Le vote en ligne est-il fiable/sécurisé ?

Désolé mais avoir une carte d’electeur #mavoix est à mon sens accessible, entrainant, crédible et la mise en place d’un système générateur de clé unique est à mon sens accessible.

Nous sommes tous référencé de manière unique via un code ou un autre et nous ne sommes pas tous sur FranceConnect :

Carte-Vitale ; CI ; Passeport ; Permis de Conduire … Et pourquoi pas une carte Electeur #mavoix ?

Et cette carte permettrait d’obtenir la garantie qu’un électeur est bien un citoyen hors FranceConnect ne le fait absolument pas.

Les dispositifs évoqués coûtent en l’occurrence des centaines de millions d’euros et mobilisent des dizaines de milliers de fonctionnaires. Et pourtant, aucun d’entre eux n’apporte les garanties/moyens requis. La fraude sociale (plus de 700 millions d’€ par an) en est un malheureux exemple.

Pourquoi considères-tu que ceux sont de bons exemples ?

Car lorsque tu vas à ton hypermarché et que tu présentes ta carte d’identité à la caissière elle accepte ton chèque sans équivoque.

Voilà concrètement ce qu’une carte offre. La certitude d’avoir en face le bon interlocuteur qui est mentionné sur le chèque.

Et clairement une clé générée via un outil ne coute pas des millions. Regardons encore plus loin avec autolib’
Une borne, une identification = un numéro d’autorisation à prendre une voiture.

Bref les exemples ne manquent pas FranceConnect est un problème si on veut offrir le droit de vote au Citoyen uniquement maintenant si ce n’est pas le cas, alors là. Allons-y clairement prenons FranceConnect mais à mon sens c’est un risque très important que d’ouvrir l’Assemblée Nationale au non citoyen.

J’ai souvent répété qu’un début de bride devient un début de programme politique mais j’assume ma position.

@manudu95 D’un côté, des « clairement », « à mon sens », « on veut », « j’assume », « permettrait », « tout bêtement », « je pense que ».

De l’autre, une liste relativement exhaustive (cf premier message) de dispositifs existants (incluant d’ailleurs ceux que tu mentionnes) avec à chaque fois des preuves objectives qu’ils ne sont pas fiables/sécurisés. Des faits qui sont documentés et corroborés, pour des dispositifs qui coûtent pourtant effectivement des millions - pire des milliards - d’euros.

Je laisse les autres se faire leur avis.

Ok je pense qu’il y a encore plusieurs sujets qui se sont dégagés de cette discussion et qui débordent un peu du sujet de base à savoir « le vote en ligne est il fiable / sécurisé? »
Il me semble que @Jean-Marc_Le_Roux a été assez précis quand à l’explication sur ce sujet en général, pas forcément pour la plateforme de #MaVoix. Notamment sur le fait, qu’il y a pleins de choses a garantir pour un vote sécurisé en ligne, qu’il n’y a pas une seule manière de faire, et qu’il s’agit de trouver une solution qui valide le plus de points possible (unicité ,vérifiabilité, anonymat …).
La blockchain est une techno parmis d’autres, mais elle apporte des réponses aux contraintes du vote en ligne… etc…
Qu’il faut choisir ce qui nous interesse le plus etc…

Je précise ici, que ce projet a déjà subit de nombreuses séances de travail collaboratif, que jean marc n’est pas le seul contributeur à ce chantier, voir les devs sur github, les essais de différentes plateformes de déliberation, les projets transverses, les échanges…
Ca ne veut pas dire que la discussion est close, au contraire, (qui serais je en plus à dire ca?..) ni qu’il ne faudrait pas remettre en question des points déjà abordé, au contraire, ca veut dire simplement qu’il y a déjà eu du travail fourni, des hypothèses etudiées, des alternatives opposées etc…

Essayons de faire chacun se travaille sur soi même pour les sujets, quand on voit que l’on déborde un peu…

Pour parler de France Connect il y a ce post:

Si @manudu95 tu veux parler d’une autre idée pour garantir l’unicité du votant, tu peux ouvrir un sujet dans #plateforme-de-deliberation:la-plateforme-mavoix

Pour parler de qui doit pouvoir voter (citoyen, les électeurs directs, tout le monde …) il y a ce post :

Ici essayons de nous cantonner à « Pourquoi le vote en ligne n’est pas sécurisé en général? » « Le sera t il un jour? » « Quels sont les points sécurité du votes que l’on arrive a modéliser numériquement? » « Quels sont ceux qui posent problèmes »

Le prétexte @Jean-Marc_Le_Roux d’utiliser une réflexion figée mathématicienne est à mon sens perfectible.

