Vote par Internet

Un article du dossier Concepts > Cyberdemocratie
màj : 13 août 2018

Définition du vote électronique

vote-internet.jpg

Lorsque l'on compare les systèmes de votation (que ce soit pour des élections ou des référendums) il est de coutume de distinguer systèmes "traditionnels" et "électroniques".

Nous définissons un système de votation "traditionnel" par quatre propriétés : (i) identification physique dans bureau de vote, (ii) vote crayon sur bulletin papier dans isoloir, (iii) dépôt bulletin sous enveloppe dans urne transparente, (iv) comptage manuel.

Un système de votation pourrait donc être qualifié d' "électronique" dès qu'une de ces quatre opérations implique une numérisation des données.

La notion de vote "électronique" peut donc recouvrir des implémentations très différentes selon le nombre d'opérations du vote traditionnel qui sont numérisées.

La numérisation implique l'utilisation de machines électroniques (serveur, terminal, imprimante, ...) équipées de logiciels (base de données, cryptographie, ...). En outre dans un système informatique les machines peuvent être reliées à un réseau, par des câbles ou des ondes radio (wifi).

Le vote par Internet est généralement la forme la plus numérisée, mais peut recouvrir des modalités technologiques très différentes (et qui déterminent les performances du système de votation) :

  • centralisé vs décentralisé ;
  • protocole : http, mail, ...
  • identification : par toile de confiance, par puce électronique (sur carte ou d'autres supports), ...
  • cryptographique : symétrique vs asymétrique, quantique, post-quantique, ...

Pour approfondir ces notions, voir Identification et authentification sur Internet.

Développement du vote par Internet

Le vote par Internet, évolution la plus récente du vote électronique, représente un changement de paradigme en matière de votations, en rendant possible leur organisation décentralisée, que ce soit pour des élections ou des référendums. N'importe quel citoyen ou groupe de citoyens pourrait organiser lui-même une votation ! La porte est donc grande ouverte à la démocratie directe (NB : il n'est pas certain que la classe politique soit sincèrement favorable à cette évolution ...).

En Estonie, pays pionnier du vote par Internet, les citoyens ont depuis 2005 la possibilité de voter par Internet, en s'identifiant au moyen de leur carte d'identité électronique. Le taux de vote via Internet est passé de 9% en 2005 à 32% en 2017 [source]. Il n'y a cependant pas eu d'augmentation significative du nombre de référendums, la classe dirigeante n'y semblant pas favorable.

Les Français installés à l'étranger ont déjà la possibilité de voter par Internet en alternative au vote traditionnel [source]. Dans son rapport sur le vote électronique le Sénat français note que « le législateur doit nécessairement prendre en compte le fait que les conditions concrètes de vote pour un électeur français à l’étranger et sur le territoire national sont indéniablement différentes. Si la proximité entre l’électeur et le bureau de vote est assurée en France grâce au maillage des bureaux de vote, le réseau de ces bureaux à l’étranger, qui épouse celui de l’administration consulaire, ne peut en aucun cas se prévaloir de la même intensité. Il existe même un coût financier pour l’électeur expatrié qui souhaite exercer son droit de vote. Dans certains cas, l’impossibilité matérielle ou liée à des considérations géopolitiques est manifeste » [source p. 52].

On notera enfin que le vote électronique est plus largement utilisé dans des organisations privées : élections professionnelles (élections des délégués, des membres du comité d’entreprise, etc.), juridiques (chambres de commerce et d’industrie, conseil de l’ordre des infirmières…), ou encore au sein de sociétés (MAIF par exemple), d’associations, de fédérations sportives [source].

Coûts et sécurité du vote électronique

Coûts

L'effet du vote électronique sur le coût des votations (élection ou référendums) n'est pas évident : à priori l'automatisation est source d'économies, mais le coût total doit prendre en compte les frais inhérents aux systèmes électroniques : assistance technique, formation, entretien, mise à niveau, ...

