Vote par Internet

Un article du dossier Concepts > Cyberdemocratie
màj : 30 mar. 2018

Nature du vote électronique

vote-electronique.jpg

Lorsque l'on compare les systèmes de votation (que ce soit pour des élections ou des référendums) il est de coutume de distinguer systèmes "traditionnels" et "électroniques".

Nous définissons un système de votation "traditionnel" par quatre propriétés : (i) identification physique dans bureau de vote, (ii) vote crayon sur bulletin papier dans isoloir, (iii) dépôt bulletin sous enveloppe dans urne transparente, (iv) comptage manuel.

Nous disons qu'un système de votation est "électronique" dès qu'une de ces quatre opérations implique une numérisation des données.

La notion de vote "électronique" peut donc recouvrir des implémentations très différentes selon le nombre d'opérations du vote traditionnel qui sont numérisées. Le vote par Internet est la forme la plus numérisée (100%).

La numérisation implique l'utilisation de machines électroniques (serveur, terminal, imprimante, ...) équipées de logiciels (base de données, cryptographie, ...). En outre dans un système informatique les machines peuvent être reliées à un réseau, par des câbles ou des ondes radio (wifi).

  • Estonie, pionnier du vote par Internet. Depuis 2005 les Estoniens ont la possibilité de voter par Internet, en s'identifiant au moyen de leur carte d'identité électronique. Le taux de vote via Internet est passé de 9% en 2005 à 30% en 2015 [source].
  • Les Français installés à l'étranger ont la possibilité de voter par Internet [source].

Motivations du vote via Internet

vote-internet.jpg

Malgré les appels à la prudence exprimés par de nombreux informaticiens le vote via Internet suscite de plus en plus d'intérêt :

  • certains politiciens voient - à tort ou à raison - dans le vote par Internet ("télévote") un moyen pour stopper la baisse tendancielle du taux de participation aux élections (qui mine la légitimité de la classe politique) ;

  • le personnel administratif en charge des élections voit dans le "vote électronique" un moyen de rationaliser ses méthodes (vitesse, charge de travail, ...) ;

  • enfin pour les partisans de la démocratie directe un système de votation via Internet permettrait :

    • d'organiser beaucoup plus souvent des référendums, et à un coût très inférieur à celui du système traditionnel ;
    • de décentraliser le fonctionnement, la gestion et le contrôle démocratiques des systèmes de votation.

On notera les espoirs contradictoires de la classe politique d'une part et des partisans de la démocratie directe d'autre part selon l'usage qui est fait des votations : élections vs référendums.

Qu'en est-il exactement des risques évoqués par les experts en informatique ? Quelle est la stratégie la plus rationnelle en matière de modernisation des systèmes de votation ?

Sécurité informatique

Enguehard définit la sécurité d'un système informatique comme la conjonction de :

  • la sûreté : ensemble des moyens matériels, humains et organisationnels visant à éviter ou contrer toute attaque malveillante ;
  • la fiabilité : capacité d'un système à fonctionner sans erreur et sans tomber en panne (les causes possibles étant de trois types : défaillances matérielles, erreurs de conception (bug), erreurs de manipulation).

Une technologie encore peu efficace. En 2007, sur un échantillon de référence de 1600 journées de bureaux de vote équipés en OdV-BD et 2400 pratiquant le vote à l'urne, 30% des bureaux de vote équipés en OdV-BD ("Ordinateurs de Vote avec Bulletin Dématérialisé") présentaient un nombre de votes différent du nombre d'émargements, cette proportion est de 5% pour le vote à l'urne [source]. PS : ces chiffres dates de 2007, la sécurité des OdV-BD a très probablement été améliorée.

Vote électronique VS vote traditionnel

vote-papier.jpg

Un nombre important d'informaticiens spécialistes du vote électronique estiment que dans l'état actuel des technologies les systèmes de votation via Internet n'offrent pas encore de garanties satisfaisantes, notamment en matière de sécurité et transparence. Il serait possible d'opérer à faible coût des fraudes massives et non détectables.

Se pose également la problématique de la faisabilité d'identification et de preuve d'une fraude ou erreur par ceux qui l'ont constatée, ce qui, à l'instar de la nécessaire possibilité de recomptage des votes, requiert de doubler l'enregistrement électronique par un enregistrement sur papier.

