Le vote en ligne est-il fiable/sécurisé ?

Le prétexte @Jean-Marc_Le_Roux d’utiliser une réflexion figée mathématicienne est à mon sens perfectible.

Les mathématiques sont une solution et non une cause.

Désolé @Sly de n’avoir été présent plutôt concernant le choix de FranceConnect pour l’outil d’identification mais pour autant avoir un œil neuf permet de s’ouvrir et reste bénéfique.

Alors inversement, ma question est simple et elle se trouve ici :

[veille] FranceConnect - #9 par Sly

@Jean-Marc_Le_Roux en faisant un inventaire complet des méthodes pour frauder tel ou tel système de vote, tu oublie de préciser que certains sont plus vulnérables que d’autres.

Un vote réalisé avec des machines ne peut pas être aussi fiable qu’un vote réalisé avec des urnes et des bulletins. Je n’insère pas de références ici parce que je suppose que personne ne conteste ça.

C’est cette différence qui va faire préférer le vote numérique pour les sujets ou l’enjeu est assez faible pour ne pas motiver un adversaire qui veut bourrer les urnes. Et pour les enjeux tels que la peine de mort, on choisira d’organiser un vote sans machines.

Personne ne prétend qu’une méthode de vote, numérique ou pas, doit être utilisée de façon universelle et que les autres doivent être oubliées.

On devrait plus parler de méthodes de vote au pluriel et moins de la plateforme de vote (sous entendu numérique) au singulier.

Pourquoi ? Les manipulations, bourrages d’urnes, faux électeurs, fraudes à la procuration et autres erreurs de comptage n’ont pas été si rares dans l’actualité.

Bien sûr, nos scrutins sont a priori très bien encadrés et le risque limité. Mais je ne suis pas sûr que le vote électronique soit moins sécurisé (il l’est différemment) à partir du moment où une garantie sur l’identité - telle que semble la présenter FranceConnect - est mise en place à l’entrée avec une unicité du vote.

En tout cas, avec les discussions que je lis ici et le travail dont Jean-Marc nous rend compte, je me sens plutôt rassuré et j’ai bien l’impression que le vote électronique tel que nous le dessinons est sur la bonne voie.

Bon, c’est peut-être mon côté optimiste qui s’exprime… :slight_smile:

1 « J'aime »

Si : moi. Ici. Argumente stp.

1 « J'aime »

Alors, j’aimerai rajouter qu’il faut être clair.

Nous n’inventons pas le vote électronique en France, nous le généralisons à tout texte législatif en vote.

Il existe déjà pour les Français expatriés :

Vote en ligne - Elections Legislatives 2012 - Francais de l' etranger.MOV - YouTube

Et déjà dans multiples villes :

Voilà, notre travail est de rassurer.

Puisqu’il n’y a pas de consensus, voici un argumentaire. Contrairement à un vote avec des urnes, ce n’est ni explicable ni contrôlable.

Je cite ici une partie de la transcription de la conférence de Benoît Sibaud qui l’explique:

Le premier problème d’un scrutin électronique c’est qu’il est inexplicable. Ce qui est souvent la comparaison retenue, on va comparer à un scrutin papier; le scrutin papier vous pouvez l’expliquer au lycée à des lycéens : comment ça se passe, quel est leur rôle, comment on procède pour voter, quels sont les contrôles qui sont mis en place, etc. Vous mettez un papier dans une enveloppe, l’enveloppe elle est opaque, on met dans une urne, l’urne elle est transparente, on a rempli dans l’isoloir, à la fin il y a un contrôle par des assesseurs. C’est assez facile à expliquer, on manipule du papier, c’est facile à expliquer. Dans le cadre d’un scrutin électronique il y a plein de problèmes qui arrivent liés à l’électronique. Là vous avez diverses illustrations. Faisons un exemple simple. Qui peut m’expliquer ce que fait le composant électronique qui est en haut à droite ? Bon bah comme ça, je pense qu’il n’y en a pas beaucoup dans la salle qui sont capables d’expliquer réellement en détails comment ça fonctionne. Même chose si on regarde le code source qui est en bas à droite. Même chose si je demande comment fonctionne l’accès à un réseau, ou comment on fait pour voter par Internet, quel est le cheminement qui est fait par votre bulletin sur un réseau, combien d’équipements intermédiaires, des routeurs vont avoir vu passer votre bulletin. Ou des choses qui en général quand on fait du vote électronique on a de la cryptographie qui apparaît; qui dans la population peut m’expliquer comment fonctionne la cryptographie ? Qui comprend ce que veut dire le certificat de crypto qui est en bas à gauche ? Qui est capable d’expliquer la formule mathématique qui est au milieu et qui explique un des algos de chiffrement les plus connus ? Bref. Et je ne vous parle même pas du vote, enfin des expériences en Suisse où ils font du vote avec de la transmission quantique. Si il y en a un qui veut expliquer la physique au citoyen lambda, il va avoir du travail.

