Vote via Internet

Commenter
màj : 24 nov. 2017
yo

Nature du vote électronique

vote-electronique.jpg

Lorsque l'on compare les systèmes de votation (que ce soit pour des élections ou des référendums) il est de coutume de distinguer systèmes "traditionnels" (1. identification physique dans bureau de vote, 2. vote au crayon sur papier, 3. dépôt dans urne transparente, 4. comptage manuel) et systèmes "électroniques". Selon nous il convient de qualifier d'électronique un système de votation dès qu'une de ces quatre opérations implique une numérisation des données.

La notion de vote "électronique" peut donc recouvrir des implémentations très différentes selon le nombre d'opérations du vote traditionnel qui sont numérisées. Le vote par Internet est généralement la forme la plus numérisée (100%).

La numérisation implique l'utilisation de machines électroniques (serveur, terminal, imprimante, ...) équipées de logiciels (base de données, cryptographie, ...). En outre dans un système informatique les machines peuvent être reliées à un réseau, par des câbles ou des ondes radio (wifi).

Depuis 2005 les Estoniens ont la possibilité de voter par Internet, en s'identifiant au moyen de leur carte d'identité électronique. Le taux de vote via Internet est passé de 9% en 2005 à 30% en 2015 [source]. Les Français installés à l'étranger ont la possibilité de voter par Internet [source].

Motivations du vote via Internet

vote-internet.jpg

Malgré les appels à la prudence exprimés par de nombreux informaticiens le vote via Internet suscite de plus en plus d'intérêt :

  • certains politiciens voient - à tort ou à raison - dans le vote par Internet ("télévote") un moyen pour stopper la baisse tendancielle du taux de participation aux élections (qui mine la légitimité de la classe politique) ;

  • le personnel administratif en charge des élections voit dans le "vote électronique" un moyen de rationaliser ses méthodes (vitesse, charge de travail, ...) ;

  • enfin pour les partisans de la démocratie directe un système de votation via Internet permettrait :

    • d'organiser beaucoup plus souvent des référendums, et à un coût très inférieur à celui du système traditionnel ;
    • de décentraliser le fonctionnement, la gestion et le contrôle démocratiques des systèmes de votation.

On notera les espoirs contradictoires de la classe politique d'une part et des partisans de la démocratie directe d'autre part selon l'usage qui est fait des votations : élections vs référendums.

Qu'en est-il exactement des risques évoqués par les experts en informatique ? Quelle est la stratégie la plus rationnelle en matière de modernisation des systèmes de votation ?

Vote électronique VS vote traditionnel

vote-papier.jpg

Un nombre non négligeable de spécialistes du vote électronique estiment que les systèmes de votation via Internet n'offrent pas encore de garanties satisfaisantes en matière de sécurité et transparence : il serait possible pour de nombreuses personnes d'opérer à faible coût des fraudes massives et non détectables.

Se pose également la problématique de la faisabilité d'identification et de preuve d'une fraude ou erreur par ceux qui l'ont constatée, ce qui, à l'instar de la nécessaire possibilité de recomptage des votes, requiert de doubler l'enregistrement électronique par un enregistrement sur papier.

Privatisation et opacité. Englehart fait remarquer que « La procédure de vote à l'aide d'un ordinateur dont le résultat est invérifiable, et qui est entièrement contrôlé par une entreprise privée peut être représentée par une analogie : il faut imaginer que le vote se déroule selon la procédure habituelle à l'aide de bulletins papier, mais que le dépouillement des bulletins soit réalisé par une entreprise privée qui emporterait les bulletins, sans que quiconque puisse contrôler ce dépouillement, et qu'il soit impossible d'obtenir les bulletins afin d'effectuer une vérification. Il s'agit bien d'une confiscation du contrôle du vote qui échappe alors aux citoyens pour être confié (par le pouvoir politique) à une entreprise privée. (...) Le discours des spécialistes de la sécurité informatique a été largement occulté par celui des industriels qui ont réussi à largement influencer la rédaction des textes officiels régentant l'utilisation des ordinateurs de vote. » [source].