Erreurs et fraudes. Concernant la vulnérabilité d'un système il convient de distinguer fraude (sûreté du système) et erreur (fiabilité du système). Dans les deux cas il peut s'agir de modification, perte ou ajout de données.

Systèmes complexes. Selon Ken Thomson, co-concepteur du système UNIX : « You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code. (...) As the level of program gets lower, these bugs will be harder and harder to detect. A well installed microcode bug will be almost impossible to detect » [source].

Le caractère open source d'un logiciel n'est donc pas une garantie absolue contre les erreurs et fraudes. Il convient cependant de relativiser les propos de Ken Thomson par le fait que si elle peut certes s'avérer difficile l'identification de bugs demeure possible et le deviendra de plus en plus avec le développement de l'intelligence artificielle.

Privatisation et opacité. Englehart fait remarquer que « La procédure de vote à l'aide d'un ordinateur dont le résultat est invérifiable, et qui est entièrement contrôlé par une entreprise privée peut être représentée par une analogie : il faut imaginer que le vote se déroule selon la procédure habituelle à l'aide de bulletins papier, mais que le dépouillement des bulletins soit réalisé par une entreprise privée qui emporterait les bulletins, sans que quiconque puisse contrôler ce dépouillement, et qu'il soit impossible d'obtenir les bulletins afin d'effectuer une vérification. Il s'agit bien d'une confiscation du contrôle du vote qui échappe alors aux citoyens pour être confié (par le pouvoir politique) à une entreprise privée. (...) Le discours des spécialistes de la sécurité informatique a été largement occulté par celui des industriels qui ont réussi à largement influencer la rédaction des textes officiels régentant l'utilisation des ordinateurs de vote. » [source].

Critères pour une votation démocratique

Pour être qualifiée de démocratique une votation doit respecter les six principes suivants [source] :

  1. transparence : le recueil des votes et leur totalisation doivent être compréhensibles et visibles par tout citoyen ;
  2. confidentialité : chaque électeur doit pouvoir effectuer son choix seul, en toute intimité;
  3. anonymat : il doit être impossible de relier un bulletin de vote à l'électeur qui l'a choisi et mis dans l'urne ;

    Étrangement, les votes des parlementaires au Parlement ne sont pas soumis à la règle d'anonymat ... [source].

  4. unicité : chaque électeur peut voter une et une seule fois ;
  5. convivialité : le système de vote ne doit pas gêner l'expression de l'intention de vote (personnes âgées, malvoyants, etc) ;

    On notera à cet égard que l'assistance des votants par des aidants n'est pas compatible avec le principe de confidentialité.

  6. sincérité : sans fraude ni erreur.
e-voting vs
e-banking

Si l'on peut effectuer des paiements par Internet de façon relativement sécurisée, pourquoi ne pourrait-on faire de même avec les votes ? La réponse à cette question doit prendre en compte certaines exigences légales propres aux votations, qui ne s'appliquent pas au commerce, et qui rendent la sécurisation du e-voting nettement plus complexe que celle du e-commerce. Parmi ces exigences légales on citera notamment le secret du vote [1] et l'interdiction du commerce de votes.

D'autre part le "business modèle" en matière de gestion des risques diffère considérablement de celui du e-commerce où les solutions sont acceptées par toutes les parties prenantes. Ainsi les banques dédommagent généralement leurs clients victimes de hackers, et reportent sur l'ensemble de leurs clients les coûts considérables du hacking et de la sécurisation en les incorporant dans leurs tarifs. Or ce type de gestion du risque n'est pas applicable au vote via Internet, notamment en raison des spécificités légales du vote.

Enfin les exigences en matière de précision des résultats d'une votation ne tolèrent pas de marges d'erreurs dès lors qu'une seule voix peut faire la différence (NB : outre les fraudes il y a aussi les erreurs de traitement des données) [source].

Une autre comparaison doit cependant être faite, cette fois avec le vote traditionnel.

e-voting vs
vote papier

Si l'on déployait à l'égard du vote traditionnel le même sens critique que celui déployé (à juste titre) à l'égard du vote par Internet, ne devrait-on pas en tirer des conclusions très similaires en matière de sécurité et transparence, notamment lorsque l'on prend en compte l'entièreté du processus allant du vote jusqu'à l'annonce des résultats ?

