mercredi 18 avril 2007 - par Christophe

Le vote �lectronique en question

Le vote �lectronique est, semble-t-il, � l’ordre du jour (voir cet article). Il faut admettre que l’�lectronique est � la mode ; pouvons-nous trouver d’autres termes ? Par exemple, en travaillant r�cemment sur un PEA (Plan d’�tude amont) en a�ronautique, il convenait d’aborder la conception selon les principes du tout �lectrique. Si nous pouvons admettre que l’�lectrique / �lectronique est plus �cologique dans l’utilisation, reste � savoir comment cette �nergie est cr��e, il n’en reste pas moins que d’apr�s tous les acteurs participants � ce projet, et preuve en est faite, l’�lectrique / �lectronique est la moins fiable de toutes les techniques applicables dans notre contexte. Mais le propos ne repose pas uniquement sur l’aspect fiabilit�.

M�me si le vote �lectronique pose des probl�mes de fiabilit�, la pr�occupation premi�re doit plut�t �tre ax�e sur la s�curit� ; je prendrai donc pour r�f�rence un rapport technique non classifi� (dont je suis l’auteur) du CERT/ONERA, un �tat de l’art en mati�re de mod�les de s�curit� informatique [1].

La fiabilit� du syst�me

D’aucuns abordent la fiabilit� d’un syst�me informatique en effectuant des tests. Ainsi, nous pouvons tester, selon un plan d�di�, diff�rentes op�rations afin de savoir si, entre une entr�e et la sortie correspondante, le cheminement nous m�ne au r�sultat attendu. Nous n’abordons l� que les principes de fonctionnement propres aux syst�mes manipulant des symboles de type donn�e ou information mais pas de type connaissance o� la notion de plausibilit� est plus importante que la valeur de v�rit� : c’est une diff�rentiation importante entre le d�terminisme et le non-d�terminisme.

Cette d�marche, tr�s r�pandue dans l’industrie productiviste a un avantage certain, elle r�duit les co�ts de la qualit� des produits. Cependant, quand l’objet soumis aux r�gles de l’informatique est co�teux, par exemple un satellite ; il est tout � fait hors de question de se satisfaire d’une d�marche si peu formelle. C’est donc � ces besoins sp�cifiques que r�pond la sp�cification formelle des programmes.

L’approche par tests ne montre qu’une chose ; pour une entr�e donn�e, le syst�me peut fournir la sortie attendue, ce qui ne permet pas de prouver que cela se v�rifie chaque fois, ni que si la donn�e d’entr�e varie, le r�sultat correspondant sera celui attendu. D’autre part, ce type d’approche n�cessiterait une exhaustivit� a priori du nombre de tests � effectuer, approche totalement irr�aliste.

L’approche de la sp�cification formelle des programmes est une approche math�matique. Un ordinateur, comme tout �l�ment programm�, ne r�pond qu’� des fonctions math�matiques ; le but consiste � v�rifier math�matiquement le bon fonctionnement du syst�me. Ainsi nous prouvons qu’un programme r�alise vraiment ce pour quoi il est fait.

Ce propos peut para�tre sans trop d’int�r�t, mais si nous pensons au respect des r�gles d�mocratiques, nous devons imp�rativement prouver que le syst�me enregistre le vote voulu par chaque �lecteur.

Premi�re approche de la s�curit� du syst�me

La premi�re remarque qu’il convient de faire � tout syst�me informatique est qu’il existe un mode de connexion de type super utilisateur qui poss�de l’int�gralit� des droits d’acc�s au syst�me.

Avant d’aborder les syst�mes de s�curit� qui sont exprim�s dans des politiques de s�curit�, il convient de bien d�finir le domaine.

La s�curit� doit �tre abord�e sur trois axes :

- La Confidentialit� : pr�vention d’une divulgation non autoris�e de l’information,

- L’int�grit� : pr�vention d’une modification non autoris�e de l’information,

- La disponibilit� : pr�vention d’un d�ni non autoris� d’acc�s � l’information ou � des ressources.