Pour être qualifiée de démocratique une votation doit respecter les principes suivants :

  • transparence : le recueil des votes et leur totalisation doivent être compréhensibles et visibles par tout citoyen ;
  • confidentialité : chaque électeur doit pouvoir effectuer son choix seul, en toute intimité ;
  • anonymat : il doit être impossible de relier un bulletin de vote à l'électeur qui l'a choisi et mis dans l'urne ;
  • unicité : chaque électeur peut voter une et une seule fois ;
  • convivialité : le système de vote ne doit pas gêner l'expression de l'intention de vote (personnes âgées, malvoyants, etc) ;
  • sincérité : sans fraude ni erreur [source].
Contrainte
du secret

Mais si l'on peut effectuer des paiements par Internet de façon relativement sécurisée, pourquoi ne pourrait-on faire de même avec les votes ? La réponse à cette question doit prendre en compte une différence fondamentale dans la problématique de sécurisation des paiements et votes à distance : les paiements n'étant pas soumis à la contrainte du secret (sans quoi il ne serait pas possible d'imposer les revenus et taxer la consommation) il est nettement moins difficile de garantir qu'ils n'ont pas été l'objet de malversations [source p. 8-9].

Mais une question nous vient à l'esprit : si l'on déployait à l'égard du vote traditionnel le même sens critique que celui déployé (à juste titre) à l'égard du vote par Internet, ne devrait-on pas en tirer des conclusions très similaires en matière de sécurité et transparence, lorsque l'on prend en compte l'entièreté du processus allant du vote jusqu'à l'annonce des résultats ?

Deux poids
deux mesures ?

Dans le système de vote traditionnel avez-vous la possibilité de vérifier personnellement et de façon crédible qu'il n'y a pas eu modification des résultats au niveau de la concentration des résultats de l'ensemble des bureaux de vote, là où n'y a plus que quelques personnes qui traitent les données ? (et de façon informatique !). Un gouvernement mal intentionné n'est-il pas en mesure de manipuler les résultats finaux à l'insu de la quasi totalité de la population ? Supposez par exemple que le résultat d'une élection en procédure traditionnelle infirme celui unanime d'instituts de sondage, et qu'au sommet de la pyramide de traitement des résultats des malversations sont opérées afin de confirmer ces sondages pré-électoraux. Existe-t-il des procédures qui neutralisent ce risque, et dans l'affirmative quelles sont-elles ?

Selon nous la problématique ne se situe pas qu'au niveau du type de système de votation ("traditionnel" VS "Internet") mais aussi - et peut-être surtout - à celui des systèmes de votation de masse en général, indépendamment du mode plus ou moins technologique de leur implémentation. En effet, à la lecture des rapports d'experts, on se rend compte que les mêmes facteurs d'insécurisation et d'opacité se retrouvent dans tous les systèmes de votation, traditionnels comme électroniques, et en particulier :

  • la fraude par des « insiders », que ce soit au niveau du transfert, stockage, centralisation et comptage des résultats des bureaux de vote ;
  • l'absence de réelles possibilités pour le citoyen de vérifier (individuellement et collectivement) que son vote a été correctement traité.

En fait l'écrasante majorité des cas de fraude en informatique n'ont pas pour cause des défaillances technologiques mais bien organisationnelles [exemple1, exemple2]. D'autre part force est de constater que le système de votation traditionnel bénéficie d'un préjugé favorable, relativement aux systèmes électroniques, sans que cela soit pourtant justifié [exemple].