Globalement on se retrouve à avoir un vote sur lequel le contrôle n’est théoriquement possible que par des spécialistes et encore en général un spécialiste d’un de ces sujets-là qui va expliquer en détail comment ça fonctionne, il est juste capable d’expliquer un de ces domaines et pas tous les domaines réunis. Ça donne un contrôle fait par une élite et encore c’est un contrôle théorique. On verra pourquoi tout à l’heure. Globalement ça veut dire que pour tous les autres qui participent à un scrutin électronique, ben en fait, il y a une boite noire, ils mettent leur bulletin dedans et ils espèrent que ça va bien se passer. Parfois ils ont le mythe de « l’ordinateur est infaillible » qui les aide à croire que tout va bien se passer, mais malgré tout on reste dans le cadre d’une boite noire. Et du coup comment est-ce qu’on obtient la confiance de l’électeur ou comment est-ce qu’on obtient une confiance qui est acceptable, parce que si il a juste confiance en disant c’est un ordinateur, ça marche bien. Ce n’est pas ce que je vais appeler une confiance acceptable, c’est valable quel que soit le type de scrutin spécialement pour les scrutins institutionnels.

On a un 2ème problème qui est encore plus embêtant. Parce que jusque là on disait que peut être que les spécialistes ils peuvent faire quelque chose, mais non rien du tout. Non rien du tout. C’est impossible à contrôler un vote électrique. Pourquoi ? Parce qu’on dématérialise l’information et l’information dématérialisée, ça ne se voit pas, ça ne se contrôle pas, c’est impossible à suivre et on ne sait pas quel traitement on lui applique dessus.

Globalement, vous êtes face à une boite noire. Des exemples : « On vous dit on va utiliser tel logiciel, tel matériel ». Très bien. Comment est-ce que vous savez que ce logiciel et ce matériel ils font ce qu’ils doivent faire ? C’est-à-dire, ils font exactement les opérations qui sont destinées au scrutin ? Comment est-ce que vous le savez ? Comment est-ce que vous le prouvez ? Comment est-ce que vous le montrez ? Comment vous savez ce que fait un logiciel qui tourne sur une machine à laquelle vous n’avez pas accès ? Et même quand vous avez accès comment vous savez qu’elle fait exactement ça ? Il n’y a pas vraiment de solution à ça.

Comment vous savez que le logiciel et le matériel ils font exactement et uniquement ce qu’ils doivent faire ? Des logiciels qui ont des bugs on en croise souvent; des logiciels qui sont faits pour faire du phishing et des choses malveillantes on en croise souvent. C’est assez difficile de montrer qu’ils font juste ce qu’ils doivent faire. Et le point le plus embêtant : comment vous savez que c’est ceux qui sont prévus qui tournent ? Quand vous allez dans un bureau de vote et qu’on vous dit tenez ça c’est le terminal de vote, comment vous savez quel est le matériel qu’il est censé contenir ? Comment vous savez qu’il fait tourner le logiciel qu’il est censé faire tourner ? C’est impossible à démontrer. Vous pourrez regarder un processeur autant que vous voulez, vous ne verrez pas quel est le logiciel qui tourne dessus.

Le vote électronique n’est pas le vote en ligne.
Nous faisons du vote en ligne. Ca n’est pas pareil.

C’est le même problème qu’avec le e-commerce ou encore la banque en ligne.
Deux choses très concrètes que les gens ont mis du temps à adopter, mais qui font consensus aujourd’hui.

