Le vote en ligne est-il fiable/sécurisé ?

Je ne dis pas ça, ni Benoît d’ailleurs. J’ai une position pragmatique et simple qui consiste à utiliser la meilleure méthode (vote numérique ou vote avec des urnes) en fonction de la situation.

Tu prétends que le vote numérique est la solution à toutes les situations ou il faudra voter. C’est une position très difficile à tenir. Cela t’oblige à réfuter tous les arguments des personnes qui, comme Benoît, Roberto Di Cosmo ou Andrew Appel ont pris la peine d’expliquer les problèmes inhérents au vote utilisant des machines. Une partie de cet effort consiste à débattre (avec moi ici et d’autres ailleurs) pour faire valoir les mérites du vote numérique appliqué en toute circonstance. Une autre partie, probablement plus conséquente encore, consiste à développer des logiciels et inventer des méthodes pour améliorer la technique pour la rendre plus fiable[1].

Pourquoi prendre un chemin aussi difficile ? Il est tellement plus simple (et de bon sens) d’accepter de négocier une frontière qui sépare le vote numérique du vote avec des urnes. En évitant la tentation d’une solution totalisante, je pense qu’on s’apercevra que les logiciels qui permettent le vote en ligne sont assez bien en l’état, parce que les enjeux sont assez faibles. Et que les débats entourant la question récurrente de « Et si … la peine de mort ! » seront évités parce que sans objet.

[1] Concernant la course aux améliorations techniques destinés à éviter la fraude, il faudrait disposer d’un bon threat model pour savoir ou l’effort doit porter. Mais les vecteurs d’attaque sont si nombreux que c’est un travail de Sisyphe.

Non. Je dis que c’est une solution valide. Pas nécessairement la meilleure.

En ce qui concerne MaVoix, je dirais que c’est la seule solution valide. Pas la peine de se poser la question de savoir si c’est la meilleure donc.

Au contraire : je ne dis pas que c’est arguments sont invalides en soit.
Je dis qu’ils s’appliquent à beaucoup d’autres choses que le vote - notamment les transactions bancaires - alors que manifestement les transactions bancaires en ligne sont suffisamment robustes pour que le système fonctionne.

Si leur argumentaire est suffisant, alors les transactions bancaires numériques ne peuvent pas fonctionner.
Hors les transactions bancaires numériques fonctionnent, donc leur argumentaire n’est pas suffisant.

A l’inverse, si on arrive à avoir un système de transactions bancaires numériques qui fonctionne suffisamment bien, alors on a les moyens nécessaires pour en faire de même avec le vote.
Ca ne veut pas dire que l’existant en terme de vote numérique/en ligne est suffisant. Ca veut dire qu’on a à priori les moyens pour faire quelque chose de suffisant.

Justement non. Puisque, encore une fois, tout existe déjà pour des transactions bancaires.
Sauf qu’à la place de transmettre de l’argent, on transmet un bulletin de vote.

Sans doute. Mais comme ça fonctionne suffisamment bien pour les transactions bancaires, c’est que 1) c’est faisable 2) c’est déjà fait 3) ça peut donc être réutilisé.

En l’occurrence, pour permettre de mieux sécuriser/fiabiliser les transactions bancaires les banques cherchent à utiliser… la blockchain.

La ou tu as parfaitement raison, c’est qu’il faut une équipe dédiée avec des moyens dédiés et avec une méthodologie éprouvée.

[quote=« dachary, post:26, topic:543 »]
(Sibaud) : Vous mettez un papier dans une enveloppe, l’enveloppe elle est opaque, on met dans une urne, l’urne elle est transparente, on a rempli dans l’isoloir, à la fin il y a un contrôle par des assesseurs. C’est assez facile à expliquer, on manipule du papier, c’est facile à expliquer
[/quote] . Façon d’expliquer facile et simpliste, car l’imagination des fraudeurs est sans fin (et je ne parle pas de remplissage de chaussettes), voir Bourrage d'urnes — Wikipédia . C’est ce qui m’a vraiment surpris comme assesseur un peu renseigné, il y a une large place possible pour de la fraude et la plupart des assesseurs présents pensent qu’ils suffit d’être présent pour qu’il n’y en ait pas.