Dans le système de vote traditionnel avez-vous la possibilité de vérifier personnellement et de façon crédible qu'il n'y a pas eu modification des résultats au niveau de la concentration des résultats de l'ensemble des bureaux de vote, là où n'y a plus que quelques personnes qui traitent les données ? (et de façon informatique !). Un gouvernement mal intentionné n'est-il pas en mesure de manipuler les résultats finaux à l'insu de la quasi totalité de la population ? Supposez par exemple que le résultat d'une élection en procédure traditionnelle infirme celui unanime d'instituts de sondage, et qu'au sommet de la pyramide de traitement des résultats des malversations sont opérées afin de confirmer ces sondages pré-électoraux. Existe-t-il des procédures qui neutralisent ce risque, et dans l'affirmative quelles sont-elles ?

Ainsi Enguehard reconnaît que « le périmètre d'une étude portant sur les élections peut aller jusqu'à englober la préparation des listes électorales, la campagne des candidats ou encore la proclamation des résultats. Nous nous concentrons ici sur les bulletins de vote que nous observerons depuis la communication du matériel de vote aux électeurs jusqu'au comptage des voix » [source].

Selon nous la problématique ne se situe pas qu'au niveau du type de système de votation ("traditionnel" VS "Internet") mais aussi - et peut-être surtout - à celui des systèmes de votation de masse en général, indépendamment du mode plus ou moins technologique de leur implémentation. En effet, à la lecture des rapports d'experts, on se rend compte que certains facteurs d'insécurisation et d'opacité se retrouvent dans tous les systèmes de votation, traditionnels comme électroniques, et en particulier :

  • la fraude par des « insiders », que ce soit au niveau du transfert, stockage, centralisation et comptage des résultats des bureaux de vote ;
  • l'absence de réelles possibilités pour le citoyen de vérifier (individuellement et collectivement) que son vote a été correctement traité.

En fait l'écrasante majorité des cas de fraude en informatique n'ont pas pour cause des défaillances technologiques mais bien organisationnelles [exemple1, exemple2]. D'autre part force est de constater que le système de votation traditionnel bénéficie d'un préjugé favorable, relativement aux systèmes électroniques, sans que cela soit pourtant justifié [exemple].

Nous ferions donc un grand pas en avant si le (certes salutaire) débat concernant les risques du vote électronique (erreurs et fraudes) était élargi à celui de la crédibilité des systèmes de votation en général, qu'ils soient traditionnels ou électroniques. Il ne s'agit donc pas d'abaisser les exigences en matière de vote électronique, mais d'élever à leur niveau les exigences – certes de nature différente – en matière de vote traditionnel ! C'est là précisément un des objectifs de democratiedirecte.net : éviter une fixation sur la seule forme d'implémentation (traditionnelle vs électronique), fixation ayant pour effet que nous négligeons la problématique de fond, en particulier la conception des systèmes de votation (cf. chapitre "Méthodologie").

Double
option

Une particularité importante de la méthodologie proposée par nous est de mettre en concurrence deux implémentations du système de DD : l'une sans vote électronique (implémentation "blanche") [2], et l'autre utilisant toutes technologies disponibles (implémentation "noire") [3]. L'intérêt d'envisager les deux types d'implémentation est de prendre en compte le risque technologique ainsi que les abus du technologisme, tout en ne fermant pas la porte aux potentialités des nouvelles technologies (présentées dans la section suivante).

Systèmes
ouverts

Une condition nécessaire (mais non suffisante) à vérifier par les systèmes de votation - traditionnel comme électronique - devrait être le principe d'ouverture, aussi bien au niveau du matériel que des logiciels, et cela à toutes les étapes procédurales (cf. le modèle OSI pour ce qui concerne les transactions informatiques en réseau). Ce principe est incompatible avec les technologies dites "propriétaires" (secret commercial, brevets, ...) développées par des entreprises privées (d'où la nécessité d'entreprises publiques pour garantir la disponibilité de logiciels et matériels ouverts).