Il y’a trois grands problèmes majeurs avec les argumentaires contre le vote en ligne/électronique :

1 - ils sont généralement directement transposables à d’autres domaines. Comme les transports, l’énergie, la bourse, etc… La preuve : remplacez « vote » par « paiement » et l’argumentaire de Benoit Sibaud (cf post précédent) tient la route. Pourtant, les transactions bancaires en ligne/numérique sont plus que la norme et les problèmes de bugs/fraudes ne constituent qu’une infime minorité des transactions.

2 - ils oublient de dire que plus de la moitié des problèmes informatiques sont liés à une erreur humaine (source). Les mêmes humains qui scrutent le vote classique. Ils considèrent donc que les gens sont moins faillibles que les logiciels. Alors qu’à priori, tout porte à croire que c’est l’inverse.

3 - la question n’est d’ailleurs sans doute pas de savoir si c’est possible de pirater un vote électronique/en ligne. La question est de savoir si c’est rentable. Ils oublient de prendre en compte les avantages du vote en ligne. L’un d’entre eux et la fréquence de vote qui augmente énormément alors que le coût diminue. Si on votait toutes les semaines comme les députés, il y’aurait des 10aines de millions de votes par mois. Comme pour les transactions bancaires, il faudrait alors des moyens considérables pour arriver à pirater/corrompre un tel volume de transactions de vote de façon significative. Pirater une seule transaction bancaire rapporte immédiatement de l’argent, mais pirater une seule transaction d’un bulletin de vote ne rapportera jamais rien alors que ça coûte aussi cher.

Un argumentaire qui tombe dans ces pièges n’est pas un argumentaire valide.
Et je pense qu’il ne peut pas y avoir d’argumentaire qui ne tombe pas dans ce piège : la comparaison avec les transactions bancaires me semble irréfutable.

Et tout ça, si j’peux m’permettre, c’est déjà ce que dit mon tout premier post :slight_smile:

1 « J'aime »

Non @Jean-Marc_Le_Roux, le vote en ligne existe déjà en France :

1 « J'aime »

J’ai pas dit que le vote en ligne n’existait pas :slight_smile: J’ai dit « Le vote électronique n’est pas le vote en ligne. Nous faisons du vote en ligne ».

La plateforme montrée dans la vidéo est celle développée par une filiale espagnole d’Atos. C’est évoqué par le 6ème lien que j’ai mis dans mon message original. Le revoilà :

Rien à voir avec ce que nous développons nous en ce qui concerne la sécurité/fiabilité, et à plus d’un titre. Par exemple, la plateforme en question ne forçait même pas l’utilisation du HTTPS alors que c’est le cas quand tu veux commander une pizza sur AlloResto… Après les « soupçons » de fraude, l’audit qui devait être fait de cette plateforme n’a d’ailleurs jamais été fait.

Exactement. Pour toutes les raisons que Benoît explique, si l’enjeu est assez grand, alors il faut se rabattre sur un vote avec des urnes. Pour tout les cas ou les enjeux sont assez faibles pour qu’il ne soit pas rentable de bourrer des urnes numériques, on peut utiliser un vote numérique.

Quand j’écris « Un vote réalisé avec des machines ne peut pas être aussi fiable qu’un vote réalisé avec des urnes et des bulletins », tu contestes en pointant le début de ce fil de discussion. Mais tu ne compares pas la fiabilité des deux méthodes, tu te contente de dire que les deux sont faillibles (je suis d’accord, bien sur).

Il me semble que tu proposes que les électeurs utilisent toujours une plateforme de vote numérique pour voter via les députés #MaVoix, quelque soit l’enjeu, et que voter avec des urnes ne sera jamais nécessaire, qu’il faut en écarter l’idée.

Est-ce que j’ai compris ta position ?

(Il est difficile de discuter sur un sujet en le transposant sur un autre, je m’abstiendrais de commenter sur le parallèle que tu souhaites faire avec le commerce en ligne).

Mon commentaire ne dépend pas de l’enjeu du vote.
Si tu as les moyens de détourner 65 millions de votes, alors tu as les moyens de détourner 65 millions de transactions bancaires. Et donc des milliards d’euros.

Mais si tu détournes le vote et que ça se voit, alors le vote est annulé.
Alors que l’argent volé, lui, reste volé.

Quelque soit l’enjeu du vote, ça me semble donc beaucoup plus rentable et sûr d’utiliser les mêmes moyens pour pirater une banque ou un système équivalent.

