de cryptologie que je ne voit pas bien (mais si on m’explique ?…). Mais une chose est sûre pour moi : elle ne sait pas imiter l’isoloir. Il n’y a aucun moyen de s’assurer que c’est bien le votant prévu qui vote, et encore moins qu’il n’est pas sous l’œil d’un tiers qui le menace ou l’achète.

    Donc je peux éventuellement admettre un vote par machine électronique dans une cabine discrète où une seule personne rentre, par contre un vote selon le mode ici utilisé, ça ne peut pas marcher ; en tout cas ça ne peut pas assurer le secret du vote.

    Le vote par internet ça peut marcher pour un vote public, « à main levée », mais pour ça on n’a pas besoin d’un dispositif très compliqué !

    Dans tous les cas le truc utilisé est nul

    1. Calvin

      Attention, une machine électronique n’est pas la panacée ! L’algorithme peut modifier sensiblement les choix des électeurs.

      1. gem

        Bien sûr qu’une procédure de vote mal foutue peut permettre de truander, mais ce n’est pas la question. Toute procédure de vote, qu’elle soit classique ou autre, est a priori suspecte, et elle doit être contrôlée de A à Z, et c’est pour ça qu’on a progressivement introduit les enveloppes, isoloir, urnes transparentes avec compteur intégré, dépouillement public, stockage des bulletins pour recomptage, etc. La question est donc l’inverse : « peut-on, et si oui comment, organiser un vote sincère et secret par machine électronique ? ». Je n’en sais rien, c’est une question de cryptologie qui me dépasse, mais une réponse positive me semble possible (à base de hardware simple et banal, de machine virtuelle banale open source, de code spécifique open source et de compilateur open source et fiable ; le tout monté sous le contrôle d’assesseurs mandatés par l’ensemble des participants, fermé et plombé AVANT un ultime tirage au sort pour la transformation des options de vote en numéros à choisir sur la machine).

    2. Jack

      Je suis d’accord, l’impossibilité de vérifier que le choix lors d’un vote a distance ne se fait pas sous la contrainte le disqualifie irrémédiablement, quelle que soit la solution technique employée.

      Le vote électronique pose énormément de contraintes techniques: il doit être open source pour pouvoir être vérifié, et donc tourner sur un système open source également. Il faut pouvoir valider que le programme corresponde bien au code de départ, de même que toutes les librairies ainsi que l’OS, à l’aide d’un système de validation reconnu (p.ex. hashage multiple, SHA1/MD5/etc.).

      Même de cette manière d’autres vecteurs d’attaque sont possible bien que complexes à mettre en oeuvre, comme par exemple le fait de participer à la maintenance d’une librairie open source et d’y insérer un bug subtil qui sera exploité par le programme d’e-voting. Le code de ce programme seul ne révélera rien d’anormal mais la combinaison des deux déclenchera la falsification des votes.

      Ou encore, l’utilisation d’ordinateurs dont le matériel lui-même aura été modifié pour introduire des changements dans l’exécution du code dans des conditions très précises.

      Il existe bien sûr des méthodes de fraude bien plus simples mais ceci prouve qu’il est impossible d’éliminer totalement ce risque avec le vote électronique, quels que soient les moyens qu’on y mette pour tenter de le détecter.

      Pour finir, Ronald Rivest en disait déjà tout le mal qu’il en pensait en 2001 dans ce papier: http://people.csail.mit.edu/rivest/Rivest-ElectronicVoting.pdf. M. Rivest est un cryptographe reconnu et le co-inventeur de protocoles de sécurité utilisés partout en informatique (tiens, justement SHA1 et MD5 entre autres).

      Il a aussi inventé un procotole de vote papier en même temps anonyme et vérifiable, une lecture intéressante bien que HS: https://en.wikipedia.org/wiki/ThreeBallot

      1. Le Diable probablement

        S’il existe un mécanisme qui garantit au votant la possibilité de vérifier son vote, toutes les questions matérielles/logicielles sont hors sujet.

