mardi 22 août 2006 - par Marc Bruxman

Vote �lectronique : la fin de la d�mocratie

A l’heure ou l’on commence � dire que le vote �lectronique permettrait d’�conomiser de l’argent (150 millions d’Euros pour une �l�ction nationale) il convient de rappeler � quel point celui-ci est un grand danger pour la d�mocratie. Car il s’attaque � son fondement m�me : la confiance.

La raison d�mocratique

Nul besoin de chercher des arguments techniques pour comprendre le danger du vote �lectronique. Aujourd’hui lorsqu’une �lection a lieu, le d�pouillement et le vote sont publics. Le dispositif a �t� fait de telle sorte qu’il est difficile de frauder pendant l’�lection (on peut manipuler les listes d’�lecteurs avant par contre) : les urnes transparentes ou le d�pouillement public rendent l’op�ration contr�lable. N’importe quel citoyen et ce quel que soit son niveau intellectuel peut v�rifier que le scrutin s’est bien d�roul�. Avec le vote �lectronique, il faudra s’en remettre aux experts (par d�finition peu nombreux) qui vont certifier la machine.

Ce probl�me devrait a lui seul suffire � envoyer le vote �lectronique aux oubliettes. Dans une d�mocratie, les �lections servent avant tout � donner une l�gitimit� � la personne qui va diriger le pays. Qu’il soit de gauche ou de droite il est incontestablement l’�lu du peuple. Mais a quoi bon conduire des �lections si les citoyens peuvent douter de leur l�galit� ? Car si personne ne peut v�rifier que les �lections se sont d�roul�es sans triche, cela veut �galement dire que tout le monde peut en contester le r�sultat. Et m�me si les �lections se d�roulent sans fraude, on trouvera des gens pour dire qu’il y en a eu. Les th�ories du complot qui vont alors surgir vont affaiblir le dirigeant l�gitimement �lu. Et finiront probablement par tenter quelqu’un de passer � l’acte.

La raison technique

Je suis informaticien bien dipl�m� par rapport aux standards fran�ais. Et pourtant si l’on me demandait de certifier une machine � voter je serai bien ennuy�. Car je serai incapable de garantir � 100% qu’il n’y a pas de fraude. Et j’en sais suffisamment pour savoir qu’aucun des mes coll�gues le pourrait car c’est tout simplement impossible en pratique.

En th�orie, il suffirait en effet de donner le code source du programme et les plans de la machine pour permettre � des ing�nieurs de la certifier. Il existe des techniques de preuve de programme tr�s on�reuses (employ�es uniquement dans l’industrie spatiale et autres activit�s � haut risque) donc en th�orie je vais pouvoir prouver que le programme n’est pas douteux. Une expertise du code source permettra de rechercher les erreurs de programmation potentiellement dangereuses. Tout en sachant que m�me des codes extr�mement relus comme le noyau Linux contiennent de telles erreurs (je ne parle m�me pas de Windows).

Je devrais m’arr�ter la mais admettons quand m�me que je suis capable d’accomplir cette tache. Nous avons donc un code source irr�prochable mais :

- Ce code source (lisible par l’humain) va �tre transform� en code objet (lisible par la machine) par un compilateur qui est lui m�me un programme. Si je veux �tre s�rieux, il faut que je valide aussi le code source du compilateur. Sinon le code objet ne correspondra pas au code source et j’aurais travaill� pour rien. Vaste programme quand on conna�t la complexit� d’un tel outil. Mais admettons...

- Une fois que j’aurais valid� les sources du compilateur, je vais devoir utiliser un compilateur .... pour compiler le compilateur ! Et c’est la que l’on arrive au probl�me de la poule et de l’oeuf ! Et comment a t’on �crit le premier compilateur me r�torquerez-vous ? Et bien directement en langage machine : Une vraie tache de gal�rien. Et je ne vous parle m�me pas de prouver un programme �crit en langage machine.

Mais cela ne suffit pas, admettons que l’on arrive � obtenir un « binaire » (code objet) certifi� 100% sur celui-ci va s’�x�cuter au sein d’un syst�me d’exploitation. Que l’on va alors devoir certifier...

Stop ! J’en ai assez dit et je pourrai continuer comme cela longtemps. L’absurdit� de la situation devrait vous sauter aux yeux.