Je veux surtout dire que la fiabilité totale n’existe pas et n’existera jamais quel que soit le système (vote, banque, transport…). Et mieux : qu’elle n’est à priori pas nécessaire pour qu’un système soit utile et fonctionne de façon nominale.

Pourtant c’est le même sujet : le concept de fiabilité/sécurité qui est opposé au vote en ligne n’est pas encré dans la réalité. Il présuppose de l’existence d’une sécurité/fiabilité absolue, alors qu’elle n’existe pas en informatique par ce qu’elle n’existe même pas en mathématique ou en physique.

1 « J'aime »

Je ne dis pas ça, ni Benoît d’ailleurs. J’ai une position pragmatique et simple qui consiste à utiliser la meilleure méthode (vote numérique ou vote avec des urnes) en fonction de la situation.

Tu prétends que le vote numérique est la solution à toutes les situations ou il faudra voter. C’est une position très difficile à tenir. Cela t’oblige à réfuter tous les arguments des personnes qui, comme Benoît, Roberto Di Cosmo ou Andrew Appel ont pris la peine d’expliquer les problèmes inhérents au vote utilisant des machines. Une partie de cet effort consiste à débattre (avec moi ici et d’autres ailleurs) pour faire valoir les mérites du vote numérique appliqué en toute circonstance. Une autre partie, probablement plus conséquente encore, consiste à développer des logiciels et inventer des méthodes pour améliorer la technique pour la rendre plus fiable[1].

Pourquoi prendre un chemin aussi difficile ? Il est tellement plus simple (et de bon sens) d’accepter de négocier une frontière qui sépare le vote numérique du vote avec des urnes. En évitant la tentation d’une solution totalisante, je pense qu’on s’apercevra que les logiciels qui permettent le vote en ligne sont assez bien en l’état, parce que les enjeux sont assez faibles. Et que les débats entourant la question récurrente de « Et si … la peine de mort ! » seront évités parce que sans objet.

[1] Concernant la course aux améliorations techniques destinés à éviter la fraude, il faudrait disposer d’un bon threat model pour savoir ou l’effort doit porter. Mais les vecteurs d’attaque sont si nombreux que c’est un travail de Sisyphe.

1 « J'aime »

Non. Je dis que c’est une solution valide. Pas nécessairement la meilleure.

En ce qui concerne MaVoix, je dirais que c’est la seule solution valide. Pas la peine de se poser la question de savoir si c’est la meilleure donc.

Au contraire : je ne dis pas que c’est arguments sont invalides en soit.
Je dis qu’ils s’appliquent à beaucoup d’autres choses que le vote - notamment les transactions bancaires - alors que manifestement les transactions bancaires en ligne sont suffisamment robustes pour que le système fonctionne.

Si leur argumentaire est suffisant, alors les transactions bancaires numériques ne peuvent pas fonctionner.
Hors les transactions bancaires numériques fonctionnent, donc leur argumentaire n’est pas suffisant.

A l’inverse, si on arrive à avoir un système de transactions bancaires numériques qui fonctionne suffisamment bien, alors on a les moyens nécessaires pour en faire de même avec le vote.
Ca ne veut pas dire que l’existant en terme de vote numérique/en ligne est suffisant. Ca veut dire qu’on a à priori les moyens pour faire quelque chose de suffisant.

Justement non. Puisque, encore une fois, tout existe déjà pour des transactions bancaires.
Sauf qu’à la place de transmettre de l’argent, on transmet un bulletin de vote.

Sans doute. Mais comme ça fonctionne suffisamment bien pour les transactions bancaires, c’est que 1) c’est faisable 2) c’est déjà fait 3) ça peut donc être réutilisé.

En l’occurrence, pour permettre de mieux sécuriser/fiabiliser les transactions bancaires les banques cherchent à utiliser… la blockchain.

La ou tu as parfaitement raison, c’est qu’il faut une équipe dédiée avec des moyens dédiés et avec une méthodologie éprouvée.