La s�curit� d’un syst�me issu des technologies de l’information peut �tre assur�e, en grande partie, par des mesures non techniques telles que [2], [3] :

- des contr�les de l’organisation,

- des contr�les du personnel,

- des contr�les physiques,

- des contr�les administratifs.

L’�l�ment principal �tant que la confiance que les utilisateurs ont en la s�curit� du syst�me informatique qu’ils utilisent doit �tre sans faille. De plus, ils ont besoin d’�l�ments d’�talonnage afin de mettre en place le syst�me informatique s�curis� qui r�pond � leur besoin. Pour ce faire, des crit�res d’�valuations ont �t� d�velopp�s dans plusieurs pays [4], [5].

Les r�glements de s�curit� informatique sont classifi�s suivant deux classes [6] distincts mais compl�mentaires :

- Les r�glements de gestion d’acc�s obligatoire (ou par mandats).

- Les r�glements de gestion d’acc�s discr�tionnaires.

Dans notre contexte de vote �lectronique, le seul r�glement n�cessaire concerne la gestion d’acc�s obligatoire. D’autre part, le syst�me de s�curit� ne demande pas de r�soudre des probl�matiques complexes comme la gestion multiniveaux introduisant des relations d’ordre, voire des relations d’ordre partiel comme cela existe dans la gestion de la s�curit� militaire.

Les probl�mes � r�soudre

Les m�canismes de protection font respecter des r�glements qui g�rent le partage de l’information. Il existe plusieurs niveaux de partage lesquels introduisent de nouveaux probl�mes :

- Pas de partage (isolation compl�te), aucun risque,

- Partage des donn�es, introduction du probl�me de suspicion (diffusion de l’information),

- Partage des programmes, introduction du probl�me de la violation du r�glement par un cheval de Troie.

Dans un syst�me de vote �lectronique, chaque console de vote �tant utilis�e par plusieurs utilisateurs, nous sommes dans le cadre du partage des programmes et des donn�es.

En prenant pour r�f�rence des ouvrages de sp�cialistes du domaine [7], [8], nous pouvons d�terminer toute sorte de canaux cach�s (covert channel) : probabilistes (bruit�s), travaillant sur des bits (one bit channel) ou des � bits (half bit channel), ayant une r�f�rence temporelle (timing channel) ou non (storage channel), ...

Ce qui reste certain est que ces canaux cach�s sont ind�tectables m�me si nous appliquons un syst�me de surveillance dynamique comme le mod�le de non d�duction [9] ; ce probl�me est insoluble par les mod�les de s�curit� classiques tels que Bell et Lapadula [10] pour la confidentialit� et Biba [11] pour l’int�grit� ou Jajodia et Sandhu [12] pour les bases de donn�es.

Pour un syst�me de vote, nous savons que nous n’avons pas la capacit� d’assurer la s�curit� si un cheval de Troie est introduit dans le syst�me ; et introduire un cheval de Troie est tr�s simple surtout si nous avons acc�s � une console particuli�rement dans un contexte d’isolement total, ce qui est la r�gle en d�mocratie.

Conclusion

Nous sommes donc confront�s � une opposition entre modernisme technique et �thique.

Ayant �t� assesseur et scrutateur dans des bureaux de vote, il est �vident que les contr�les non techniques ne sont pas s�rs � 100% mais s’en rapproche puisque le fait de tricher est visible et contr�lable.

Dans un contexte informatique, sachant qu’un programme malveillant s’ex�cute avec les droits de l’utilisateur � son insu, il est donc possible de tricher sans que cela ne soit visible ni contr�lable. Les seuls contr�les possibles seraient de recompter toutes les traces papiers, si trace papier �tait laiss�e, ce qui rendrait inutile le vote �lectronique.

La question qui nous est r�ellement pos�e est donc de savoir si nous acceptons de moderniser le traitement du vote par des outils techniques au d�triment de la s�curit� des votes d�mocratiques. Ce n’est pas par des pratiques consid�r�es comme s�res (identification, cryptage, voire m�me leures) que nous pourrons r�ellement r�soudre ce type de probl�me ; le code de traitement des votes ne peut �tre confidentiel et cela ouvre toutes les portes au piratage ind�tectable !