Si vous ne devez retenir qu’une chose, retenez que de nombreuses entreprises ont d�pens�s des millions de dollars pour avoir des syst�mes inviolables (Microsoft et sa XBox, la RIAA et les DVD, ...). Tous sans exception ont �chou�.

L’assurance qualit�

Dans la vie, il faut �tre ISO 9001. M�me les �ponges sont ISO 9001 maintenant. Tout �a pour respecter un processus qualit�. Pour les �lections, il devrait donc en �tre de m�me. Et bien c’est presque le cas : nos bonnes vieilles �lections manuelles remplissent tous les crit�res :

La reproductibilit� : il y a un doute on recompte.
La tra�abilit� : on ne remonte pas jusqu’� l’�lecteur, par contre jusqu’au bureau de vote. Ce qui permet d�j� de rep�rer les coups fourr�s.
L’int�grit� : il y a beaucoup de contr�les. Vous ne pouvez par exemple pas intervertir deux urnes en fin de scrutin car les bulletins seront recompt�s. Pareil pour ce qui est de remplir les urnes de bulletin : il faut signer le registre. Pour chaque bulletin ajout� il vous faut en enlever un. Mais l’urne est sc�ll�e.

Avec le vote �lectronique :

Reproductibilit� : il y a un doute... On relance le programme sur les m�mes donn�es ? Absurde ! Il y a le fantasme du log papier v�rifiable par l’�lecteur mais cela serait probablement aussi efficace contre les fraudes qu’un contr�le antidopage apr�s une �preuve de cyclisme. Donc pas de reproductibilit�.
Tra�abilit� : si il y a fraude, le fraudeur peut �liminer la plupart des traces facilement. Les administrateurs syst�mes sont souvent confront�s � des logs modifi�s par des hackers. Bref, en cas de fraude, pas de tra�abilit�. Sinon elle est probablement meilleure qu’avec un vote papier.
Int�grit� : c’est la m�me machine qui valide les votes, compte les voix et compte les �lecteurs. Si elle est compromise, il n’y a plus de contr�le d’int�grit� possible. Donc pas d’int�grit� � moins que chaque tache soit s�par�e et enti�rement confi�e � un prestataire technique diff�rent et ind�pendant des autres (y compris au niveau de la capitalisation).

Conclusion

Le vote �lectronique pose donc probl�me car il est impossible m�me pour des experts de garantir qu’une e-election va bien se d�rouler. Le grand public n’a quant � lui aucun moyen de le savoir. Comment demander au peuple d’accorder sa confiance � des experts qui ne peuvent pas accomplir leur mission. La confiance perdue, il n’y a plus de d�mocratie. J’esp�re donc que le vote �lectronique ne sera jamais d’actualit� en France et je vous invite � parler autour de vous de ses dangers.

210 r�actions

Commentaires: 0 | 100 | 200

Marc Bruxman 24 août 2006 01:17

Pour ce qui est des r�sultats pr�ts pour le 20h, il faut savoir que les sondages effectu�s en sortie d’urnes ne se trompent pas contrairement aux autres. Ils ont une marge d’erreur tr�s faible. Le seul cas d’erreur connu a eu lieu aux Etats Unis pour la derni�re �l�ction de Bush... Notamment dans les �tats qui votaient �l�ctroniquement... Brrrr....

Oui pour la v�rification manuelle al�atoire d’une partie des bornes en fin de papier si il y a eu un audit papier v�rifiable par le votant. Je pense que cela r�duit en effet beaucoup les risques. A condition d’en v�rifier sufisamment. Et dans ce cas, l’organisation du scrutin risque quand m�me de couter cher.

R�pondre Lien permanent

Philgri (---.---.140.100) 24 août 2006 08:22

Vincent,

Tout d’abord merci de me reprendre sur mes fautes d’orthographes. Ma dyslexie est effectivement un lourd handicape pour l’�criture, il en est une superbe qualit� d’en d’autres domaines... et je n’est plus le temps de me relire sur ce genre de sujet. De plus, int�ressons-nous sur le fond et non plus de la forme.