1 « J'aime »

[quote=« dachary, post:26, topic:543 »]
(Sibaud) : Vous mettez un papier dans une enveloppe, l’enveloppe elle est opaque, on met dans une urne, l’urne elle est transparente, on a rempli dans l’isoloir, à la fin il y a un contrôle par des assesseurs. C’est assez facile à expliquer, on manipule du papier, c’est facile à expliquer
[/quote] . Façon d’expliquer facile et simpliste, car l’imagination des fraudeurs est sans fin (et je ne parle pas de remplissage de chaussettes), voir Bourrage d'urnes — Wikipédia . C’est ce qui m’a vraiment surpris comme assesseur un peu renseigné, il y a une large place possible pour de la fraude et la plupart des assesseurs présents pensent qu’ils suffit d’être présent pour qu’il n’y en ait pas.

1 « J'aime »

Je te remercie de cette discussion. Je pense que nous avons fait le tour de nos arguments respectifs. A défaut d’être d’accord avec ma position je pense que tu l’as comprise.

La valeur du vote en ligne est tellement important pour toutes sortes d’économies et de grande fiabilité aussi, qu’à moins de prouver le contraire elle est la meilleure solution.

Pouvons-nous penser que le vote par les urnes pourrait être demandée si lors d’un dépouillage de l’urne numérique une erreur s’est produite qui met en défaut la certitude du résultat ?

Ainsi le conseil constitutionnel aura la possibilité de confirmer le premier vote ou l’affirmer.

C’est ça qui m’ennuie.
Comme je trouve les arguments « anti » triviaux et trop peu précis, ils sont trop faciles à écarter.
Donc les solutions trouvées ne sont pas franchement mises à rude épreuve. Et avec des contraintes faibles, on a de plus grande chances d’apporter des solutions faibles.

Pourtant, jusqu’ici les experts en sécurité à qui j’ai demandé conseil valident le modèle.
C’est aussi pour ça que l’open source est obligatoire.

Oui. En tout cas on peut au moins refaire le vote une fois une faille éventuelle corrigée.
C’est ça la force du numérique.

Sachant qu’il n’y a rien à gagner à pirater un vote dont le résultat sera réputé invalide, il faut je pense avant tout bien sécuriser l’audit pour annihiler l’intérêt même du piratage en amont.

Après, même si l’audit hérite des mêmes défauts que le vote lui même, il apporte une couche de sécurité supplémentaire. La sécurité, c’est le jeu du chat et de la souris : la possibilité de dépouiller le vote en ligne ne fait que donner une longueur d’avance à la souris. Mais encore une fois, c’est la même chose dans tous les domaines et pas seulement le vote…

La discussion est en cours ici sur la méthode proposée pour l’instant : [Cocorico] Questions sur la preuve de vote. Ce qui est particulièrement intéressant, c’est que les problèmes soulevés par @Sly dans ce sujet ne sont pas du tout de nature technique/numérique, mais découlent au contraire d’une volonté d’apporter une garantie sous certains aspects supérieure à celle du vote classique. Et ces problèmes sont directement imputables aux humains, et non aux machines…

Combien de technicien seront ceux qui poseront la question ? Qui plus est, nous aurons beau dire qu’une porte est blindée, il y aura tjs une autre personne pour montrer qu’elle n’est pas pour autant infranchissable.

Il faut sortir de la mono-réflexion technique.

Considérant que tout est relatif, rassurer ne doit pas être qu’orienté sur le tout nouveau.

Alors pour en revenir sur « le vote en ligne est-il fiable/sécurisé ? » est certes une question qui cherche des réponses techniques et merci @Jean-Marc_Le_Roux d’en apporter mais elle demande aussi sur des réponses rassurantes à la portée de tous.

Parler qu’il existe déjà le vote en ligne en France. Que le Conseil Constitutionnel sera toujours présent et contrôlera la régularités des scrutins. Que tout citoyen pourra tester par lui-même et en famille si son bulletin de vote est bien dans la bonne « case ».
Et que si besoin, le vote dans les urnes pourrait être toujours demandé si incident quelconque sont aussi des réponses qu’il faut apporter à cette question de début de post.

3 « J'aime »

Bon, en tout cas, on peut difficilement faire pire que cela …! (humour)

:stuck_out_tongue_winking_eye:

2 « J'aime »

Ca m’a fait penser au ficus qui s’est présenté aux élection. Hormis le fait que ce n’est pas un être humain il n’y a pas vraiment de rapport puisqu’il n’y a pas eu fraude :wink:

1 « J'aime »