Les mathématiques sont une solution et non une cause.

Désolé @Sly de n’avoir été présent plutôt concernant le choix de FranceConnect pour l’outil d’identification mais pour autant avoir un œil neuf permet de s’ouvrir et reste bénéfique.

Alors inversement, ma question est simple et elle se trouve ici :

[veille] FranceConnect - #9 par Sly

@Jean-Marc_Le_Roux en faisant un inventaire complet des méthodes pour frauder tel ou tel système de vote, tu oublie de préciser que certains sont plus vulnérables que d’autres.

Un vote réalisé avec des machines ne peut pas être aussi fiable qu’un vote réalisé avec des urnes et des bulletins. Je n’insère pas de références ici parce que je suppose que personne ne conteste ça.

C’est cette différence qui va faire préférer le vote numérique pour les sujets ou l’enjeu est assez faible pour ne pas motiver un adversaire qui veut bourrer les urnes. Et pour les enjeux tels que la peine de mort, on choisira d’organiser un vote sans machines.

Personne ne prétend qu’une méthode de vote, numérique ou pas, doit être utilisée de façon universelle et que les autres doivent être oubliées.

On devrait plus parler de méthodes de vote au pluriel et moins de la plateforme de vote (sous entendu numérique) au singulier.

Pourquoi ? Les manipulations, bourrages d’urnes, faux électeurs, fraudes à la procuration et autres erreurs de comptage n’ont pas été si rares dans l’actualité.

Bien sûr, nos scrutins sont a priori très bien encadrés et le risque limité. Mais je ne suis pas sûr que le vote électronique soit moins sécurisé (il l’est différemment) à partir du moment où une garantie sur l’identité - telle que semble la présenter FranceConnect - est mise en place à l’entrée avec une unicité du vote.

En tout cas, avec les discussions que je lis ici et le travail dont Jean-Marc nous rend compte, je me sens plutôt rassuré et j’ai bien l’impression que le vote électronique tel que nous le dessinons est sur la bonne voie.

Bon, c’est peut-être mon côté optimiste qui s’exprime…

Si : moi. Ici. Argumente stp.

Alors, j’aimerai rajouter qu’il faut être clair.

Nous n’inventons pas le vote électronique en France, nous le généralisons à tout texte législatif en vote.

Il existe déjà pour les Français expatriés :

Vote en ligne - Elections Legislatives 2012 - Francais de l' etranger.MOV - YouTube

Et déjà dans multiples villes :

Voilà, notre travail est de rassurer.

Puisqu’il n’y a pas de consensus, voici un argumentaire. Contrairement à un vote avec des urnes, ce n’est ni explicable ni contrôlable.

Je cite ici une partie de la transcription de la conférence de Benoît Sibaud qui l’explique:

Le premier problème d’un scrutin électronique c’est qu’il est inexplicable. Ce qui est souvent la comparaison retenue, on va comparer à un scrutin papier; le scrutin papier vous pouvez l’expliquer au lycée à des lycéens : comment ça se passe, quel est leur rôle, comment on procède pour voter, quels sont les contrôles qui sont mis en place, etc. Vous mettez un papier dans une enveloppe, l’enveloppe elle est opaque, on met dans une urne, l’urne elle est transparente, on a rempli dans l’isoloir, à la fin il y a un contrôle par des assesseurs. C’est assez facile à expliquer, on manipule du papier, c’est facile à expliquer. Dans le cadre d’un scrutin électronique il y a plein de problèmes qui arrivent liés à l’électronique. Là vous avez diverses illustrations. Faisons un exemple simple. Qui peut m’expliquer ce que fait le composant électronique qui est en haut à droite ? Bon bah comme ça, je pense qu’il n’y en a pas beaucoup dans la salle qui sont capables d’expliquer réellement en détails comment ça fonctionne. Même chose si on regarde le code source qui est en bas à droite. Même chose si je demande comment fonctionne l’accès à un réseau, ou comment on fait pour voter par Internet, quel est le cheminement qui est fait par votre bulletin sur un réseau, combien d’équipements intermédiaires, des routeurs vont avoir vu passer votre bulletin. Ou des choses qui en général quand on fait du vote électronique on a de la cryptographie qui apparaît; qui dans la population peut m’expliquer comment fonctionne la cryptographie ? Qui comprend ce que veut dire le certificat de crypto qui est en bas à gauche ? Qui est capable d’expliquer la formule mathématique qui est au milieu et qui explique un des algos de chiffrement les plus connus ? Bref. Et je ne vous parle même pas du vote, enfin des expériences en Suisse où ils font du vote avec de la transmission quantique. Si il y en a un qui veut expliquer la physique au citoyen lambda, il va avoir du travail.