Personnellement, cela n’engageant que ma personne, tant que la s�curit� informatique n’aura pas atteint, au minimum, le niveau de s�curit� non technique que nous appliquons aujourd’hui, ma r�ponse sera non ; la primaut� allant au meilleur respect possible des r�gles d�mocratiques plut�t qu’� l’application de techniques peu s�res.

16 r�actions

finael 18 avril 2007 13:50

Ayant personnellement p�n�tr� un syst�me s�curis� (niveau confidentiel d�fense), dans le cadre d’une mission de test de suret� je ne peux qu’approuver.

Toutefois je souhaiterais y ajouter un point de vue citoyen :

Il me semble indispensable que les citoyens puissent v�rifier le d�compte des votes, fut-ce � post�riori, et cela quel que soit le niveau de s�curit� obtenu : Il s’agit d’une question de d�mocratie.

R�pondre Lien permanent
- Christophe 18 avril 2007 21:32
  
  D�sol� messieurs Tall & West d’intervenir ainsi, mais le but de ce fil ne consiste en aucun cas � �mettre des jugements sur les intervenants ; du moins je n’en vois gu�re l’int�r�t, bien que je sois favorable � la libre expression.
  
  Si vous avez une argumentation � fournir, je vous r�pondrai sans l’ombre d’un doute.
  
  @L�on,
  
  D�sol� si le texte est quelque peu difficile � appr�hender ; je l’ai �crit trop rapidement ; il aurait m�rit� une bien meilleure pr�sentation et une argumentation moins technique.
  
  Lien permanent
- Christophe 18 avril 2007 21:45
  
  @L�on,
  
  Alors pourquoi introduire du modernisme l� o� cela n’apporte rien ?
  
  A cette question, je n’ai pas de r�ponse qui ne serait une extrapolation.
  
  Ce que je constate, par contre, est que la proc�dure d’agr�ement telle que d�finie par le minist�re de l’int�rieur (http://www.interieur.gouv.fr/sections/a_votre_service/elections/comment_vot er/machines-voter/downloadFile/attachedFile_1/mav2.pdf?nocache=1158323485.73 ) est de la poudre aux yeux.
  
  En effet, l’informatique n’�tant qu’un simple outil formel (entendu qu’elle ne comprend qu’un langage math�matique), aucun formalisme n’est exig� pour assurer que la machine r�ponde aux attentes citoyennes. Est-ce � dire que sachant que la s�curit� ne peut �tre assur�e, il est de bon ton que de tenter le citoyen vers une confiance qui ne peut �tre assur�e ?
  
  Lien permanent
- Christophe 18 avril 2007 21:49
  
  @West,
  
  Si vous pouviez faire montre, un tant soit peu, de discernement et d’intelligence dans vos propos, cela serait sans doute profitable ; ne croyez-vous pas ?
  
  Lien permanent
- IP115 19 avril 2007 10:04
  
  Pas de panique les amis, ce n’est que DW l’apprenti Taliban d’agoravox !
  
  Vous savez dans tous les pays int�gristes (tendance salafistes), vous avez toujours des esp�ces de petits bonshommes sans int�r�t, qui se prom�nent parmi les gens avec un fouet et qui leur tapent dessus quand ils ne pensent pas, ne parlent pas ou ne se comportent pas conform�ment � leurs dogmes. Persuad�s de d�tenir le savoir supr�me en direct de dieu et surtout la science infuse !
  
  Comme eux DW n’a ni la l�gitimit�, ni la qualification, ni les comp�tences pour cela. Comme eux il est autoproclam� et se permet de dire ce qu’aucune personne dou�e d’intelligence et de savoir vivre ne se permettrait ; Et comme eux il le fait soit disant au nom de croyances sup�rieures. Bref il se croit investit d’une mission, talibaner Agoravox.
  
  Inutile de discuter avec lui, vous perdriez un temps fou pour rien, alors que faire me direz vous ? L’ignorez comme le font de plus en plus d’agoravoxiens.
  