Sécurité

Le recours au vote électronique – même limité aux machines à voter dans les bureaux de vote – pose la question de la sécurité informatique. Enguehard définit la sécurité d'un système informatique comme la conjonction de :

  • la fiabilité : capacité d'un système à fonctionner sans erreur et sans tomber en panne, les causes possibles étant de trois types :

    • défaillances matérielles ;
    • erreurs de conception (dont la neutralisation inefficace du rayonnement cosmique) ;
    • erreurs de manipulation.
  • la sûreté : ensemble des moyens matériels, humains et organisationnels visant à éviter ou contrer toute fraude ou attaque.

Dans les deux cas il peut s'agir de modification, perte ou ajout de données.

vote-electronique.jpg

Une machine à voter dans un bureau de vote

Une technologie pas encore mature ? Une étude statistique réalisée en France sur les élections politiques qui se sont déroulées entre 2007 et 2012 montre que l’introduction de machines à voter dans des bureaux de vote a entraîné une diminution de la précision : les écarts entre nombre de votes et nombre d’émargements sont plus fréquents et d’ampleur plus importante qu’en l’absence de machine à voter [source].

Critique du vote électronique

vote-papier.jpg

Un nombre important d'informaticiens spécialistes du vote électronique estiment que dans l'état actuel des technologies les machines à voter utilisées dans les bureaux de vote n'offrent pas encore de garanties satisfaisantes, notamment en matière de sécurité et transparence. Selon eux il serait possible d'opérer à faible coût des fraudes massives et non détectables.

Cependant, selon Enguehard, au-delà de l’hypothèse d’une attaque contre le système informatique, possible mais rare, le principal danger provient d’un bogue informatique [source p. 47].

Mais qu'il s'agisse de piratage, erreur humaine, ou défaillance matérielle, le risque serait maximal pour le vote par Internet, que ce soit au niveau du terminal (par exemple un smartphone), lors de la transmission du vote vers le serveur, ou encore lors du traitement des votes par le serveur. Le risque est démultiplié lorsque le matériel et les logiciels ne sont pas conçus et utilisés exclusivement pour la fonction de votation (ce qui est malheureusement encore le cas).

Se pose également la problématique de la faisabilité d'identification et de preuve d'une fraude ou erreur par ceux qui l'ont constatée, ce qui, à l'instar de la nécessaire possibilité de recomptage des votes, et dans l'état actuel des technologies, requiert de doubler l'enregistrement électronique par un enregistrement sur papier.

Systèmes complexes. Selon Ken Thomson, co-concepteur du système UNIX : « You can't trust code that you did not totally create yourself (...). No amount of source-level verification or scrutiny will protect you from using untrusted code. (...) As the level of program gets lower, these bugs will be harder and harder to detect. A well installed microcode bug will be almost impossible to detect » [source].

Le caractère open source d'un logiciel n'est donc pas une garantie absolue contre les erreurs et fraudes. Il convient cependant de relativiser les propos de Ken Thomson par le fait que si elle peut certes s'avérer difficile l'identification de bugs demeure possible et le deviendra probablement de plus en plus avec le développement de l'intelligence artificielle.

Privatisation et opacité. Englehart fait remarquer que « La procédure de vote à l'aide d'un ordinateur dont le résultat est invérifiable, et qui est entièrement contrôlé par une entreprise privée peut être représentée par une analogie : il faut imaginer que le vote se déroule selon la procédure habituelle à l'aide de bulletins papier, mais que le dépouillement des bulletins soit réalisé par une entreprise privée qui emporterait les bulletins, sans que quiconque puisse contrôler ce dépouillement, et qu'il soit impossible d'obtenir les bulletins afin d'effectuer une vérification. Il s'agit bien d'une confiscation du contrôle du vote qui échappe alors aux citoyens pour être confié (par le pouvoir politique) à une entreprise privée. (...) Le discours des spécialistes de la sécurité informatique a été largement occulté par celui des industriels qui ont réussi à largement influencer la rédaction des textes officiels régentant l'utilisation des ordinateurs de vote. » [source].