Nous ferions donc un grand pas en avant si le (certes salutaire) débat concernant les risques en matière de vote électronique (erreurs, fraudes, etc) était élargi à celui de la crédibilité des systèmes de votation en général, qu'ils soient traditionnels ou électroniques. C'est là précisément un des objectifs de democratiedirecte.net : éviter une fixation sur la seule forme d'implémentation (traditionnelle vs électronique), fixation ayant pour effet que nous négligeons la problématique de fond, en particulier la conception des systèmes de votation (cf. chapitre "Méthodologie").

Double
option

Une particularité importante de la méthodologie proposée par nous est de mettre en concurrence deux implémentations du système de DD : l'une sans vote électronique (implémentation "blanche") [1], et l'autre utilisant toutes technologies disponibles (implémentation "noire") [2]. L'intérêt d'envisager les deux types d'implémentation est de prendre en compte le risque technologique ainsi que les abus du technologisme, tout en ne fermant pas la porte aux potentialités des nouvelles technologies (présentées dans la section suivante).

Systèmes
ouverts

Une condition nécessaire (mais non suffisante) à vérifier par les systèmes de votation - traditionnel comme électronique - devrait être le principe d'ouverture, aussi bien au niveau du matériel que des logiciels, et cela à toutes les étapes procédurales (cf. le modèle OSI pour ce qui concerne les transactions informatiques en réseau). Ce principe est incompatible avec les technologies dites "propriétaires" (secret commercial, brevets, ...) développées par des entreprises privées (d'où la nécessité d'entreprises publiques pour garantir la disponibilité de logiciels et matériels ouverts).

Conditionnement
médiatique

Un autre risque très sous-estimé (et pourtant au moins aussi réel) se situe en amont du processus de votation. Il s'agit des technologies psycho-sociales d'influence des masses via la télévision et Internet [exemple]. Ces manipulations influencent le résultat des votations, traditionnelles comme électroniques (NB : ainsi que l'opinion des représentants, qu'ils soit élus par votations ou tirage au sort ...).

Internet
et les USA

Internet - qui fut conçu par l'armée US dans les années 1970 sous le nom d'Arpanet - est toujours sous le contrôle du gouvervement US [approfondir : Arpanet, ICANN, Serveur racine du DNS, Suite des protocoles Internet]. Ainsi le gouvernement peut facilement intercepter les données transitant sur "son" réseau, ce qu'il ne se prive pas de faire [exemple]. A cela s'ajoute le quasi monopole de fait des sociétés US dans les nouvelles activités apparues sur Internet (constatez : France, Belgique, Suisse). Or les liens étroits qui unissent traditionnellement la CIA et les grandes sociétés US font de celles-ci d'officieuses agences gouvernementales [exemple1, exemple2, exemple3, exemple4, approfondir].

Commander
des humains
à distance

Des technologies permettant de commander des humains à distance existent depuis au moins 2013 [source]. Des développeurs ont déclaré (cf. source ci-avant) : « il n'y a absolument aucune possibilité d'utiliser notre système sur une personne qui ne serait pas consentante ». On notera cependant qu'ils n'affirment cela que pour leur système. En outre d'autres technologies ont démontré (2014) qu'il est possible de forcer un animal à agir contre sa volonté. Il fait donc peu de doute que cela sera bientôt possible sur des humains [source]. Où en sont ces technologies aujourd'hui ?

Technologies

Le progrès technologique induit des potentialités nouvelles, qui peuvent être négatives comme positives. Tout est donc question de gestion efficace et optimale de ces potentialités. Ne jetons pas le bébé avec l'eau du bain , d'autant plus que l'évolution technologique peut être la source d'un nouveau paradigme démocratique.

Le vote électronique via Internet ne pourrait-il, dans un futur relativement proche, constituer une alternative plus sécurisée et transparente que le vote traditionnel ? L'option donnée systématiquement aux citoyens de choisir en vote traditionnel et électronique, comme c'est le cas en Estonie depuis plus de dix ans, ne constitue-il pas la meilleure stratégie de développement pour maximiser la transparence et la sécurisation du vote électronique ?