  Bonne journ�e citoyens et n’oubliez pas, DW n’est rien et n’a d’autre cr�dit que celui que vous voudrez bien lui accorder, et RIEN DE PLUS.
  
  Lien permanent
Nicolas 18 avril 2007 15:57

Ah, voil� un tr�s bon article qui d�montre sans l’ombre d’un doute que les machines �lectroniques n’�tant pas fiables pour les �lections, ces m�mes machines n’ont pas leur place dans un lieu de vote. Les partisans de machines � voter voudraient-ils retirer au citoyen lambda son droit de regard sur les urnes, droit prescrit dans le code �lectoral ?

Merci pour cette excellente mise au point.

R�pondre Lien permanent
Marsupilami 18 avril 2007 21:56

Merci Christophe pour cet excellent article citoyen. Sans �tre un sp�cialiste de ce genre de trucs, mais �tant familier avec la logique, je vois que tu sais de quoi tu causes, toi. Contrairement � certains de tes contradicteurs d�c�r�br�s sur ce fil. Bravo pour ton article.

R�pondre Lien permanent
- Christophe 18 avril 2007 22:19
  
  @Marsu,
  
  J’ai beaucoup travaill� sur les mod�les de s�curit� formels exprim�s en logique d�ontique (SDL) , �pist�mique, ...
  
  Le mod�le de non d�duction est un mod�le logique utilisant ce qui est connu vulgairement sous le nom de Th�orie de l’information de Shannon que l’on retrouve dans l’ouvrage C. Shannon and E. Weaver. The Mathematical Theory of Communication. University of Illinois Press, Urbana, IL, 1963. Cette approche logique a pour but de surveiller l’activit� dynamique d’un ordinateur.
  
  R�pondre Lien permanent
Aldoo 19 avril 2007 00:50

Je rejoins les critiques sur la techinicit� de l’article. Pour un m�dia grand public, c’est tendu !

Enfin, dans les domaines de la fiabilit� et de la s�curit�, malheureusement, beaucoup de choses sont complexes � exprimer. Pour cette m�me raison, la liste des exigences techniques de l’agr�ment minist�rielles est longue peu compr�hensible... ce qui rend tr�s difficile, pour monsieur tout le monde d’en v�rifier la pertinence.

Ainsi, m�me si les exigences pouvaient effectivement garantir l’exercice de la d�mocratie en th�orie, il serait difficile d’instaurer la confiance.

Je pense que dans cette affaire l�, tout syst�me inutilement complexe est suspect, et digne d’�tre mis � la casse car ne respectant pas l’exigence n�1 : instaurer la confiance.

R�pondre Lien permanent
- Christophe 19 avril 2007 10:50
  
  @Aldoo,
  
  D’accord avec vous sur la technicit�.
  
  Cependant, il aurait �t� tr�s difficile d’exprimer ce type d’approche sans expliquer les modes de fonctionnement qui sont tributaires du mat�riel : les ports d’entr�e / sorties, la notion d’interruption, la m�moire centrale, ...
  
  Ces processus, appel�s canaux cach�s d�tournent les processus de gestion du mat�riel ; tout simplement parce que le mat�riel n’est pas prot�g� contre ce type d’attaque. Prot�ger le mat�riel est tr�s co�teux sans �tre 100% efficace.
  
  Dans le contexte de la s�curit�, il faut aborder avant tout la couche mat�rielle, ensuite vient le syst�me op�ratoire, puis optionnellement le syst�me de gestion de bases de donn�es et enfin les applications. Appliquer la s�curit� uniquement sur les applications laisse la possibilit� d’attaquer la machine sur les niveaux inf�rieurs ; c’est un probl�me li� au mode de production par couches successives des produits issus des technologies de l’information.
  
  R�pondre Lien permanent
Marie Pierre 19 avril 2007 11:13

Bonjour Christophe,

Effectivement, cet article est ardu mais j’en devine bien la finalit�.

J’ai donc une question : entre les 2 tours, ou entre chaque �lection, des techniciens devront intervenir pour modifier les machines. Quelle sera la garantie de fiabilit� puisque les machines ne pourront pas �tre test�es ?