Quant à François Pellegrini, reprenant le mythe de la caverne de Platon, il souligne que l’électeur « ne peut plus faire confiance à ses sens pour attester de la réalité d’actions immatérielles, se produisant au sein d’équipements informatiques dont seule l’existence peut être attestée, et dont les effets ne sont perceptibles qu’à travers d’autres dispositifs techniques ». En d’autres termes, l’électeur valide son choix sur son ordinateur mais n’a aucune garantie que son vote ait été bien pris en compte, ni que le sens de son vote n’a pas été altéré » [source p. 47].

Enguehard évoque une "nature chimérique du vote électronique", résultant d'une "incompatibilité" (selon cet auteur) entre transparence directe, respect de l'anonymat et dématérialisation des votes [source].

Critères pour une votation démocratique

Pour être qualifiée de démocratique une votation doit respecter les six principes suivants [source] :

  1. transparence : toutes les étapes du processus de votation peuvent être contrôlées (recueil des votes, totalisation, ...) ;
    • Qu'entend-on exactement par "toutes les étapes", en particulier où se situent la première et la dernière étape ?
    • Un système décentralisé de vote par Internet permettrait le développement de techniques de contrôle par tout citoyen, ce qui n'est pas le cas du système de vote traditionnel. Actuellement la transparence des systèmes de vote électronique concerne notamment l'accès public à des documents (code source, rapports, ...) et l'observation de tests.
  2. confidentialité : chaque électeur doit pouvoir effectuer son choix seul, en toute intimité;
  3. anonymat : il doit être impossible de relier un bulletin de vote à l'électeur qui l'a choisi et mis dans l'urne ;
    • Par "secret du vote" on entend confidentialité et anonymat. Le secret du vote neutralise le risque de votes coercitifs ainsi que le développement d'un marché de votes.
    • Étrangement, les votes des parlementaires au Parlement ne sont pas soumis au secret du vote ... [source].
  4. unicité : chaque électeur peut voter une et une seule fois ("un électeur, un vote");
  5. convivialité : le système de vote ne doit pas gêner l'expression de l'intention de vote (personnes âgées, malvoyants, etc) ;

    On notera à cet égard que l'assistance des votants par des aidants n'est pas compatible avec le principe de confidentialité.

  6. sincérité : sans fraude ni erreur, de sorte que le décompte des bulletins permet de proclamer le gagnant choisi par l’ensemble des suffrages qui ont été exprimés.

Selon Enguehard dans la majorité des cas du vote à distance, le principe de confidentialité n’est plus respecté, et la transparence est amoindrie, car les suffrages voyagent dans un canal de transmission qui échappe à la surveillance des scrutateurs.

En France le code électoral a ainsi fixé un certain nombre de règles pour l'utilisation de machines à voter dans les bureaux de vote. Pour être agréées par le ministère de l’intérieur, ces machines électroniques « doivent comporter un dispositif qui soustrait l’électeur au regard pendant le vote, permettre aux électeurs handicapés de voter de façon autonome quel que soit leur handicap, autoriser plusieurs élections de type différent le même jour, enfin permettre l’enregistrement d’un vote blanc. Elles ne doivent pas permettre l’enregistrement de plus d’un seul suffrage par électeur et par scrutin. Elles doivent pouvoir totaliser le nombre des votants sur un compteur qui puisse être lu pendant les opérations de vote, et pouvoir totaliser les suffrages obtenus par chaque liste ou chaque candidat, ainsi que les votes blancs, sur des compteurs qui ne peuvent être lus qu’après la clôture du scrutin. Elles ne doivent pouvoir être utilisées qu’à l’aide de deux clefs différentes, de telle manière que pendant la durée du scrutin, l’une reste entre les mains du président du bureau de vote, l’autre entre celles de l’un de ses assesseurs tiré au sort parmi l’ensemble de ses collègues » [source p. 63].

e-voting vs e-banking

Si l'on peut effectuer des paiements par Internet de façon relativement sécurisée, pourquoi ne pourrait-on faire de même avec les votes ? La réponse à cette question doit prendre en compte certaines exigences légales propres aux votations, qui ne s'appliquent pas au commerce, et qui rendent la sécurisation du e-voting nettement plus complexe que celle du e-commerce. Parmi ces exigences légales on citera notamment le secret du vote et l'interdiction du commerce de votes.