        1. gnarf

          Chaque bulletin de vote est marque d’un identifiant numerique a l’impression.
          Les bulletins sont melanges dans une urne et le votant en choisit un au hasard avant de passer a l’isoloir.
          Il vote dans une enveloppe. Il memorise l’identifiant.
          Il pourra par la suite consulter que son vote a ete correctement pris en compte grace a l’identifiant, mais son vote reste parfaitement anonyme.
          Vous ne voulez decidement pas comprendre…

        2. Le Diable probablement

          On se calme l’ami : qu’est-ce que je ne veux pas comprendre ? Il me semble que c’est plutôt vous qui vous obstinez à ne pas comprendre ce que je dis. Je n’ai jamais dit qu’il était impossible de voter de façon anonyme et vérifiable, mais j’ai autre chose à faire qu’analyser la sécurité d’un protocole de vote concocté à la va-vite par un anonyme dans les commentaires d’un blog. Si vous êtes tellement convaincu du caractère inviolable de votre système, faites le breveter et devenez riche, j’en serai ravi pour vous.

          Un petit conseil : il va falloir être un peu plus précis que ça dans votre description. Si je choisis au hasard un bulletin dans une urne, j’ai une chance sur (Nombre de candidats) d’avoir le bulletin que je veux, à supposer que la distribution soit uniforme. Ah, vous voulez donc dire qu’il y a une urne par candidat. Donc je pioche dans l’urne du candidat que je veux. Mais alors je révèle mon candidat. Ah donc je pioche un bulletin aléatoire dans chaque urne ?

          Bref, vous n’avez aucune idée de la rigueur nécessaire à la description d’un tel système. Un système trivial possède souvent des failles triviales. Ce n’est pas parce que vous ne les voyez pas qu’elles n’existent pas. Et ce n’est pas parce que je dis que votre système est faillible que je dis qu’il n’en existe aucun de valable. Des gens dont c’est le métier travaillent à ce question depuis des décennies. Consultez leurs travaux, renseignez-vous, puis après venez me donner des leçons. Bisous.

        3. gnarf

          Vous avez tout simplement affirme a plusieurs reprises que si un systeme permet au votant de verifier si son vote a ete pris en compte, il y a forcement une breche de securite.
          Je vous ai mis un contre exemple d’illustration, bien evidemment partiel, et le cryptologue ci-dessus montre un systeme tres reflechi dans lequel le votant peut non seulement verifier son vote, mais prouver aux autorites qu’il a mal ete enregistre le cas echeant.

          C’est cela que vous ne voulez pas comprendre, vous avez ainsi envoye balader le systeme de ce cryptologue d’une phrase laconique:
          « S’il existe un mécanisme qui garantit au votant la possibilité de vérifier son vote, toutes les questions matérielles/logicielles sont hors sujet. »

          Vous faites facilement credit aux autres d’une rigueur et d’une intelligence bien inferieures aux votres. Et monter sur vos grands chevaux ne sert qu’a faire sourire. Je preferais quand le Diable envoyait son avocat, il etait moins soupe au lait.

        4. gnarf

          Voila j’ai retrouve votre phrase initiale:
          « Il y aura de fait un lien entre votre identifiant/identité et votre vote si vous voulez que le vote soit vérifiable. »

          Mon contre-exemple servait uniquement a refuter cette affirmation-la, pas a construire un systeme complet et a penser a toutes les implications. Je vous disais simplement: on peut avoir la possibilite de verifier son vote ulterieurement sans qu’un lien entre votre identite et votre vote n’ait ete stocke. Voila tout.

        5. Le Diable probablement

          « Vous avez tout simplement affirme a plusieurs reprises que si un systeme permet au votant de verifier si son vote a ete pris en compte, il y a forcement une breche de securite. »

          Non, je n’ai jamais dit ça de ma vie. J’ai affirmé qu’il existait généralement un compromis entre vérifiabilité et résistance à la coercition. Vous trouverez les mêmes affirmations dans les travaux de Rivest. (Qui au passage n’est pas l’auteur de la fonction SHA1 contrairement à ce qu’indique le commentateur ci-dessus, mais passons).