Je rappelle ce que j’ai dit sur le fil de Chantal, en 2002, 2 voix par bureau de vote entre Le Pen et Jospin...

Merci � vous.

R�pondre Lien permanent
- Christophe 19 avril 2007 14:15
  
  @Marie-Pierre,
  
  Pour les probl�mes de maintenance � plus ou moins long terme, sachant qu’aucun �l�ment n’a de dur�e de vie illimit�e, il y aura des acc�s mat�riels possibles ; donc risques permanents puisque l’on ne pourra surveiller � chaque instant ces machines.
  
  Pour des questions de maintenance logiciel, il y aura aussi des interventions soit par un port d’entr�e / sortie, soit par remplacement d’un composant (m�moire en lecture seule sauf par un proc�d� sp�cifique d’�criture qui reste tr�s r�pandu chez les sp�cialistes informatiques). Dans ce cas l�, il y a aussi des risques d’introduction d’un programme pirate ind�tectable.
  
  En informatique, le moindre port d’entr�e / sortie permettant une connexion avec le monde ext�rieur ouvre aussi les portes de la bo�te noire ; il suffit de pouvoir s’y connecter (dans un isoloir, aucun risque d’�tre surveill�). La plupart des �l�ments perturbant les ordinateurs connect�s � des r�seaux (exemple : internet) proc�dent de cette mani�re.
  
  R�pondre Lien permanent
Sylvain Dahan 19 avril 2007 14:43

Je vais �tre m�chant, mais l’article n’est que du technobabeul completement a cote de la plaque. Les probl�mes de securite que l’on rencontre avec les machines a vote sont des probl�mes humain (comment s’assurer que la machine n’a pas ete trafique) et non pas des probl�mes informatique (y a t’il un bug dans le programme). Parler de CIA, c’est gentil, mais quel est l’interet ? Une machine a vote, c’est juste une pauvre suite de compteurs. Ajouter un systeme de droit d’acces est le meilleur moyen de complexifier le syst�me et donc d’y inserer des bugs. KISS (Keep It Simple Stupid) est une des r�gles d’or de la securite.

Idem pour les preuves formelles. La majorite des failles sont du soit a une erreur d’implementation, soit a une erreur de configuration ou soit a de mauvaises hypoth�ses. Hors les preuves formelles ne peuvent rien contre ceci. Au mieux, les preuves prouvent qu’il n’y a pas d’erreur dans les theoremes. Mais si les hypotheses sont fausses, et bin, prouver que le theoreme est juste, ca ne sert pas a grand chose.

Mais, la ou j’ai envie de donner des claques, c’est quand je lit : « L’�l�ment principal �tant que la confiance que les utilisateurs ont en la s�curit� du syst�me informatique qu’ils utilisent doit �tre sans faille. » Mais comment a-t-il pu ecrire un truc pareille. Traduction : « L’important est de refourguer un truc et que l’utilisateur soit persuade que le truc marche toujours comme prevu. Apres le fait que ca marche ou pas on s’en fou ». Bon j’avous, j’ai peut etre compris de travers, mais il y a deux monstruosit�s dans cette proposition :
- Il est hors de question de creer des systemes de securite fiable a 100% tout au long de la chaine pour une question de couts. La securite n’est qu’une question d’equilibre. Faire croire que l’on fournit un systeme sure a 100% est une preuve d’incomp�tence.
- Il est super-important de savoir comment le systeme peut deconner pour mettre en place des contre-mesures. Un des gros probleme de la securite est que l’utilisateur est trop confiant. Alors rajouter une couche pour le rendre encore plus confiant, c’est n’importe quoi.

Je conseil a l’auteur, de relire ses livres d’introduction a la securite informatique et en particulier Secret and Lies de Bruce Schneier et Security Engeeniring de Ross Anderson.

Bizzarement, ces deux livres prennent les systemes de votes comme cas d’ecole ou l’un des systemes est un exemple de securite et ou l’autre est le parfait example de ce qu’il ne faut pas faire. Bien sure, dans leur discussion, ils ne parlent jamais de probleme informatique (Je rappelle que le probleme avec les machines a vote n’est pas d’ordre informatique mais avant tous d’ordre humain).