Deux aspects du vote secret sont la confidentialité (l'acte de vote ne peut être observé par un tiers) et l'anonymat (le lien ne peut être fait entre bulletin de vote et identité du votant) [source].

D'autre part le "business modèle" en matière de gestion des risques diffère considérablement de celui du e-commerce où les solutions sont acceptées par toutes les parties prenantes. Ainsi les banques dédommagent généralement leurs clients victimes de hackers, et reportent sur l'ensemble de leurs clients les coûts (considérables) du hacking et de la sécurisation en les incorporant dans leurs tarifs. Or ce type de gestion du risque n'est pas applicable au vote via Internet, notamment en raison des spécificités légales du vote.

Enfin les exigences en matière de précision des résultats d'une votation ne tolèrent pas de marges d'erreurs dès lors qu'une seule voix peut faire la différence. Exemple : « Nous trouvons plus que regrettable que Sébastien Scognamiglio n’ait pu se présenter au second tour des élections cantonales sur le canton nord-est alors même qu’il lui manquait 0,6 voix, chiffre à rapporter aux 4 votes non comptabilisés par les urnes électroniques par rapport aux émargements constatés. Qui peut affirmer que parmi ces erreurs d’enregistrement n’existait pas la voix manquante ? » [Boulogne-Billancourt 2008, source p. 124]]

Une autre comparaison doit cependant être faite, cette fois avec le vote traditionnel.

e-voting vs vote papier

Le Conseil constitutionnel déclare en 2007 : « Certes, l'acharnement déployé dans certains milieux pour jeter le doute sur la crédibilité du vote électronique, suggérer l'existence d'une fraude concertée et inciter au contentieux (des modèles de recours en référé et de réclamations étant diffusés sur Internet) laisse perplexe quant aux mobiles de leurs instigateurs. Il n'en reste pas moins que beaucoup d'électeurs de bonne foi éprouvent eux-aussi un malaise. Celui-ci semble avoir une cause beaucoup plus psychologique que technique. L'usage de l'urne et des bulletins, le dépouillement manuel rendent palpables et familières les opérations électorales. Un contrôle mutuel, visuel, est rendu possible par la présence physique des scrutateurs. Allons plus loin : la participation aux opérations qui se déroulent dans un bureau de vote, que l'on soit assesseur, scrutateur ou simple électeur, associe les citoyens à une sorte de liturgie républicaine. L'intrusion des machines à voter dépossède les citoyens de tout cela. Elle rend opaque ce qui était visible. Elle leur confisque un sacerdoce partagé. Elle met fin à une "communion citoyenne". Elle prive le corps électoral de la surveillance collective des opérations dans lesquelles s'incarne le suffrage universel. Elle rompt le lien sensoriel et symbolique que la pratique "manuelle" du vote et du dépouillement avait tissé. N'est-ce pas cela, au fond d'eux-mêmes, que reprochent leurs détracteurs aux machines à voter ? Et si tel est le cas, les apaisements techniques sont vains. Il ne s'agit pas, bien sûr, de condamner l'usage des machines à voter, mais de tenter de comprendre les ressorts profonds et dignes de considération de la résistance qu'elles rencontrent. Dans ce domaine, comme dans tant d'autres, la société contemporaine doit apprendre à mettre en œuvre le progrès sans sacrifier la tradition » [source].

Il convient donc de nous poser la question suivante : si le vote traditionnel faisait l'objet d'analyses de risque aussi complètes que le vote par Internet, et que la conclusion en était que l'un n'est pas plus fiable que l'autre, qu'en tirerions-nous comme conclusion ? Qu'il faut renoncer à la démocratie ou préférer le vote par Internet au vote traditionnel ?

Ainsi Enguehard reconnaît concentrer son travail critique sur « les bulletins de vote que nous observerons depuis la communication du matériel de vote aux électeurs jusqu'au comptage des voix », alors que « le périmètre d'une étude portant sur les élections peut aller jusqu'à englober la préparation des listes électorales, la campagne des candidats ou encore la proclamation des résultats » [source].