Ton raisonnement, je ne le mets absolument pas en doute et il est plus qu’int�ressant. Mais ce qui me d�range, c’est cette philosophie des ann�es 70, ou les informaticiens sont toujours tr�s s�rs d’eux et de leurs concepts, jusqu’au jour o� un petit malin rentre et casse le syst�me.

Alors, on corrige, on colmate, on complique... rien n’y fait. C’est une boucle sans fin...

La s�cu informatique se repose tout simplement sur la Physique fondamentale et non pas sur un concept ou un langage !

C’est le message que je fais passer. Le ton est dur parfois, mais je ne me permettrais jamais de mettre les personnes dans des cases !

Je vulgarise, car le plus grand nombre doit comprendre. Aucun informaticien n’est capable de se sp�cialiser dans tous les domaines qu’induit cette profession. Et une connaissance g�n�rale ne suffit plus.

Le plus grave c’est que jour apr�s jour, l’info envahit nos syst�mes de fonctionnement et que nous ne pouvons d�j� plus nous en passer. Clash assur� pour certain.

D’autres pensent que les Banques ne se font pas Hacker ! C’est s�r, elles ne vont pas le crier sur tous les toits !

Par contre quant un op�rateur tombe alors l� on se dit tiens je n’ai plus la ligne ! quand cela arrive � deux autres op�rateurs, en moins de trois mois avec leurs serveurs de secours en rideau, vous dite quoi ? l’admin et son �quipe sont dans la merde, ils n’ont pas mang� et dormi pendant trois jours...

Si les serveurs tournent en Open Source sous Linux aujourd’hui, c’est juste une question s�cu fiabilit�. Je ne leur donne pas un six mois pour qu’une belle histoire leur arrive ! D’ailleurs d’apr�s ce que j’ai pu comprendre c’est d�j� arriv� !

Oui, l’info est un bel outil, mais il ne sera jamais parfait ! C’est ce qu’il fait sa faiblesse ! alors que chez l’humain c’est ce qui fait son charme ! voila une diff�rence fondamentale...

Merci � vous tous de vous pr�occuper de ce sujet s�cu en g�n�ral.

Philgri.

R�pondre Lien permanent
Marc Bruxman 25 août 2006 01:41

Quelques derni�res remarques avant que ce sujet passe dans l’oubli num�rique.

Il est faux de croire qu’avoir prouv� le syst�me th�oriquement apporte n�c�ssairement la s�curit�. Le fait de proposer des solutions techniques jusqu’� ce que l’une d’entre elle semble inviolable en th�orie est donc dangereux car cela semble l�gitimer le fait que l’on pourrait �tre sur de la viabilit� d’une solution. C’est faux.

Lorsque l’on prouve une application de fa�on th�orique, on va la plupart du temps r�aliser des abstractions qui permettent de s’�loigner des contraintes bassement mat�rielles. Les chercheurs en crytographie ont notamment appris � leur d�pends que des algorithmes prouv�s comme �tant tr�s fiables pouvaient �tre impl�ment�s de fa�on maladroite et voir leur s�curit� compl�tement d�truite. Seulement il n’y a qu’une petite poign�e de personnes dans le monde qui vont le remarquer. On se retrouve dans un cas ou l’algo a �t� prouv� comme sur. Cet algo a �t� impl�ment� (mal mais c’est parfois dur � voir) et pourtant le r�sultat est profond�ment ins�cure.

De fa�on g�n�ral quelques tours de passe passe en mati�re de programmation syst�me ont souvent mis � mal des syst�mes informatiques complexes. La plupart des programmeurs d’applications n’ont aucune notion de programmation syst�me et il est assez facile pour eux de faire une erreur. Il existe tr�s peu de v�ritables experts en programmation syst�me et ils sont tous employ�s.

De m�me quel que soit mon respect pour les chercheurs qui sont derri�res le projet Coq (http://en.wikipedia.org/wiki/Coq) et l’utilit� de ce logiciel je ne prendrai pas le risque de l’utiliser dans le cadre du vote �l�ctronique.