En tous cas, je le presse de lire attentivement l’essai suivant : http://www.schneier.com/essay-133.html

@L�on,

Alors pourquoi introduire du modernisme l� o� cela n’apporte rien ?

Tu fais l’erreur courante de croire que celui qui a prit cette decision a prit en compte le bien etre de la communaute avant sont propre bien etre. Corruption et copinage, tu connais ?

R�pondre Lien permanent
- Christophe 19 avril 2007 16:09
  
  Je vais �tre m�chant, mais l’article n’est que du technobabeul completement a cote de la plaque. Les probl�mes de securite que l’on rencontre avec les machines a vote sont des probl�mes humain (comment s’assurer que la machine n’a pas ete trafique) et non pas des probl�mes informatique (y a t’il un bug dans le programme).
  
  Je pourrais tout autant �tre m�chant et vous demandez si vous savez lire ... A votre question � savoir comment s’assurer que la machine n’a pas �t� trafiqu�e, la r�ponse est : c’est impossible que ce soit de fa�on formelle ou non ! Un cheval de Troie (ensemble dont les canaux cach�s font partie), pour votre gouverne, n’est aucunement un bug mais un programme introduit intentionnellement dans l’intention de nuire.
  
  Parler de CIA, c’est gentil, mais quel est l’interet ? Une machine a vote, c’est juste une pauvre suite de compteurs. Ajouter un systeme de droit d’acces est le meilleur moyen de complexifier le syst�me et donc d’y inserer des bugs. KISS (Keep It Simple Stupid) est une des r�gles d’or de la securite.
  
  Vous avez une vision tr�s restrainte des machines con�ues sur les bases des technologies �lectroniques (heu !!! comment sont manipul�s vos compteurs ; l’op�ration du saint esprit ?) ! Ce sont des donn�es manipul�es selon un processus technique bien d�fini. Passage obligatoire par des registres, gestion par pile aussi bien du syst�me que du processus en fonctionnement, chargement en m�moire aussi bien des programmes que des donn�es, stockage, interruptions, ... Vous connaissez vraiment comment fonctionne un ordinateur ou une machine quelconque con�ue sur ce qui s’appelle l’�lectronique. Un exemple simple : comment votre machine � voter sait-elle qu’un citoyen a appuy� sur le bouton de son choix ? Donc qu’elle doit traiter la demande de prise en charge d’un vote. Comment sait-elle que la personne qui vote a le droit de le faire ? Comment limite-t-elle le nombre de votes � un par personne ?
  
  Idem pour les preuves formelles. La majorite des failles sont du soit a une erreur d’implementation, soit a une erreur de configuration ou soit a de mauvaises hypoth�ses. Hors les preuves formelles ne peuvent rien contre ceci. Au mieux, les preuves prouvent qu’il n’y a pas d’erreur dans les theoremes. Mais si les hypotheses sont fausses, et bin, prouver que le theoreme est juste, ca ne sert pas a grand chose.
  
  Les preuves formelles permettent d’emp�cher les erreurs d’impl�mentaition ; sauf si vous �tes capable de me d�montrer que vous pouvez faire travailler un ordinateur sur autre chose que des fonctions math�matiques.
  
  Mais, la ou j’ai envie de donner des claques, c’est quand je lit : « L’�l�ment principal �tant que la confiance que les utilisateurs ont en la s�curit� du syst�me informatique qu’ils utilisent doit �tre sans faille. »
  
  Je vous renvoie aux textes de base de la s�curit� des syst�mes du D�partement de la D�fense am�ricaine (DOD) et les crit�res d’�valuation europ�en dont les r�f�rences sont associ�s au texte. La recherche de confiance consiste � mettre aussi bien des contr�les techniques que non techniques ; il me semble que c’est ce qui est exprim�.
  
  Il est hors de question de creer des systemes de securite fiable a 100% tout au long de la chaine pour une question de couts. La securite n’est qu’une question d’equilibre. Faire croire que l’on fournit un systeme sure a 100% est une preuve d’incomp�tence.
  