Selon nous la problématique ne se situe pas qu'au niveau du type de système de votation ("traditionnel" VS "Internet") mais aussi – et peut-être surtout – à celui des systèmes de votation de masse en général, indépendamment du mode plus ou moins technologique de leur implémentation. En effet, à la lecture des rapports d'experts, on se rend compte que certains facteurs d'insécurisation et d'opacité se retrouvent dans tous les systèmes de votation, traditionnels comme électroniques, et en particulier :

  • la fraude par des « insiders », que ce soit au niveau du transfert, stockage, concentration des résultats des bureaux de vote ;

  • l'absence de réelles possibilités pour le citoyen de vérifier (individuellement et collectivement) que son vote a été correctement traité du vrai début jusqu'à la vraie fin de la chaîne.

En fait l'écrasante majorité des cas de fraude en informatique en général n'ont pas pour cause des défaillances technologiques mais bien organisationnelles [exemple].

Force est de constater que le système de votation traditionnel bénéficie d'un préjugé favorable, relativement aux systèmes de votation électroniques, sans que cela soit pourtant justifié [exemple].

N'oublions pas que l'utilisation de "machines à voter" (dès 1973 en France, plus tôt aux USA) fut motivée par l'espoir de neutraliser les récurrentes fraudes électorales. Le système électoral traditionnel ne doit donc pas être idéalisé [source p. 11].

Nous ferions donc un grand pas en avant si le (certes salutaire) débat concernant les risques du vote électronique (fraudes, erreurs humaines, défaillances techniques) était élargi à celui de la crédibilité des systèmes de votation en général, qu'ils soient traditionnels ou électroniques. Il ne s'agit donc pas d'abaisser les exigences en matière de vote électronique, mais d'élever à leur niveau les exigences en matière de vote traditionnel (NB : tout en prenant en compte les différences de paradigmes). C'est là précisément un des objectifs de democratiedirecte.net : éviter une fixation sur la seule forme d'implémentation (traditionnelle vs électronique), fixation ayant pour effet que nous négligeons la problématique de fond, en particulier la conception des systèmes de votation (cf. chapitre "Méthodologie").

Quisquater sur le vote électronique(2m14s - 2014)

Ouverture et dédication

Une condition nécessaire à vérifier par les systèmes de votation électroniques devrait être le principe d'ouverture, aussi bien au niveau du matériel que des logiciels, et horizontalement (les étapes procédurales de la votation) que verticalement (cf. les couches techniques du modèle OSI pour ce qui concerne les transactions informatiques en réseau).

Il importe en outre que les agents en charge de la gestion, de la maintenance et du contrôle soient eux-mêmes sous contrôle :

  • l'accès à des informations permettant de lever l'anonymat des votes et d'atteindre à la sincérité des élections (fichiers comportant les éléments d’authentification des électeurs, clés de chiffrement et de déchiffrement, contenu du fichier-urne, ...) par des personnes en charge de la gestion et de la maintenance du système de votation électronique doit être contrôlé ;

  • les constructeurs et organismes certificateurs de matériel & logiciel doivent être soumis à une obligation de transmission des rapports de contrôle.

On notera que le principe d'ouverture est incompatible avec les technologies dites "propriétaires" (secret commercial, brevets, ...) développées par des entreprises privées, d'où la nécessité d'entreprises publiques pour garantir la disponibilité de logiciels et matériels ouverts.

Enfin le matériel comme le logiciel doivent être dédiés spécifiquement à la votation. En cette matière il ne faut pas être trop regardant en matière de coût : le fonctionnement optimal de la démocratie directe conçue comme système d'intelligence collective n'a pas de prix.

Nouvelles technologies

Enguehard note que les procédures de contrôle du vote par Internet sont mal conçues à la base dans la mesure où elles sont des reproductions ignorant la différence de nature entre le vote traditionnel qui opère sur des objets réels (urne, bulletins, ...) et le vote électronique qui opère sur des objets virtuels, ceux-ci n'étant que des représentations de ceux-là. Enguehard cite comme exemple des recommandations préalables au vote telles que "vérifier que l'urne est vide" ou encore "remettre les compteurs à zéro", révélant que le législateur ne comprend pas toujours que ces contrôles ne portent que sur des représentations pouvant diverger de ce qui est représenté [source]. Il importe donc que la réglementation ne reproduise pas des procédures inadaptées aux objets virtuels.