Conditionnement
médiatique

Un autre risque très sous-estimé (et pourtant au moins aussi réel) se situe en amont du processus de votation. Il s'agit des technologies psycho-sociales d'influence des masses via la télévision et Internet [exemple1, exemple2]. Ces manipulations influencent le résultat des votations, traditionnelles comme électroniques (NB : ainsi que l'opinion des représentants, qu'ils soit élus par votations ou tirage au sort ...).

Bien sûr cela vaut aussi bien pour le vote traditionnel qu'électronique. Mais à cela près que les votations via Internet, pouvant être beaucoup plus fréquentes que les quelques élections et (encore plus rares) référendums du système traditionnel, le coût d'influence de cette masse de votation est nettement plus élevé en cas de généralisation des votations par Internet (cf. le concept de référendum automatique).

Technologies de conditionnement des masses

Internet
et les USA

Internet - qui fut conçu par l'armée US dans les années 1970 sous le nom d'Arpanet - est toujours sous le contrôle du gouvervement US [approfondir : Arpanet, ICANN, Serveur racine du DNS, Suite des protocoles Internet]. Ainsi le gouvernement peut facilement intercepter les données transitant sur "son" réseau, ce qu'il ne se prive pas de faire [exemple]. A cela s'ajoute le quasi monopole de fait des sociétés US dans les nouvelles activités apparues sur Internet (constatez : France, Belgique, Suisse). Or les liens étroits qui unissent traditionnellement la CIA et les grandes sociétés US font de celles-ci d'officieuses agences gouvernementales [exemple1, exemple2, exemple3, exemple4, approfondir].

Commander
des humains
à distance

Des technologies permettant de commander des humains à distance existent depuis au moins 2013 [source]. Des développeurs ont déclaré (cf. source ci-avant) : « il n'y a absolument aucune possibilité d'utiliser notre système sur une personne qui ne serait pas consentante ». On notera cependant qu'ils n'affirment cela que pour leur système. En outre d'autres technologies ont démontré (2014) qu'il est possible de forcer un animal à agir contre sa volonté. Il fait donc peu de doute que cela sera bientôt possible sur des humains [source]. Où en sont ces technologies aujourd'hui ?

Conclusion

Maturité. Le vote électronique (dont le vote via Internet) ne présente pas dans l'état actuel des technologies un niveau de sécurité suffisant pour une utilisation à grande échelle (relativement au référentiel que constitue le vote traditionnel).

Échelle. Il est cependant moins difficile d'atteindre un niveau de sécurité déterminé pour une votation organisée dans l'intranet d'une coopérative locale que pour une votation nationale via Internet.

Quantique. La cryptographie quantique va très bientôt transformer l'actuel paradigme de sécurité, par l'abandon du mythe de système inviolable, et son remplacement par le principe d'identification systématique et immédiate de toute lecture et modification des données et du code d'un système informatique.

Croyance. La réputation de sécurisation des systèmes de vote traditionnels repose-t-elle sur des faits objectifs où des croyances ? La question est d'autant plus pertinente si l'on intègre dans cette évaluation le processus de concentration des résultats de l'ensemble des bureaux de vote.

Avancer. Nous pensons que le vote électronique via Internet pourrait, dans un futur relativement proche, constituer une alternative plus sécurisée et transparente que le vote traditionnel. L'option donnée systématiquement aux citoyens de choisir en vote traditionnel et électronique, comme c'est le cas en Estonie, permet d'identifier les problèmes et d'implémenter des solutions. Si le risque encouru en vaut ou non la peine est une question de choix politique.

Article connexe : Décision collective automatique (DCA)

[1] Deux aspects du vote secret sont la confidentialité (l'acte de vote ne peut être observé par un tiers) et l'anonymat (le lien ne peut être fait entre bulletin de vote et identité du votant) [source].

[2] Par exemple chaque quartier/village pourrait disposer d'un bureau de vote permanent, ce qui permettrait de procéder en permanence à des référendums. On notera une grande similitude de fonctionnement entre bureaux de poste et bureaux de votation : dans les deux cas il s'agit de collecter des données (lettres - votes), puis de les concentrer pour les traiter (dispatching - calcul), et enfin de les redistribuer (individuellement - publication).

[3] Depuis 2005 les Estoniens ont la possibilité de voter via Internet, en s'identifiant au moyen de leur carte d'identité électronique. Le taux de vote via Internet est passé de 9% en 2005 à 30% en 2015 [source].