Je te remercie de cette discussion. Je pense que nous avons fait le tour de nos arguments respectifs. A défaut d’être d’accord avec ma position je pense que tu l’as comprise.

La valeur du vote en ligne est tellement important pour toutes sortes d’économies et de grande fiabilité aussi, qu’à moins de prouver le contraire elle est la meilleure solution.

Pouvons-nous penser que le vote par les urnes pourrait être demandée si lors d’un dépouillage de l’urne numérique une erreur s’est produite qui met en défaut la certitude du résultat ?

Ainsi le conseil constitutionnel aura la possibilité de confirmer le premier vote ou l’affirmer.

C’est ça qui m’ennuie.
Comme je trouve les arguments « anti » triviaux et trop peu précis, ils sont trop faciles à écarter.
Donc les solutions trouvées ne sont pas franchement mises à rude épreuve. Et avec des contraintes faibles, on a de plus grande chances d’apporter des solutions faibles.

Pourtant, jusqu’ici les experts en sécurité à qui j’ai demandé conseil valident le modèle.
C’est aussi pour ça que l’open source est obligatoire.

Oui. En tout cas on peut au moins refaire le vote une fois une faille éventuelle corrigée.
C’est ça la force du numérique.

Sachant qu’il n’y a rien à gagner à pirater un vote dont le résultat sera réputé invalide, il faut je pense avant tout bien sécuriser l’audit pour annihiler l’intérêt même du piratage en amont.

Après, même si l’audit hérite des mêmes défauts que le vote lui même, il apporte une couche de sécurité supplémentaire. La sécurité, c’est le jeu du chat et de la souris : la possibilité de dépouiller le vote en ligne ne fait que donner une longueur d’avance à la souris. Mais encore une fois, c’est la même chose dans tous les domaines et pas seulement le vote…

La discussion est en cours ici sur la méthode proposée pour l’instant : [Cocorico] Questions sur la preuve de vote. Ce qui est particulièrement intéressant, c’est que les problèmes soulevés par @Sly dans ce sujet ne sont pas du tout de nature technique/numérique, mais découlent au contraire d’une volonté d’apporter une garantie sous certains aspects supérieure à celle du vote classique. Et ces problèmes sont directement imputables aux humains, et non aux machines…

Combien de technicien seront ceux qui poseront la question ? Qui plus est, nous aurons beau dire qu’une porte est blindée, il y aura tjs une autre personne pour montrer qu’elle n’est pas pour autant infranchissable.

Il faut sortir de la mono-réflexion technique.

Considérant que tout est relatif, rassurer ne doit pas être qu’orienté sur le tout nouveau.

Alors pour en revenir sur « le vote en ligne est-il fiable/sécurisé ? » est certes une question qui cherche des réponses techniques et merci @Jean-Marc_Le_Roux d’en apporter mais elle demande aussi sur des réponses rassurantes à la portée de tous.

Parler qu’il existe déjà le vote en ligne en France. Que le Conseil Constitutionnel sera toujours présent et contrôlera la régularités des scrutins. Que tout citoyen pourra tester par lui-même et en famille si son bulletin de vote est bien dans la bonne « case ».
Et que si besoin, le vote dans les urnes pourrait être toujours demandé si incident quelconque sont aussi des réponses qu’il faut apporter à cette question de début de post.

Bon, en tout cas, on peut difficilement faire pire que cela …! (humour)

Ca m’a fait penser au ficus qui s’est présenté aux élection. Hormis le fait que ce n’est pas un être humain il n’y a pas vraiment de rapport puisqu’il n’y a pas eu fraude

Loin de toute rentabilité, je me suis amusé à tenter de pirater des clés RSA, clés utilisées pour la certification de sites HTTPS justement.
C’était surtout un défi mathématiques, et c’est aussi ce qui fait des solutions éprouvées, le fait que beaucoup passent du temps à essayer de les mettre en défaut.
Je n’ai pas réussi bien sûr, pour des clés RSA 4096 bits, en l’état actuel de la connaissance, c’est impossible de les décrypter en un temps suffisamment court. (surtout que ce n’est pas la seule couche de protection le protocole https)

Pour opposer vote électronique en ligne et vote papier, je pense qu’un vote électronique est 100 fois plus fiable qu’un vote papier. N’oubliez pas que certains peuvent manipuler des cartes (des jeux de cartes), donc pourquoi pas des bulletins de votes, sans compter tout ce qui est dû aux assesseurs dans les bureaux de vote, possibilité de collusion, même si ça semble improbable, ça reste possible.