Veillons cependant de ne pas verser dans un excès de méfiance. Il nous paraît plus constructif, une fois les spécificités du "risques électronique" identifiées, d'y apporter des mesures limitant ces risques à un niveau acceptable. Mais pour ce faire il importe également de ne pas reproduire au vote par Internet les principes de sécurisation du vote traditionnel, qui sont évidemment inadaptés. Prenons par exemple l'affirmation suivante : « Plus la technologie utilisée est sophistiquée, moins les membres du bureau de vote électronique ou les délégués des candidats censés en contrôler le fonctionnement sont en mesure de le faire en l’absence de compétences approfondies. ». Cette affirmation est certes vraie, mais elle est aussi absurde dans la mesure où le phénomène qu'elle décrit résulte précisément du fait que l'on réfléchit encore dans le contexte d'un bureau de vote, alors que le vote électronique ne prend véritablement tout son sens que sur Internet.

Nouvelles
technologies

Il nous faut donc de nouvelles procédures, conçues pour un nouveau paradigme en matière de votation. Cette évolution est le fruit des technologies de décentralisation et de cryptographie :

  • l'identification électronique, ouvre de nombreuses possibilités en matière d'identification et d'authentification sur Internet [approfondir].

    La Belgique est pionnière mondiale en matière de carte nationale d'identité électronique, tandis qu'en France elle n'est toujours pas électronique.

  • les chaînes de blocs rendent possible un système de votation décentralisé : les votants, après avoir fait leur choix, ont accès à l’immatriculation de leur vote dans la Blockchain et peuvent ainsi vérifier qu'il a bien été pris en compte (celui-ci fait alors partie de la base de données, et ne peut être modifié ou supprimé) ;

  • la cryptographie :

    • asymétrique peut apporter des solutions à la problématique du lien à priori antagoniste entre contrôle et confidentialité ;

    • quantique transforme l'actuel paradigme de sécurité, par l'abandon du mythe de système inviolable, et son remplacement par le principe d'identification systématique et immédiate de toute lecture et modification des données et du code d'un système informatique.

      Les futurs ordinateurs quantiques seront théoriquement en mesure de décrypter toutes les clés de chiffrements : même augmenter la taille de la clef ne suffirait plus, l'information deviendrait vulnérable dans tous les cas. Cependant des ordinateurs classiques suffisent pour mettre en œuvre la cryptographie quantique en codant la clef de sécurité dans des photons (particules de lumière) ou des impulsions lumineuses, qui ne sont rien d'autre que des "objets" quantiques. Et par leur nature même, le simple fait de tenter de lire les informations qu'ils transportent suffit à les perturber, et partant à donner l'alerte [source1, source2].

Conditionnement médiatique

Un risque très sous-estimé (et pourtant au moins aussi réel) se situe en amont du processus de votation. Il s'agit des technologies psycho-sociales d'influence des masses via la télévision et Internet [exemple1, exemple2]. Ces manipulations influencent le résultat des votations, traditionnelles comme électroniques (NB : ainsi que l'opinion des représentants, qu'ils soient élus par votations ou tirage au sort ...).

Bien sûr cela vaut aussi bien pour le vote traditionnel qu'électronique. Mais à cela près que les votations via Internet, pouvant être beaucoup plus fréquentes que les quelques élections et (encore plus rares) référendums du système traditionnel, le coût d'influence de cette masse de votation est nettement plus élevé en cas de généralisation des votations par Internet (cf. le concept de décision collective automatique).