Globalement on se retrouve à avoir un vote sur lequel le contrôle n’est théoriquement possible que par des spécialistes et encore en général un spécialiste d’un de ces sujets-là qui va expliquer en détail comment ça fonctionne, il est juste capable d’expliquer un de ces domaines et pas tous les domaines réunis. Ça donne un contrôle fait par une élite et encore c’est un contrôle théorique. On verra pourquoi tout à l’heure. Globalement ça veut dire que pour tous les autres qui participent à un scrutin électronique, ben en fait, il y a une boite noire, ils mettent leur bulletin dedans et ils espèrent que ça va bien se passer. Parfois ils ont le mythe de « l’ordinateur est infaillible » qui les aide à croire que tout va bien se passer, mais malgré tout on reste dans le cadre d’une boite noire. Et du coup comment est-ce qu’on obtient la confiance de l’électeur ou comment est-ce qu’on obtient une confiance qui est acceptable, parce que si il a juste confiance en disant c’est un ordinateur, ça marche bien. Ce n’est pas ce que je vais appeler une confiance acceptable, c’est valable quel que soit le type de scrutin spécialement pour les scrutins institutionnels.

On a un 2ème problème qui est encore plus embêtant. Parce que jusque là on disait que peut être que les spécialistes ils peuvent faire quelque chose, mais non rien du tout. Non rien du tout. C’est impossible à contrôler un vote électrique. Pourquoi ? Parce qu’on dématérialise l’information et l’information dématérialisée, ça ne se voit pas, ça ne se contrôle pas, c’est impossible à suivre et on ne sait pas quel traitement on lui applique dessus.

Globalement, vous êtes face à une boite noire. Des exemples : « On vous dit on va utiliser tel logiciel, tel matériel ». Très bien. Comment est-ce que vous savez que ce logiciel et ce matériel ils font ce qu’ils doivent faire ? C’est-à-dire, ils font exactement les opérations qui sont destinées au scrutin ? Comment est-ce que vous le savez ? Comment est-ce que vous le prouvez ? Comment est-ce que vous le montrez ? Comment vous savez ce que fait un logiciel qui tourne sur une machine à laquelle vous n’avez pas accès ? Et même quand vous avez accès comment vous savez qu’elle fait exactement ça ? Il n’y a pas vraiment de solution à ça.

Comment vous savez que le logiciel et le matériel ils font exactement et uniquement ce qu’ils doivent faire ? Des logiciels qui ont des bugs on en croise souvent; des logiciels qui sont faits pour faire du phishing et des choses malveillantes on en croise souvent. C’est assez difficile de montrer qu’ils font juste ce qu’ils doivent faire. Et le point le plus embêtant : comment vous savez que c’est ceux qui sont prévus qui tournent ? Quand vous allez dans un bureau de vote et qu’on vous dit tenez ça c’est le terminal de vote, comment vous savez quel est le matériel qu’il est censé contenir ? Comment vous savez qu’il fait tourner le logiciel qu’il est censé faire tourner ? C’est impossible à démontrer. Vous pourrez regarder un processeur autant que vous voulez, vous ne verrez pas quel est le logiciel qui tourne dessus.

Le vote électronique n’est pas le vote en ligne.
Nous faisons du vote en ligne. Ca n’est pas pareil.

C’est le même problème qu’avec le e-commerce ou encore la banque en ligne.
Deux choses très concrètes que les gens ont mis du temps à adopter, mais qui font consensus aujourd’hui.

Il y’a trois grands problèmes majeurs avec les argumentaires contre le vote en ligne/électronique :

1 - ils sont généralement directement transposables à d’autres domaines. Comme les transports, l’énergie, la bourse, etc… La preuve : remplacez « vote » par « paiement » et l’argumentaire de Benoit Sibaud (cf post précédent) tient la route. Pourtant, les transactions bancaires en ligne/numérique sont plus que la norme et les problèmes de bugs/fraudes ne constituent qu’une infime minorité des transactions.