          Ici par exemple : http://courses.csail.mit.edu/6.897/spring04/L17.pdf

          La phrase que vous citez n’a strictement aucun rapport avec le système proposé par Rivest. Elle pourtant assez claire : si un votant peut vérifier que son vote est correct, les détails techniques logiciels et matériels de l’implémentation du système de vote n’ont pas de pertinence. Cette phrase ne dit en RIEN que ce système ne peut pas exister !

          Par ailleurs, votre « contre-exemple » vise à montrer qu’on peut créer un système de vote anonyme et vérifiable. La phrase que citez de moi souligne que ce système ne sera pas résistant à la coercition. Ce sont deux choses différentes. Voilà tout.

        6. gnarf

          Et bien la je vous recois 5/5.
          Il etait possible d’intepreter votre phrase sur le lien identifiant/identite-vote de deux facons differentes.

        7. Jack

          « Rivest (Qui au passage n’est pas l’auteur de la fonction SHA1) »

          Merci, j’ai été un peu vite: Ron Rivest est l’auteur de la série des fonctions MD*, mais pas de SHA1. Par contre il est l’un des 3 inventeurs du RSA. Voilà qui est corrigé.

      2. gem

        Intéressant et pas du tout HS ce système de triple bulletin. Sauf erreur ça fait une « enveloppe » tout à fait efficace (ça cache le vote tout en donnant la possibilité de découvrir une fraude) mais ça ne résout pas le problème de l’isoloir

        1. Jack

          L’intérêt est de permettre à tout un chacun de vérifier que son vote a été pris en compte correctement, mais sans le révéler en tant que tel. On étend cette validation, au-delà des assesseurs, à tous les votants. La fraude (bourrage d’urne, etc.) devient impossible si tout le monde vérifie son vote. Par contre c’est nettement plus complexe à maîtriser pour les votants.

          Je n’avais pas pensé à ce que changerait cette méthode pour le vote électronique, mais en effet elle pourrait résoudre le problème par la bande: la question de la fiabilité du programme ne se pose plus puisque ce sont les résultats qu’on peut valider.

          La question du vote internet est en effet différente (pas d’isoloir) et aucune méthode technique ne la résoudra. Il faut le bannir purement et simplement.

  8. rtfg

    DE TOUTE FACON lorsque l’état utilise internet ou un moyen informatique, il y aura toujours quelqu’un pour le remettre en cause, dire que ca cout cher,….

    Alors oui cette fois ci c’était pas au top, mais c’était une première. Je pense que l’état à du recevoir un nombre assez ahurissant de plaintes concernant les erreurs ainsi que la quantité de spam de la part de candidats qui se prenait plus pour des délégués de classe que de future représentant à l’assemblé national. C’est la ou finalement la campagne électronique était plus emmerdant qu’autre chose. Vu la catastrophe due à la mise à jour de java, je pense que la prochaine fois, il feront des progrès considérable sur le système…

    De retour sur le vote électronique, j’ai trouvé ca assez pratique et pas si mal fait. Il faut savoir que lorsqu’on habite à l’étranger ce n’est pas toujours facile de se déplacer dans la capital pour aller voter et ca coute aussi relativement cher d’organiser un bureau de vote (clin d’œil à ceux qui parlait des millions détournés…). Concernant la transparence du vote, il manque une partie sur la possibilité de vérifier si son vote à été compatibilité correctement ce qui prouve qu’on abuse pas de nous.

    Enfin voila, on vote pour un des quelques 6600 candidats, il y a vraiment pas de quoi s’affoler sur la mise en place d un tel système et sur éventuellement la garantie de son vote.

  9. Info sexualité

    Surtout que, pour les français vivant à l’étranger, on peut faire une procuration d’un an.
    Cest ce que j’ai fait, ma mère ira voter en mon nom pour toutes les elections à venir… Pas de bidoullage d’internet… !
    Belle plume en tout cas !

  10. stranger

    La déclaration d’impots par internet c’est une chose qui fonctionne plutôt bien ,non ?.

    Non. C’est tout pourrÿ. Ça utilise java de façon merdique, ça écrit des certificats comme un cochon à la racine quand ça doute, et c’est überpénible à utiliser. Quiconque a du utiliser des systèmes de paiement électronique un tantinet plus complexe aura constaté que celui des impôts français pue la misère et l’improvisation.

    Je pense que, les services publics ne sont ni plus ni moins en retard que leurs homologues du secteur privé, pour l’internet et les nouvelles technologies.

    Franchement, lol. Pour savoir assez bien ce qui se trame dans les deux, le service public est (heureusement) complètement à la ramasse.

    Pour en revenir au vote par internet, il ne faut pas ignorer, que depuis 1 ou 2 ans ,la plupart des grosses entreprises cotées en bourse (et pour faire des économies de salle de réunions), incitent leurs actionnaires à ne plus se déplacer physiquement vers le lieu de l’AG et à voter par internet sans que , pour le moment ça n’ait soulevé de polémiques.

    Rien de comparable : le vote n’est pas anonyme, et d’une, et d’autre part, il était possible par courrier depuis des lustres.

    D’ailleurs, même quand on se deplace et qu’on vote dans la salle de l’AG, le problème est assez semblable avec le vote par boitiers wi-fi (il n’y a plus d’urne et de bulletins papier ). Les votes sont comptabilisés de cette façon en une fraction de seconde. Tout actionnaire pourrait dire aussi, « qu’est-ce qui me prouve que mon vote a bien été pris en compte par votre système de boitiers ? ».

    Encore une fois, rien à voir. Et le vote le plus solide, en Bourse, c’est l’achat ou la vente des actions.

    Pour le vote electronique (ou par internet ) lors d’elections politiques, la solution la plus envisageable serait la suivante.
    Chaque intention de vote d’un identifiant serait envoyé sous forme cryptée vers deux directions:
    D’une part vers une urne electronique centrale et d’autre part une copie irait vers un système collecteur de données attribué au parti ou au candidat pour lequel l’identifiant a voté.
    Ce ne serait plus à l’electeur lambda de se poser la question existentielle de savoir si il s’est fait niquer par le système ou par le préfet ou je ne sais quel obscur fonctionnaire informaticien agissant dans l’ombre ; mais aux partis ou aux candidats,car c’est quand même eux les premiers intéréssés, qui en comparant le total des votes en leur faveur de l’urne centrale et les nombres de duplicatas de votes recupérés par leur système de contrôle pourraient formuler réclamation.

    Bien sur, imaginer une collusion entre les principaux partis, ceux qui récoltent le plus de voix, est inenvisagable…

    De plus l’anonymat est moins sensible si en cas de reclamation c’est le parti pour lequel vous avez voté qui se plaint en votre nom.

    Heu. Comment dire…

  11. dede

    Effectivement, quand j’ai recu un email m’indiquant que j’allais pouvoir voter par internet, ma reaction fut « mekeskecekecetkonri? », decide de n’en rien faire, je me suis bien garde d’aller voir comment ca marche mais ce qui est inquietant et que je realise grace a ce billet et ses commentaires, c’est que je ne vois pas comment ils ne vont pas etre soumis a la tentation de bourrer les urnes electroniques et que mon abstention a venir va pouvoir faire un heureux.
    Et des abstentions, il risque d’y en avoir car le role d’un depute est de voter des lois applicables en France. En quoi les Francais de l’Etranger ont-ils une legitimite pour aller voter (par l’intermediaire de leur depute) des lois applicables en France?
    La seule reponse a laquelle j’ai pense, c’est que grace a l’idee de Sarkozy d’aller taxer les Francais de l’Etranger, il fallait leur donner une voix pour justifier et legitimer la creation de l’impot extraterritorial qu’ils auront le bonheur de payer…

  12. Josselin

    « est conforme aux exigences de sécurité requises »
    « Javascript : activé »

    C’est bon, Javascript est activé, tout est « secure » !

    « cette réalisation par un stagiaire sous payé dans la cave d’une ambassade quelconque »

    J’aurais plutôt dit « payée quelques dizaines de milliers d’euros à un proche ayant des notions dans le web », comme on a pu le voir avec Desirs d’avenir à une époque, ou « payée quelques dizaines de milliers d’euros à un professionnel qui fait presque aussi bien que n’importe qui », comme on a pu le voir quasiment à la même époque, avec un logo de l’UE designé par Starck.

Les commentaires sont fermés.