Technologies de conditionnement des masses

Internet
et les USA

Internet – qui fut conçu par l'armée US dans les années 1970 sous le nom d'Arpanet – est toujours sous le contrôle du gouvervement US [approfondir : Arpanet, ICANN, Serveur racine du DNS, Suite des protocoles Internet]. Ainsi le gouvernement peut facilement intercepter les données transitant sur "son" réseau, ce qu'il ne se prive pas de faire [exemple]. A cela s'ajoute le quasi monopole de fait des sociétés US dans les nouvelles activités apparues sur Internet (constatez : France, Belgique, Suisse). Or les liens étroits qui unissent traditionnellement la CIA et les grandes sociétés US font de celles-ci d'officieuses agences gouvernementales [exemple1, exemple2, exemple3, exemple4, approfondir].

Commander
des humains
à distance

Des technologies permettant de commander des humains à distance existent depuis au moins 2013 [source]. Des développeurs ont déclaré (cf. source ci-avant) : « il n'y a absolument aucune possibilité d'utiliser notre système sur une personne qui ne serait pas consentante ». On notera cependant qu'ils n'affirment cela que pour leur système. En outre d'autres technologies ont démontré (2014) qu'il est possible de forcer un animal à agir contre sa volonté. Il fait donc peu de doute que cela sera bientôt possible sur des humains [source]. Où en sont ces technologies aujourd'hui ?

Conclusion

Maturité. Selon un nombre non négligeable de spécialiste le vote électronique (dont le vote via Internet) ne présenterait pas, dans l'état actuel des technologies, un niveau de sécurité suffisant pour une utilisation à grande échelle (relativement au référentiel que constitue le vote traditionnel).

Échelle. Il est cependant moins difficile d'atteindre un niveau de sécurité déterminé pour une votation organisée dans l'intranet d'une coopérative locale que pour une votation nationale via Internet.

Progrès technologique. La cryptographie quantique va très bientôt transformer l'actuel paradigme de sécurité, par l'abandon du mythe de système inviolable, et son remplacement par le principe d'identification systématique et immédiate de toute lecture et modification des données et du code d'un système informatique. Quant aux chaînes de blocs, elles permettent de décentraliser les processus.

Contrôle total. Les logiciels et le matériel de votation (dont les terminaux Internet), doivent être développés par des entreprises publiques et conçus exclusivement comme instruments de votation.

Croyance. La réputation de sécurisation des systèmes de vote traditionnels repose-t-elle sur des faits objectifs où des croyances ? Ainsi si le vote traditionnel faisait l'objet d'analyses de risque aussi complètes que le vote par Internet (notamment en intégrant la concentration et publication des résultats) et que la conclusion en était que l'un n'est pas plus fiable que l'autre, qu'en tirerions-nous comme conclusion : qu'il faut renoncer à la démocratie ou préférer le vote par Internet au vote traditionnel ?

Avancer. Nous pensons que le vote électronique via Internet pourrait, dans un futur relativement proche, constituer une alternative plus sécurisée et transparente que le vote traditionnel. L'option donnée systématiquement aux citoyens de choisir en vote traditionnel et électronique, comme c'est le cas en Estonie, permet d'identifier les problèmes et d'implémenter des solutions. Si le risque encouru en vaut ou non la peine est une question de choix politique.

Double option. Une particularité importante de la notre méthodologie de conception et développement est de mettre en concurrence deux implémentations du système de DD : l'une sans vote électronique (implémentation "blanche") [1], et l'autre utilisant toutes technologies disponibles (implémentation "noire") [2]. L'intérêt d'envisager les deux types d'implémentation est de prendre en compte le risque technologique ainsi que les abus du technologisme, tout en ne fermant pas la porte aux potentialités des nouvelles technologies.

[1] Par exemple chaque quartier/village pourrait disposer d'un bureau de vote permanent, ce qui permettrait de procéder en permanence à des référendums. On notera une grande similitude de fonctionnement entre bureaux de poste et bureaux de votation : dans les deux cas il s'agit de collecter des données (lettres - votes), puis de les concentrer pour les traiter (dispatching - calcul), et enfin de les redistribuer (individuellement - publication).

[2] Depuis 2005 les Estoniens ont la possibilité de voter via Internet, en s'identifiant au moyen de leur carte d'identité électronique. Le taux de vote via Internet est passé de 9% en 2005 à 30% en 2015 [source].