  Le but de ces normes consiste � insister sur le fait que tout ne pouvant �tre trait� techniquement, il faut mettre des contr�les administratifs, du personnel, ... pour tenter de conforter une certaine confiance qui ne peut en aucun �tre totale.
  
  Il est super-important de savoir comment le systeme peut deconner pour mettre en place des contre-mesures. Un des gros probleme de la securite est que l’utilisateur est trop confiant. Alors rajouter une couche pour le rendre encore plus confiant, c’est n’importe quoi.
  
  Ce n’est pas du tout ce qui est �crit non plus. Savoir comment un syst�me peut d�conner ne limite pas les risques ; les contre mesures sont g�n�ralement inefficaces ; cela consiste � mettre en œuvre un syst�me de trace qui, en fonction d’une suite d’op�rations atomiques d’un m�me sujet, le syst�me d�tectera une agression. Ce syst�me est facilement contournable par l’�clatement d’un processus dont chaque partie (sujets diff�rents) prend en charge une action atomique.
  
  Je conseil a l’auteur, de relire ses livres d’introduction a la securite informatique et en particulier Secret and Lies de Bruce Schneier et Security Engeeniring de Ross Anderson.
  
  Si je puis me permettre, je vous conseillerai plut�t la lecture de Fondements Th�oriques de la S�curit� Informatique. CERT, Rapport final, 3/3407.00/DERI, 1991 de P. Bieber, F. Cuppens et G.Eizenberg.
  
  Bizzarement, ces deux livres prennent les systemes de votes comme cas d’ecole ou l’un des systemes est un exemple de securite et ou l’autre est le parfait example de ce qu’il ne faut pas faire. Bien sure, dans leur discussion, ils ne parlent jamais de probleme informatique (Je rappelle que le probleme avec les machines a vote n’est pas d’ordre informatique mais avant tous d’ordre humain).
  
  Bien s�r, il est pr�f�rable d’�viter de parler des probl�mes informatiques en posant l’hypoth�se que le syst�me de vote qui est consid�r� comme un cas d’�cole n’est fait d’aucun composant �lectronique. Il n’existe aucun cas d’�cole en mati�re de s�curit� informatique d� principalement aux probl�mes li�s � la s�curit� mat�riel ; c’est la nature des travaux de Gasser : d’autres probl�mes se posent pour des utilisateurs connaissant les fonctionnements internes d’un ordinateur. Pour traiter ce type de probl�me, il faut tenir compte des m�canismes de s�curit� mat�riels (expos�s dans Building a Secure Computer System : Computers Acces Control and System Design. Van Nostrand Reinhold, 1988.)
  
  Je me permets donc de douter de l’un des systemes est un exemple de securite ; ce qui, au niveau de la recherche est irr�aliste sauf � poser des hypoth�ses irr�alistes.
  
  R�pondre Lien permanent
- Christophe 19 avril 2007 16:37
  
  @Sylvain Dahan,
  
  Je vous renvoie � une r�ponse faite � un intervenant concernant les diff�rentes couches inh�rentes au mode de fabrication de ces consoles de vote.
  
  Le lien auquel vous faites r�f�rence montre que l’auteur consid�re que la console de vote est une bo�te noire ; je consid�re que c’est une vision tr�s restrictive et fortement simplificatrice et une grossi�re erreur.
  
  R�pondre Lien permanent
- Christophe 19 avril 2007 17:25
  
  Autre point.
  
  Keep It Simple Stupid est un principe qui insiste sur le fait que ce qui est simple est plus facile � maintenir et � comprendre. Si vous l’appliquer � la s�curit�, cela ne doit en aucun cas alt�rer les contraites de s�curit� que vous �tes cens� respecter. C’est l’argumentation souvent avanc� par les indutriels comme argument commercial, mais d’un point de vue technique et scientifique, cela n’a strictement aucun poids.
  
  Je reste d’accord avec vous cependant, une fois que nous avons trouv� les principes de r�solution, il faut faire au plus simple.
  
  R�pondre Lien permanent

Le vote �lectronique en question

16 r�actions

R�agir