Enfin, en mati�re de s�curit� comme en mati�re de g�nie logiciel, les designs les plus simples sont g�n�ralement les plus fiables. Rajouter 5 couches de complexit� et augmenter les points de controles vont plus augmenter les risques que les r�duires. De fa�on g�n�rale, une application avec un design tr�s complexe va etre un �chec cuisant en mati�re de conduite de projet et apr�s en mati�re d’exploitation. A l’inverse si les architectes ont r�ussi � maintenir un design tr�s simple, cela sera fiable et efficaces. A cet effet, regardez la fa�on dont ont �t� cr�e les protocoles de routages sur internet (BGP) : Design simple et �l�gant. Algorithme trivial pour quiquonque � des bases de th�orie des graphes. Et pourtant non seulement ca marche mais les specs n’ont pas �t� retouch�es depuis des ann�es.

Tout ca pour dire que quand je vois : Alors truc avec un RFID + controle biom�trique + cryptage + x + y + ... je dis STOP avant la fin.

R�pondre Lien permanent
Philgri (---.---.236.175) 25 août 2006 07:17

Un simple court-jus suffit... bon on aura pr�vu. Un retour de masse. Aussi. Un rayonnement magn�tique. D’accord. Et un bon coup de marteau sur la machine ?

Bon simpliste... Mais efficace.

Ce qui ne m’emp�che pas d’appr�cier ces analyses...

Philgri.

R�pondre Lien permanent
Chantal Enguehard (---.---.99.103) 3 septembre 2006 18:21

Bonjour,

j’ai lu avec int�r�t votre article qui me para�t tr�s pertinent.

Je me demandais juste pourquoi vous qualifiez la preuve papier v�rifiable par l’�lecteur de fantasme. Cette solution me paraissait « acceptable », mais peut-�tre ai-je rat� quelque chose...

CE

R�pondre Lien permanent
sixrepublique (---.---.102.41) 6 septembre 2006 17:10

http://blogs.aol.fr/sixrepublique/sixiemeRepublique2007

prenons un systeme electronique tr�s simple et votez avec un bultin papier en plus ,pour voir si c’est fiable ,pour un essai.

R�pondre Lien permanent
echarp (---.---.133.96) 10 octobre 2006 16:57

Il y a une et une vraie solution avec laquelle presque tous ici seront d’accord : la transparence absolue.

Si toutes les informations sont connues et transparentes, y compris la relation entre un participant et ses votes, alors on pourra presque ais�ment faire confiance au syst�me.

N’est ce pas ?

http://leparlement.org/security

On peut utiliser parlement en fran�ais ici : http://leparlement.org/fr

R�pondre Lien permanent
Dominique Boscher (---.---.119.205) 12 novembre 2006 22:37

Le vote �l�ctronique n’est peut-�tre pas la solution universelle mais c’est une solution �conomique et d�mocratique. Il suffit de mettre des gardes-fous pour en garantir la validit� : validation du vote que si la majorit� est enregistr�e avec une marge d’erreur et confirm�e par diff�rents instituts de sondages reconnus par les principales forces politiques en pr�sence... S’il y a un probl�me il y a toujours une solution sinon il n’y aurait pas de probl�mes : voyez le site www.realisme.org.

R�pondre Lien permanent
peufeu (---.---.102.87) 27 février 2007 09:07

J’ai lu des articles d�crivant le piratage par des chercheurs des machines � voter am�ricaines. �difiant.

Il est impossible de garantir qu’un syst�me informatique (mat�riel + logiciel) est inviolable. Mais il est tout � fait possible d’�valuer son niveau de s�curit�, de nul � excellent.

Ensuite, on compare le niveau de s�curit� au niveau de confiance accord� au syst�me, et on en d�duit sa dangerosit�.

Un syst�me pas ou peu s�curis�, dans lequel ne circule aucune information confidentielle (parce qu’on sait qu’il n’est pas s�curis�, donc on ne lui fait pas confiance) ne comporte pas de risque.

Par exemple, si je me penche � la fen�tre et crie quelque chose � mon pote qui passe dans la rue, tout le monde l’entend, mais on s’en fout : je lui dis de passer prendre l’ap�ro, une information non confidentielle et qui n’int�resse personne.

Un syst�me dans lequel on a confiance est beaucoup plus dangereux.

Pour un type comme moi, ou vous, le principe de pr�caution de base est qu’un syst�me inconnu est par d�faut « insecure » jusqu’� preuve du contraire.