Carte d'identité électronique

carte-identite-electronique.jpg

Un élément fondamental de tout système transactionnel en réseau (forums, e-banking, votations, ...) est l'identification des utilisateurs : contrôle d'accès et droit d'accès. Malheureusement, à l'exception du e-banking, la plupart des applications en ligne sont de piètre qualité à cet égard. C'est notamment le cas des sondages/pétitions via Internet où il n'est jamais très difficile de voter plusieurs fois en raison de méthodes d'identification bancales :

  • par l'adresse IP : les personnes dont l'abonnement à Internet est de type "adresse dynamique" n'ont qu'à couper puis rallumer la connexion pour obtenir une nouvelle adresse, et donc un droit de vote supplémentaire ... ; il est aussi possible de simuler une série d'adresses IP ;
  • par l'adresse email : en créant un série d'adresses, valides ou invalides ;
  • par cookie : il suffit, via les options du navigateur, de supprimer les témoins.

Dans chacun de ces cas il n'est pas très compliqué d'écrire un petit programme qui, à partir d'un simple ordinateur portable, va automatiquement voter au nom d'une multitude de "personnes" n'existant pas. Ce type de programme est très difficilement repérable car il peut voter à différents moments définis automatiquement de façon aléatoire, et le faire à partir d'une série d'adresses IP changeant constamment.

Exemple de systèmes de votation avec identification bancale

parliament.uk

Le 25 juin 2016 j'ai pu signer la pétition britannique pour un second référendum Brexit, malgré que je ne suis pas citoyen britannique. L'identification/confirmation se fait par adresse email, et il suffit de cocher une case pour déclarer que l'on est citoyen britannique ! Environ deux heures après mon vote le nombre de signatures avait augmenté de 300.000 (trois cent mille). Le plus grave c'est que le site de pétition en question est un site gouvernemental (!) : petition.parliament.uk/petitions/131215.

g1000.org

En 2011 l'organisation g1000.org (un sous-marin de fédérations patronales belges selon Bert Bultinck, chef du Standaard Week-End, cité dans Le Soir du 05/11/11) a organisé une forme de vote en ligne consistant à "signer" le manifeste de l'association. Pour "signer" il suffisait de mentionner un nom, un code postal et une adresse courriel. Pire, aucune demande de confirmation n'était envoyée à l'adresse courriel, de sorte qu'il suffisait d'inventer des adresses bidons pour voter autant de fois qu'on le souhaite ! Ainsi j'ai signé avec qztgpb@wqmlgt9ey5.com, et le vote a été enregistré.

Un autre exemple d'identification bancale est celui des forums pollués par des trolls, dont les auteurs ne sont "identifiés" que par un pseudo (par exemple un compte Facebook avec faux nom). Le nombre de trolls serait considérablement réduit si l'identification requise pour poster un commentaire se faisait par carte d'identité électronique. La même remarque vaut évidemment pour d'autres applications telles que l'édition et le contrôle de qualité des articles de Wikipédia. Ainsi les pages personnelles des "wikipédiens" enregistrés ne sont généralement que des simulations d'identification, ce qui facilite grandement les infiltrations par des groupes idéologiques, notamment parmi les administrateurs (soit moins de deux cents personnes pour la version francophone - source).

Ceci dit l'anonymat a aussi des avantages. L'arbitrage entre anonymat et identification doit donc se faire au cas par cas.

Les technologies de certificat électronique et de signature électronique (on dit également "numérique") apportent une solution efficace. Leur support matériel est généralement une carte à puce. La puce de la carte d'identité électronique contient un certificat électronique (c-à-d un fichier informatique) signé électroniquement par l'État, et attestant ainsi que le détenteur de la carte et du code PIN lié à celle-ci est bien la personne identifiée comme telle au registre national).

L'identification et la signature digitales permettent d'opérer d'autres transactions en réseau, comme par exemple les paiements ou les votations.