J’ai rencontré France connect hier à la gaité lyrique. As-tu eu leur retour @Jean-Marc_Le_Roux ?

Il m’ont confirmé qu’il ne pouvait avoir les informations sur le fait que ça ne soit des individus considéré « citoyen » ou non.
Et m’ont précisé que leur sources venaient des trois fournisseurs suivant Impot-Ameli-laposte. Que leur sources n’englobait pas la totalité des Français. Mais ça encore, il suffit au même titre que d’aller s’inscrire sur les listes électorales, demander son identité auprès de la poste par exemple.

Sur le thème « le vote papier est sécurisé » avec un soupçon de « pas en France, c’est pas le Gabon ici », voilà une bonne grosse tranche de rigolade :

Le résultat de 10 h est donc une construction pure et simple à partir des pourcentages de la veille. Les 350 000 bulletins dépouillés dans la nuit ne sont donc pas pris en compte dans les résultats finaux

http://www.liberation.fr/elections-presidentielle-legislatives-2017/2017/01/23/les-derniers-resultats-de-la-primaire-sont-faux_1543402

350 000 votes « oubliés » sur 1,6 millions, ça représente 21% d’erreur !
A titre de référence, le vote fait pour le second tour de LaPrimaire.org a à priori un taux d’erreur de 2 pour 32 687, soit 0,006%. C’est 3645 fois « moins d’erreurs ».

Alors le prochain qui me sort que le vote papier est fiable et garant de la démocratie…

Petit papier qui s’interroge sur le vote électronique qui je pense est intéressant pour avancer sur l’outil Cocorico.

Une des grandes conclusions du papier est qu’il est plus important d’être transparent (vérifiable) que d’être sécurisé, même si l’un n’empêche pas l’autre.

Il oublie aussi de rappeler, concernant le vote papier, que le vote est scindé en plusieurs bureaux de vote, ce qui rend les tricheries plus circonscrites mais peut poser problème sur l’unicité du votant (cf. exemples de soucis lors de primaires « papier »).

Nous concernant: sur des votes rapides (avec une heure limite où fournir une réponse aux élus), il ne peut pas y avoir d’interminables recomptages et contestations.
On pourrait garder l’idée de « bureaux de vote » i.e. de sous-votes un peu séparés dont on agrège ensuite le total. Par exemple, clôturer une « urne » numérique tous les 1024 ou 16384 votes (pour prendre des nombres « ronds » en base binaire), une séparation chronologique donc, et commencer à la « dépouiller » sans attendre l’heure de fin et en gardant le total de côté. Un avantage étant que, si l’heure du vote est avancée pour telle ou telle raison (y compris en fait pour nous embêter sous quelque prétexte), on a un résultat plateforme à sortir quand même. Un autre est que, si le vote est à l’heure, on peut clôturer définitivement l’accès aux votants le plus tard possible sans trop de problème, en évitant d’avoir un temps de dépouillement trop long après la clôture générale.

Mais la sécurité est moins forte localement, donc ces « petites tricheries » sont aussi plus faciles à réaliser et moins facile à vérifier.
Est-ce que l’un dans l’autre, ça ne permet pas de tricher significativement à l’échelle du pays ? Qui sait…

Il ne faut pas oublier que la « sécurité » du vote papier tient dans le fait que les gens estiment que sa théorie, son implémentation et son exécution sont équivalentes et que la théorie est sécurisée.
Hors ces deux faits sont faux tous les deux.

Pour l’instant, les résultats sont immédiats car chaque bulletin vient incrémenter le(s) compteur(s) correspondants dans le smart contract et les résultats sont stockés en temps réel dans la blockchain.

Si on ajoute du chiffrement, alors le déchiffrement des bulletins peut prendre du temps. Si c’es le cas :

• on pourrait effectivement faire en sorte qu’un vote soit géré par plusieurs smart contract au lieu d’un seul ;
• et fermer/déchiffrer le contenu de ces smart contracts au fur et à mesure.

Mais attention : toutes ces données sont publiques, donc tout le monde aurait ces résultats au fur et à mesure qu’ils sont calculés.