Ici se pose un autre probl�me : le p�kin moyen qui utilise la machine est incapable d’en �valuer le niveau de s�curit�. Or son utilisation est obligatoire. De plus, le p�kin moyen n’est pas sensibilis� au principe de pr�caution informatique. Nos hommes politiques non plus.

Pour ce qui est des machines � voter am�ricaines, n’importe qui ayant des connaissances en s�curit� informatique est capable, au vu des sp�cifications (sans m�me regarder le code source) de conclure que le niveau de s�curit� est au niveau « n�glicence criminelle ».

Il appara�t que ces machines n’ont pas �t� con�ues par des gens conscients des divers probl�mes de s�curit� :

- Tout le logiciel a �t� cod� en assembleur par des neuneus :L’utilisation d’un langage de plus haut niveau (Java, Python) �limine de fait plusieurs classes de trous de s�curit� (buffer overflow, integer overflow notamment).
- Ils ont impl�ment� leur propre langage : Une erreur de d�butant.
- La machine ex�cute un programme qui se trouve sur la carte : On pense imm�diatement « Danger ! »
- N’importe qui avec des comp�tences suffisantes en �lectronique et informatique est capable, avec des composants du commerce, de modifier le programme �crit sur la carte de mani�re ind�tectable (un lecteur de poche + un PDA suffisent) : alerte rouge !

Bref, ces machines ont �t� con�ues par des incapables, et ceux qui ont men� l’appel d’offre et choisi ces machines sont aussi des incapables, ou bien avaient int�r�t � trafiquer les r�sultats.

Je pense donc qu’il est absolument inenvisageable d’utiliser actuellement des machines � voter car :

- Les comp�tences du gouvernement en mati�re de technologies de l’information sont ridicules : on ne peut donc avoir aucune confiance en leur choix de mat�riel
- Le commanditaire de l’op�ration a int�r�t � trafiquer les r�sultats.

La confiance que l’on doit avoir dans le syst�me est donc la m�me que celle que l’on a pour celui qui l’a mis en place, c’est-�-dire un politicard v�reux.

Si le but est de gagner du temps et de l’argent sur une �lection, tout en ayant une s�curit� presque parfaite :

- le support d’information contenant le vote doit �tre contr�lable visuellement par l’utilisateur.

Exemple : une machine avec un joli �cran tactile en couleur crache une carte avec le vote dessus. Les cartes ne sont pas imprim�es par la machine, celle-ci ajoute juste le vote dessus.

On supprime l’enveloppe : le vote est mat�rialis� par un point dans une case correspondant au candidat, avec une encre visible seulement aux UV. Un tube UV permet � l’�lecteur de v�rifier son vote. Mais les gardiens de l’urne ne peuvent pas le voir. Le vote reste secret.

Autre option, le vote est un trou (plus s�r) et la carte se plie pour le cacher.

L’utilisateur est certain que son bulletin est conforme � ses intentions, m�me si la machine est hack�e.

- les cartes sont recompt�es par deux autre machines, construites par des fabricants diff�rents.

- un certain pourcentage des urnes sont recompt�es � la main. Puisque le but est de gagner du temps, si on recompte 5% des bulletins � la main, on aura gagn� 95% du temps de recomptage.

Mais il faut que personne ne sache quelles urnes seront recompt�es ou non (sinon les machines � recompter seraient programm�es pour hacker les r�sultats en fonction de cette info).

Donc, � la fin de l’�lection, les t�moins tirent au hasard (aux d�s ou � la pioche) quelle urne sera recompt�e.

On arrive � un syst�me s�curis� m�me si :
- toutes les machines sont compromises,
- des tra�tres sont pr�sents parmi les t�moins (tant qu’ils ne sont pas en majorit�).

De plus, en cas de contestation, les bulletins peuvent �tre recompt�s.

R�pondre Lien permanent
Democratie 13 mars 2013 16:14

Cela ne prend pas en compte le syst�me de boitier de vote �lectronique nominatif et la dimension de l’open source qui sont fondamentales.
Concernant la s�curisation de la proc�dure de vote le site http://i-pericles.com prend en compte ce crit�re afin d’assurer la fiabilit� des votes.

R�pondre Lien permanent

Commentaires: 0 | 100 | 200

Vote �lectronique : la fin de la d�mocratie

210 r�actions

R�agir