Décentralisation. Une question vient alors à l'esprit : la validation d'une identité numérique peut-elle être opérée de façon décentralisées ? Oui, grâce à la technique appelée toile de confiance.

Toile de confiance

Les cartes d'identité électroniques actuelles (Estonie, Belgique, ...) sont des systèmes centralisés : le certificat installé sur la carte est signé électroniquement par l'État, qui garantit ainsi que le titulaire de la carte est bien inscrit au registre national. Cependant, au sein de petites communautés où la plupart des gens se connaissent (quartiers, villages, associations locales, PME) l'on peut très bien concevoir des systèmes d'identification électronique (par exemple via smartphone) dont le certificat électronique n'est pas signé par l'État mais par un nombre suffisant d'autres membres de la communauté. Pour cela l'utilisateur doit prendre l'initiative d'acquérir un certificat électronique, et inciter d'autres membres de sa communauté à le signer électroniquement. C'est la toile de confiance.

Décentralisation. Le stockage et le traitement des données échangées via Internet pourraient-ils être opérés de façon décentralisée ? Oui, notamment grâce à la technique des chaînes de blocs.

On notera qu'avec les imprimante 3D, le concept de décentralisation pourrait s'étendre, dans un futur peut-être pas très éloigné, jusqu'à la production de matériels (cartes à puce, lecteurs, smartphones, ...).

Chaînes de blocs

Une chaîne de blocs est une base de données distribuée (c-à-d décentralisée) qui gère une liste d'enregistrements protégés contre la falsification ou la modification par les nœuds de stockage. Cette technologie permettrait par exemple de se passer d'un registre national centralisé.

Un bloc est un fichier répertoriant une série de transactions ayant été opérées durant un certain laps de temps. Avant d'être lié à la chaîne un bloc et tous ses prédécesseurs sont hachés.

blockchain.png

Chaîne de blocs

Ensuite, pour que les blocs puissent être validés ils doivent être synchronisés : si la synchronisation révèle un dédoublement de la chaîne, une des deux branches doit être supprimée (les blocs mauves ci-dessus). Plus la fréquence de cette validation est élevée plus rapide sera la validation (ainsi la validation d'une transaction en Bitcoin dure en moyenne une cinquantaine de minutes, contre seulement quelques secondes pour les paiements par carte bancaire, système centralisé).

Les possibilités d'applications futures des chaînes de blocs sont très nombreuses. L'une d'entre elle est la neutralisation du risque de prise de contrôle de la société humaine par l'intelligence artificielle, en intégrant des "contrats intelligents" dans des chaînes de blocs [source].

Bitcoin

Bitcoin est une des rares applications de chaînes de blocs ayant dépassé le stade expérimental.

Le fonctionnement du réseau Bitcoin est assuré par le travail des mineurs, qui sont rémunérés en Bitcoins pour (i) la validation des transactions (ce qui requiert la résolution d’un défi mathématique sous la forme d'une série d’algorithmes), (ii) l'hébergement d'une copie du registre (inscription de chaque transaction dans les chaîne de blocs) et partant (iii) l'achat et la maintenance des (puissants) ordinateurs que requièrent ces opérations.

Réseau privé. Dans une chaîne de blocs privée le défi mathématique n'est pas indispensable : la fonction de validation pouvant être confiée à un membre du réseau.

Pour utiliser le Bitcoin il faut installer sur votre ordinateur :

  • une copie de la chaîne de blocs (plus 30 GB --> impossible sur un smartphone) ;
  • un portefeuille électronique ;
  • une clé privée, une clé publique (cryptographie asymétrique) ;
  • l'adresse Bitcoin (équivalent du numéro de compte bancaire).