2 - ils oublient de dire que plus de la moitié des problèmes informatiques sont liés à une erreur humaine (source). Les mêmes humains qui scrutent le vote classique. Ils considèrent donc que les gens sont moins faillibles que les logiciels. Alors qu’à priori, tout porte à croire que c’est l’inverse.

3 - la question n’est d’ailleurs sans doute pas de savoir si c’est possible de pirater un vote électronique/en ligne. La question est de savoir si c’est rentable. Ils oublient de prendre en compte les avantages du vote en ligne. L’un d’entre eux et la fréquence de vote qui augmente énormément alors que le coût diminue. Si on votait toutes les semaines comme les députés, il y’aurait des 10aines de millions de votes par mois. Comme pour les transactions bancaires, il faudrait alors des moyens considérables pour arriver à pirater/corrompre un tel volume de transactions de vote de façon significative. Pirater une seule transaction bancaire rapporte immédiatement de l’argent, mais pirater une seule transaction d’un bulletin de vote ne rapportera jamais rien alors que ça coûte aussi cher.

Un argumentaire qui tombe dans ces pièges n’est pas un argumentaire valide.
Et je pense qu’il ne peut pas y avoir d’argumentaire qui ne tombe pas dans ce piège : la comparaison avec les transactions bancaires me semble irréfutable.

Et tout ça, si j’peux m’permettre, c’est déjà ce que dit mon tout premier post

Non @Jean-Marc_Le_Roux, le vote en ligne existe déjà en France :

J’ai pas dit que le vote en ligne n’existait pas J’ai dit « Le vote électronique n’est pas le vote en ligne. Nous faisons du vote en ligne ».

La plateforme montrée dans la vidéo est celle développée par une filiale espagnole d’Atos. C’est évoqué par le 6ème lien que j’ai mis dans mon message original. Le revoilà :

Rien à voir avec ce que nous développons nous en ce qui concerne la sécurité/fiabilité, et à plus d’un titre. Par exemple, la plateforme en question ne forçait même pas l’utilisation du HTTPS alors que c’est le cas quand tu veux commander une pizza sur AlloResto… Après les « soupçons » de fraude, l’audit qui devait être fait de cette plateforme n’a d’ailleurs jamais été fait.

Exactement. Pour toutes les raisons que Benoît explique, si l’enjeu est assez grand, alors il faut se rabattre sur un vote avec des urnes. Pour tout les cas ou les enjeux sont assez faibles pour qu’il ne soit pas rentable de bourrer des urnes numériques, on peut utiliser un vote numérique.

Quand j’écris « Un vote réalisé avec des machines ne peut pas être aussi fiable qu’un vote réalisé avec des urnes et des bulletins », tu contestes en pointant le début de ce fil de discussion. Mais tu ne compares pas la fiabilité des deux méthodes, tu te contente de dire que les deux sont faillibles (je suis d’accord, bien sur).

Il me semble que tu proposes que les électeurs utilisent toujours une plateforme de vote numérique pour voter via les députés #MaVoix, quelque soit l’enjeu, et que voter avec des urnes ne sera jamais nécessaire, qu’il faut en écarter l’idée.

Est-ce que j’ai compris ta position ?

(Il est difficile de discuter sur un sujet en le transposant sur un autre, je m’abstiendrais de commenter sur le parallèle que tu souhaites faire avec le commerce en ligne).

Mon commentaire ne dépend pas de l’enjeu du vote.
Si tu as les moyens de détourner 65 millions de votes, alors tu as les moyens de détourner 65 millions de transactions bancaires. Et donc des milliards d’euros.

Mais si tu détournes le vote et que ça se voit, alors le vote est annulé.
Alors que l’argent volé, lui, reste volé.

Quelque soit l’enjeu du vote, ça me semble donc beaucoup plus rentable et sûr d’utiliser les mêmes moyens pour pirater une banque ou un système équivalent.

Je veux surtout dire que la fiabilité totale n’existe pas et n’existera jamais quel que soit le système (vote, banque, transport…). Et mieux : qu’elle n’est à priori pas nécessaire pour qu’un système soit utile et fonctionne de façon nominale.

Pourtant c’est le même sujet : le concept de fiabilité/sécurité qui est opposé au vote en ligne n’est pas encré dans la réalité. Il présuppose de l’existence d’une sécurité/fiabilité absolue, alors qu’elle n’existe pas en informatique par ce qu’elle n’existe même pas en mathématique ou en physique.

Je ne dis pas ça, ni Benoît d’ailleurs. J’ai une position pragmatique et simple qui consiste à utiliser la meilleure méthode (vote numérique ou vote avec des urnes) en fonction de la situation.

Tu prétends que le vote numérique est la solution à toutes les situations ou il faudra voter. C’est une position très difficile à tenir. Cela t’oblige à réfuter tous les arguments des personnes qui, comme Benoît, Roberto Di Cosmo ou Andrew Appel ont pris la peine d’expliquer les problèmes inhérents au vote utilisant des machines. Une partie de cet effort consiste à débattre (avec moi ici et d’autres ailleurs) pour faire valoir les mérites du vote numérique appliqué en toute circonstance. Une autre partie, probablement plus conséquente encore, consiste à développer des logiciels et inventer des méthodes pour améliorer la technique pour la rendre plus fiable[1].

Pourquoi prendre un chemin aussi difficile ? Il est tellement plus simple (et de bon sens) d’accepter de négocier une frontière qui sépare le vote numérique du vote avec des urnes. En évitant la tentation d’une solution totalisante, je pense qu’on s’apercevra que les logiciels qui permettent le vote en ligne sont assez bien en l’état, parce que les enjeux sont assez faibles. Et que les débats entourant la question récurrente de « Et si … la peine de mort ! » seront évités parce que sans objet.

[1] Concernant la course aux améliorations techniques destinés à éviter la fraude, il faudrait disposer d’un bon threat model pour savoir ou l’effort doit porter. Mais les vecteurs d’attaque sont si nombreux que c’est un travail de Sisyphe.

Non. Je dis que c’est une solution valide. Pas nécessairement la meilleure.

En ce qui concerne MaVoix, je dirais que c’est la seule solution valide. Pas la peine de se poser la question de savoir si c’est la meilleure donc.

Au contraire : je ne dis pas que c’est arguments sont invalides en soit.
Je dis qu’ils s’appliquent à beaucoup d’autres choses que le vote - notamment les transactions bancaires - alors que manifestement les transactions bancaires en ligne sont suffisamment robustes pour que le système fonctionne.

Si leur argumentaire est suffisant, alors les transactions bancaires numériques ne peuvent pas fonctionner.
Hors les transactions bancaires numériques fonctionnent, donc leur argumentaire n’est pas suffisant.

A l’inverse, si on arrive à avoir un système de transactions bancaires numériques qui fonctionne suffisamment bien, alors on a les moyens nécessaires pour en faire de même avec le vote.
Ca ne veut pas dire que l’existant en terme de vote numérique/en ligne est suffisant. Ca veut dire qu’on a à priori les moyens pour faire quelque chose de suffisant.

Justement non. Puisque, encore une fois, tout existe déjà pour des transactions bancaires.
Sauf qu’à la place de transmettre de l’argent, on transmet un bulletin de vote.

Sans doute. Mais comme ça fonctionne suffisamment bien pour les transactions bancaires, c’est que 1) c’est faisable 2) c’est déjà fait 3) ça peut donc être réutilisé.

En l’occurrence, pour permettre de mieux sécuriser/fiabiliser les transactions bancaires les banques cherchent à utiliser… la blockchain.

La ou tu as parfaitement raison, c’est qu’il faut une équipe dédiée avec des moyens dédiés et avec une méthodologie éprouvée.

[quote=« dachary, post:26, topic:543 »]
(Sibaud) : Vous mettez un papier dans une enveloppe, l’enveloppe elle est opaque, on met dans une urne, l’urne elle est transparente, on a rempli dans l’isoloir, à la fin il y a un contrôle par des assesseurs. C’est assez facile à expliquer, on manipule du papier, c’est facile à expliquer
[/quote] . Façon d’expliquer facile et simpliste, car l’imagination des fraudeurs est sans fin (et je ne parle pas de remplissage de chaussettes), voir Bourrage d'urnes — Wikipédia . C’est ce qui m’a vraiment surpris comme assesseur un peu renseigné, il y a une large place possible pour de la fraude et la plupart des assesseurs présents pensent qu’ils suffit d’être présent pour qu’il n’y en ait pas.

Je te remercie de cette discussion. Je pense que nous avons fait le tour de nos arguments respectifs. A défaut d’être d’accord avec ma position je pense que tu l’as comprise.