Problématiques :

  1. Les protocoles Internet de certification du temps de référence ne sont pas signés [source].
  2. La cryptographie des premiers bitcoins est obsolète --> quid des transactions archivées ? [source].
  3. La problématique de la sécurité se situe moins au niveau du protocole que de son écosystème (par exemple si votre disque dur devient inutilisables les Bitcoins le sont aussi).
  4. Si une chaîne de blocs cesse son activité, qu'advient-il des transactions qu'elles comportent ? Faut-il un blockchain de blockchain ? Mais qui d'autre qu'un État peut en garantir la pérennité ? [approfondir].
  5. En permettant un DNS décentralisé la technologie des blockchains rend impossible les frontières numériques.
  6. En termes juridiques l'absence d'autorité centrale dans un blockchain pose la question de la responsabilité en cas d'accident ou de malversation.

Sécurisation. Les technologies que nous venons de présenter ne permettent pas de sécuriser Internet à 100%, car cela est impossible. Une solution consiste à changer de paradigme grâce à une technologie plus récente : la cryptographie quantique.

Cryptographie quantique

Les futurs ordinateurs quantiques seront théoriquement en mesure de décrypter toutes les clés de chiffrements : même augmenter la taille de la clef ne suffirait plus, l'information deviendrait vulnérable dans tous les cas. Cependant des ordinateurs classiques suffisent pour mettre en oeuvre la cryptographie quantique en codant la clef de sécurité dans des photons (particules de lumière) ou des impulsions lumineuses, qui ne sont rien d'autre que des "objets" quantiques. Et par leur nature même, le simple fait de vouloir les mesurer pour tenter de lire les informations qu'ils transportent suffit à les perturber et à donner l'alerte. Même si le pirate informatique utilise un ordinateur quantique cela n'y change rien. Conclusion : avec la technologie quantique on ne pourrait donc plus rien cacher, pas même le fait que l'on a tenté de lire ou modifier ce qui était "caché". Le paradigme de la sécurisation informatique évolue donc en abandonnant le mythe du système inviolable, et en lui substituant le principe d'identification systématique et immédiate de tout acte de hacking sur un système informatique.

Il reste certes à appliquer la cryptographie quantique de bout en bout de la chaîne du processus de votation. Mais une fois cet objectif réalisé le vote électronique ne serait-il pas au moins aussi sécurisé et transparent que le vote traditionnel ?

Avant et après le vote

Les nouvelles technologies de l'information ne révolutionnent pas seulement nos techniques de votation, mais aussi permettent aux citoyens de s'informer (wikipédia, stackexchange, ...) et de débattre (forums, blogs, réseaux sociaux, ...) bien plus efficacement que par le passé. Elles vont également permettre un contrôle plus étroit de l'activité des délégués politiques.

Cependant toute cela n'est pas suffisant. Il reste à créer une culture de la démocratie directe, actuellement inexistante. Cela se réalisera progressivement, par la pratique. Mais peut-on compter sur la classe politique pour aller dans cette direction ? Est-il rationnel de croire que les politiciens, qui tirent de nombreux avantages de leurs pouvoirs, vont se tirer une balle dans le pied ? Ce fait explique probablement pourquoi le taux de "e-participation" en Estonie ne figure pas même parmi le "top dix", alors que ce pays est de très loin le leader mondial en matière de vote via Internet [source1, source2].

La méthodologie proposée par nous vise précisément à concevoir collectivement et efficacement un système de DD qui englobe la phase préalable de conception des votations et celle du suivi de l'exécution des décisions votées.

[1] Par exemple chaque quartier/village pourrait disposer d'un bureau de vote permanent, ce qui permettrait de procéder en permanence à des référendums. On notera une grande similitude de fonctionnement entre bureaux de poste et bureaux de votation : dans les deux cas il s'agit de collecter des données (lettres - votes), puis de les concentrer pour les traiter (dispatching - calcul), et enfin de les redistribuer (individuellement - publication).

[2] Depuis 2005 les Estoniens ont la possibilité de voter via Internet, en s'identifiant au moyen de leur carte d'identité électronique. Le taux de vote via Internet est passé de 9% en 2005 à 30% en 2015 [source].

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *