Petites actus sur le vote électronique (par ordinateurs de vote ou par Internet) (2)

Posté par (page perso) . Édité par baud123 et Florent Zara. Modéré par patrick_g. Licence CC by-sa
36
14
nov.
2012
Sécurité

Enfin débarrassés du battage médiatique autour des dernières élections, vous pensiez pouvoir chasser de votre esprit la problématique du vote électronique jusqu'à la prochaine fois ? Cette petite sélection d'actualités sur le sujet permet de revenir sur divers articles autour du vote électronique (par ordinateurs de vote ou par Internet).

Dans la seconde partie de la dépêche, il sera notamment question de votes modifiés, de patchs de la dernière minute, de mauvais design, de conflit d'intérêt, de vote par courriel/fax, de contentieux électoral et des questions écrites parlementaires et sénatoriales.

Sommaire

Revue de presse

  • au sein du parti politique français UMP, le choix sur le vote électronique en interne fait débat : « avec le vote électronique, on peut faire ce qu'on veut… » a déclaré X. Bertrand (après l'avoir imposé précédemment), tandis que pour T. Marini annonce que « le parti a refusé le vote électronique et désormais on se retrouve dans de beaux draps ! ».
  • du côté du parti politique français EELV, on se divise pour ou contre le vote par internet, ce qui est assez loin des positions de 2007 sur le vote électronique.
  • Havas Worldwide et InfoPro ont présenté début novembre un Livre blanc regroupant leurs propositions pour promouvoir l'actionnariat salarié et individuel, avec notamment une mesure sur la généralisation du vote électronique pour les assemblées générales.
  • le syndicat français CFDT parle de vote électronique « pas très concluant » pour les élections dans les TPE.
  • en Islande, la commission électorale de la circonscription de Reykhavik-nord a décidé de ne pas utiliser le vote électronique car « les résultats n'étaient pas assez fiables et il y a eu quelques erreurs ».
  • Ars Technica évoque le vote électronique dans divers pays et suppose un peu rapidement que le logiciel libre est la solution (« "C'est une boîte noire. » (…) rendez juste le logiciel open source »), avant un remplacement par du vote par internet… Et de conclure « c'est un objectif louable d'étendre la démocratie autant que possible (…) il est difficile de voir si nous pouvons avancer vers plus de confiance ».

Élections communales en Belgique

Élection présidentielle américaine

Comme lors des élections précédentes, les ordinateurs de vote ont beaucoup fait parler d'eux (ils concerneraient 25% des électeurs, sachant qu'il y a de beaucoup de complexité dans les modalités des scrutins comme le rappelle Rue89) :

  • bien avant l'élection, en juillet dernier, le Figaro rappelait que l'on s'attendait à des problèmes : la faculté de droit de l'université Rutgers et les organisations Common Cause et Verified Voting Foundation appelaient à des systèmes avec bulletins papier , recensaient 20 États (sur 50) avec des systèmes « inadaptés » ou ayant besoin d'être améliorés et seulement six évalués comme « bons » ou « bons dans l'ensemble ».
  • dans l'Ohio, il est question de surprenants patchs appliqués à la dernière minute sur des modèles ES&S, qualifiés d'expérimentaux
  • Bakchich évoque des liens entre le candidat républicain et le fabricant Hart InterCivic
  • en Pennsylvanie et en Caroline du Nord, des modèles ES&S à écran tactile (même interface que celui sur lequel je vote à Issy-les-Moulineaux) ont fait parler d'eux car ils sélectionnent un autre candidat que celui pour lequel l'électeur veut voter (Sciences et avenir, Raleigh Telegram). Le maire de New York, Michael Bloomberg, a parlé d'un système « digne d'un pays du tiers monde ».
  • dans le New Jersey, touché par l'ouragan Sandy, c'est l'utilisation du vote par courriel et par fax qui a fait débat.
  • Slate.fr évoque les problèmes de design des machines.
  • Framablog vous explique comment manipuler les modèles Diebold et Sequoia.
  • etc., etc., etc.
  • comme pour les élections précédentes, on se focalise principalement sur des problèmes techniques et on oublie les questions éthiques et le contrôle citoyen absent. Et comme pour les élections précédentes, cela sera oublié aussi rapidement aussi. Qui se rappelle qu'en 2005, les deux frères Bob Urosevich (président de Diebold Election Systems) et Todd Urosevich (vice-président de ES&S) ont traité 80% des votes américains (source VoteTrustUSA), avec les risques qu'une telle position dominante implique ?

Élections présidentielle et législatives françaises

Rappels : sur les scrutins présidentiel et législatifs de 2012, 64 communes, représentant 1,12 millions d'électeurs ont utilisé des ordinateurs de vote (officiellement appelées « machines à voter » pour faire passer des ordinateurs pour des machines électromécaniques (abandonnées depuis) et ne pas avoir à changer le code électoral). Et sur le scrutin législatif, il faut aussi compter 244623 Français expatriés ayant voté par Internet sur l'ensemble des deux tours.

  • le rapport Jospin de la Commission sur la rénovation de la vie publique a déçu l'association anti-corruption Anticor, qui parle de « lacunes » et de « 10 ans de retard », tandis que le Parti pirate évoque un rapport « lacunaire » en retard de 30 ans et s'étonne de l'absence de la question du vote électronique. Le Lab Europe1 regrette lui l'absence de la question du vote par internet.
  • le rapport de l'OSCE sur les élections françaises, pour lequel j'ai été auditionné en tant qu'observateur d'un candidat du Parti Pirate, a été publié (27 pages) : des critiques en langage diplomatique sur le vote par procuration, sur les ordinateurs de vote sans trace papier, sur le manque de transparence autour du vote par Internet, sur l'impossibilité de vraiment vérifier si son vote est pris en compte et sur le manque d'accessibilité du vote.
  • le Parti pirate a déposé une requête en annulation contre le vote par Internet - à laquelle j'ai contribué - dans le cadre de l'élection législative de la 4ème circonscription des Français de l'étranger. Elle est toujours dans la phase d'instruction contradictoire, elle fait partie des 46 restantes.

Aparté sans lien avec le vote électronique : pour ceux qui en douteraient encore, le contentieux peut avoir des effets. Ainsi le Conseil Constitutionnel a annulé 3 législatives récemment :

  • pour non-respect du code électoral pour le centriste Henri Plagnol et l'UMP Patrick Devedjian (ce dernier, avocat, a élégamment déclaré « Le Conseil Constitutionnel vient d'annuler mon élection comme député pour des raisons juridiquement faibles. », j'imagine que ça ravira les Sages)
  • pour irrégularités substantielles pour la socialiste Roqué.

Débats parlementaires en France

  • la question écrite n°00003 du 5 juillet du sénateur André Gattolin (la même sur son site) sur l'utilisation des machines à voter a reçu une réponse le 4 octobre dernier, basée sur un syllogisme désormais habituel : aucun incident notable n'a été noté, c'est bien la preuve qu'il n'y a pas eu d'incident non notable, tout va bien et d'ailleurs personne ne s'est plaint.
  • la question écrite n°23657 du sénateur Alain Anziani sur la fiabilité des systèmes de vote par internet a été retirée (législature précédente). Il a posé le 26 juillet la question écrite n°01234 sur le secret et la sincérité des votes par Internet, à laquelle le ministère des Affaires Étrangères a répondu 23 août que tout va pour le mieux (le contentieux électoral sur le sujet semble indiquer le contraire).
  • côté Assemblée nationale, la question écrite n°5162 du socialiste Christian Eckert a porté sur la transmission par Internet des résultats, perspective qui est déclinée par le ministère de l'Intérieur.
  • question toujours ouverte : la possibilité pour chaque électeur de pouvoir comprendre et vérifier une élection sera-t-elle clarifiée dans une prochaine réforme de la Constitution française ? Ou sera-t-elle (ré)affirmée par le Conseil Constitutionnel ?
  • # Rumeurs de fraude aux États-Unis

    Posté par (page perso) . Évalué à  10 .

    Et j'ai oublié encore quelques liens concernant l'élection américaine :

    Une corrélation statistique d'un ancien analyste de la CA montrerait une fraude informatique (il parle de 8 à 10 points déplacés, soit 16 à 20 points d'écart). « Il est vraiment facile de tricher en utilisant les ordinateurs comptant les votes, car vous ne pouvez pas voir ce qui se passe dans la machine. »

    L'article rappelle aussi qu'un consultant des Républicains, Michael Connell a été suspecté d'avoir créé un programme contenant une porte dérobée permettant de convertir des votes démocrates en républicains. Il est mort dans un accident d'avion avant le début de son procès.

    On voit un aspect problématique du vote électronique : la perte de confiance due à la dématérialisation d'une part et la complexité d'autre part. Il est particulièrement compliqué de discerner le vrai du faux, le probable du possible, le non-démontrable du non-survenu…

  • # Quel boulot

    Posté par (page perso) . Évalué à  8 .

    Bravo pour ce travail. Un tel article ne déparerait pas dans la presse de (grande) qualité produite par de vrais professionnels.
    Lire ça fait l'effet d'un choc thermique par contraste avec les informations (sic) de la radio : grand reportage avec envoyé spécial sur le gagnant inconnu de la loterie de Trifouillie-les-oies ; les actions héroïques des pieds d'un colosse, cosaque suédois millionnaire ; l'ordre d'une série de véhicules éolien traversant de concert l'atlantique.

    • [^] # Re: Quel boulot

      Posté par . Évalué à  2 .

      oui il faut avouer que c'est un beau travail de compilation. simple mais terriblement efficace.

    • [^] # Re: Quel boulot

      Posté par . Évalué à  5 .

      Le vrai choc c'est quand tu te retrouves obligé d'utiliser une machine à voter..
      J'ai déposer une main courante, autant pisser dans un violon.

  • # Réflexion sur un vote numérique à distance en démocratie

    Posté par . Évalué à  -10 .

    En supposant un système d'assemblée qui propose les lois, avec le préalable que le peuple a le contrôle de la constitution (cf la conclusion de l'entretien avec Etienne Chouard et Magali Pernin (blog Contre la Cour) sur la loi de 1973 publié le 12 nov. 2012 par CercleDesVolontaires dans le cadre de l'UNIVERSITÉ AUTOMNE 2012 du M'PEP (lien direct vers la vidéo sur youtube)), je partage - et soumets à votre sagacité - ma réflexion sur le vote de toutes les lois (méthode Condorcet applicable) par le peuple. Je considère deux questions que je discute.

    Note : texte ci-dessous (orthographe légèrement corrigée ici) posté sur cette page, en commentaire le 11 nov 2012 sous le pseudonyme BabaoRhum (cliquer sur le bouton "Afficher les commentaires précédents", sous l'article).

    1) Il est « logistiquement difficile de permettre qu’un très grand nombre de personnes se mettent d’accord sur un point une par une ».

    2) « On en arrive au cas ou la démocratie est la "tyrannie de la majorité", ce à quoi je ne crois pas. C’est plutôt la tyrannie exercée "à travers la majorité". Celui qui attire à lui la majorité détient le pouvoir ».

    Voici mes réponses :

    1) Une tablette numérique dédiée connectée par voie herzienne suffirait au vote de chaque loi proposée par l'assemblée.

    Je considère deux facteurs de risque :

    a) le risque de piratage du système qui peut être réduit par l'usage de logiciel libre et audité, sur du matériel libre et dédié, dont la conception a été auditée, la fabrication et le transport ont été surveillés. Ceci aussi bien pour les tablettes des votants que pour la machine de collecte des votes.

    b) le risque de collecte des suffrages pour connaître les opinions des votants et exercer sur eux une coercition.
    Il apparaît du fait de la nécessité d'authentification pour un tel vote électronique à distance, sans quoi l'usurpation d'identité est trop facile. Pour réduire ce risque de collecte cumulative des suffrages, la collecte peut être confiée à une personne (le préposé à la collecte) mandatée pour un vote unique, sélectionnée aléatoirement peu avant le vote.

    Note préalable sur l'authentification : elle peut être réalisée par l'usage d'une clé secrète - dite encore clé privée - [qu'un votant donné est seul à connaitre, ce qu'il sait] avec l'algorithme de chiffrement OpenPGP, mis en oeuvre dans le logiciel libre GPG. La clé secrète peut être générée dans la tablette, via une phrase de passe, plus facile à retenir, à partir d'une information mémorisée dans la tablette numérique [qu'un votant donné est seul à posséder, ce qu'il a]. En ajoutant d'autres facteurs d'authentification comme la reconnaissance faciale, digitale, à terme d'adn, etc [ce qu'un votant donné est seul à manifester, ce qu'il est], on peut renforcer l'authentification.

    Collecter les suffrages, pour obtenir le résultat du vote, implique de procéder à deux vérifications automatisables :

    • validité de l'identité du votant (présence dans la liste officielle des votants) ;
    • unicité du suffrage pour un votant sur un vote donné.

    Le protocole pour le préposé à la collecte doit être simple, consistant à suivre une procédure normalisée du type :

    • une action pour prendre le contrôle exclusif (avec authentification) de la machine de collecte des suffrages ;
    • une action pour l'initialiser (chargement du logiciel libre authentifié) ;
    • une action pour lancer le vote sur une loi précise ;
    • une action pour clôturer le vote et rendre public le résultat.

    La liste des identités des votants est publique et seule la liste officielle peut être utilisée. L'authentification par de multiples clés secrètes peut être appliquée à cette liste. Il peut s'agir des clés secrètes de votants mandatés pour la tenue à jour de cette liste (mandats courts, révocables).

    À la publication du résultat d'un vote, les suffrages exprimés sont effacés de la mémoire de la machine de collecte des votes.

    Si besoin, on peut réfléchir à une procédure de conservation temporaire des suffrages, au-delà de la clôture d'un vote, pour vérification possible de son propre vote par chacun, ou vérification par un collège de contrôleurs tirés au sort pour un contrôle aléatoire.

    Le risque que le préposé obtienne et conserve les suffrages exprimés lors du vote, par piratage du système dont il a temporairement la maîtrise, et participe à une collecte cumulative des opinions, est réduit du fait de l'unicité du vote dont il a la charge.

    Une attaque possible de ce protocole est de connaître à l'avance la liste des préposés à la collecte des votes et de tenter de les corrompre. Dans ce cas, la maîtrise temporaire de la machine de collecte des votes, accordée aux préposés corrompus, peut être transférée par eux au tier corrupteur, compétent pour pirater le système et obtenir une vue d'ensemble des suffrages sur de nombreux votes. Cette attaque peut être éliminée par un tirage aléatoire des préposés peu avant les votes, avec un protocole pour s'assurer qu'un préposé sélectionné est disponible pour assumer cette charge.

    Une autre attaque possible est de diffuser secrètement un {protocole de piratage (facile à mettre en oeuvre) pour obtenir les suffrages d'un vote} auprès d'un ensemble de personnes corrompues, succeptibles d'êtres sélectionnées par tirage aléatoire en tant que préposés à la collecte des suffrages, et d'attendre un bon moment pour consolider une perception des opinions des votants sur des votes significatifs.

    Je partage ma réflexion en cours. Imaginons par exemple 200.000 {Faux-Missionnaires} malveillants attaquant la démocratie-France…

    • le contrôle total de la machine de collecte est accordé au préposé pour un vote donné // je passe la question de l'autorité légitime pour affecter et transférer le contrôle total
    • risque de lancement, par un préposé corrompu et compétent, d'un script malveillant pour récolter les suffrages
    • modification régulière du code destiné à la machine de collecte pour limiter la propagation du piratage à d'autres préposés
    • adaptation en continu du script par une communauté secrète malveillante
    • disponibilité du script malveillant adéquat, mis à jour en continu, pour la communauté malveillante

    Donc le contrôle donné au préposé sur la machine ne doit pas être total (ce ne peut être l'équivalent d'un droit d'administrateur sur un système type Unix). La solution est du côté d'une définition de droits restreints pour le préposé, empêchant la collecte des suffrages.

    Une proposition de solution : un collège d'admins tirés au sort conserve le contrôle total pour contraindre l'usage d'un logiciel, donnant des droits limités aux préposés. Un admin malveillant dans le lot peut suffire à détourner le bon usage.

    Une autre proposition de solution : le système d'exploitation et le logiciel libre chargeable dans la machine de collecte des suffrages est contraint par la vérification de certificat, vérification implantée dans le bios/hardware [question de la corruptibilité de l'entité qui alloue le certificat] et le logiciel est contraint et ne permet pas de sortir les suffrages de la machine.
    On obtient une situation où le contrôle total est donné au préposé, sur une machine contrainte (élimination du risque de malveillance d'un collège d'admin tier), avec transfert du risque sur l'entité qui alloue le certificat.

    Voilà l'état de ma réflexion.
    Je dois reconnaitre que c'est incomplet et faiblement structuré sur la fin. J'ai passé quelques heures à réfléchir et n'ai pas pu aboutir à une vision synthétique complète. En espérant avoir participé à réveiller des consciences.

    Entre la situation actuelle et une situation où :

    • le vote électronique à distance est possible, avec du matériel et du logiciel sain (libres et audités, jusqu'au transport), avec des procédures verrouillées contre le piratage ;
    • la capacité de s'informer est décuplée et densifiée

    …Il y a une période transitoire qui est à méditer.

    2) Aujourd'hui, les canaux de diffusion de l'information sont très formatés par des membres de l'olligarchie qui financent la plupart des journaux papiers / télé / radio. Mais avec l'informatique, on peut revoir la situation, je pense à http://www.egaliteetreconciliation.fr/TV-Lobotomie-par-Michel-Desmurget-11375.html#forum135521 et je conseille un petit détour par http://linuxfr.org/users/bi2cotte/journaux/traduction-automatisee-de-langues-naturelles-controlees#comment-1372641
    Le principe est de proposer un outils proposant des discours cohérents, en vidéo pour faciliter l'absorption par écran interposé (mais ça peut être du texte seul), citant des sources accessibles en un clic, que toute communauté puisse s'approprier et adapter. On pourrait obtenir d'un côté un éclatement des points de vue avec convergence sur les fondamentaux.

    Cet effet d'éclatement et de convergence est un peu ce qu'on obtient par les citations hypertexte sur les pages Web et la multiplicité des sites webs.
    Le problème actuel est la difficulté de contrôle d'intégrité des discours produits (la question de la confiance), la faible densité d'information de beaucoup de sources vidéos, le manque d'adaptabilité de la profondeur d'analyse (sources figées), le manque de capacité d'automatisation de synthèses…

  • # design

    Posté par (page perso) . Évalué à  4 .

    C'est clair qu'au niveau design, ça n'a pas été conçu par Apple. Je pense que Steve Jobs n'aurait pas été voter si on lui avait imposé cette horreur :

    Titre de l'image

    « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

  • # Parti pirate à Genève

    Posté par . Évalué à  0 .

    À noter aussi que le parti pirate a pu étudier le vote électronique dans le canton de Genève et ce courant septembre dernier.

    Leur rapport est ici : pirate.blog.tdg.ch/media/02/00/3804394325.pdf

  • # Et en open hardware?

    Posté par . Évalué à  4 .

    Ne pourrait-on pas envisager un mécanisme open source SIMPLE (cf machine à écrire), compréhensible et visible par l'électeur (sauf les compteurs pendant la journée) qui permettrait d'incrémenter le compteur mécanique des voix de son candidat parmi plusieurs et de tamponner un bulletin (pour la vérification par le citoyen puis par le bureau si nécessaire), par appui sur une seule touche et validation par les assesseurs? (un peu long comme phrase, on dirait un brevet …)
    Car si j'ai bien compris, le problème principal du vote papier est le décompte des voix et celui du vote électronique l'absence de trace physique du vote?

    • [^] # Re: Et en open hardware?

      Posté par (page perso) . Évalué à  7 .

      Même si le code en question était libre, ça ne suffirait pas, tout le monde ne pourrait pas le comprendre et le vérifier. Même si cette condition était respectée, ce qui n'est pas réaliste, ça ne suffirait pas, il serait impossible de vérifier que c'est bien ce code qui tourne.

      • [^] # Re: Et en open hardware?

        Posté par . Évalué à  -10 . Dernière modification : le 15/11/12 à 16:46

        Tout le monde n'a pas besoin de vérifier un code pour prendre confiance dans un code libre, d'autant plus s'il est audité, avec signatures cryptographiques et déclarations filmées d'auditeurs patentés (J'aurais tendance à avoir confiance Dans Richard Stallman ou Linux Torvalds, par exemple, s'ils participaient à un tel audit à un titre ou à un autre - la transitivité de confiance entre de tels acteurs du libre et la vaste communauté humaine me semble largement accessible).

        Quant à la possibilité de vérifier que c'est bien tel code qui tourne, j'imagine bien qu'on doit pouvoir obtenir une situation de contrôle démocratique d'un organisme allocateur de certificat, sur le mode qu'à développé Microsoft, avec les principes usuels - en démocratie athénienne originelle - de mandats cours, révocables, responsabilisant pénalement. J'ai écrit plus haut, dans le contexte d'usage d'un vote numérique à distance avec des ordinateurs (en matériel libre) de vote portatif et un ordinateur de collecte des votes :

        « le système d'exploitation et le logiciel libre chargeable dans la machine [aux specifications libres, dont la fabriction et la livraison ont été duement vérifiés continuement, selon des protocoles strics] de collecte des suffrages est contraint par la vérification de certificat, vérification implantée dans le bios/hardware [question de la corruptibilité de l'entité qui alloue le certificat : question à traiter] et le logiciel est contraint et ne permet pas de sortir les suffrages de la machine.
        On obtient une situation où le contrôle total est donné au préposé, sur une machine contrainte (élimination du risque de malveillance d'un collège d'admin tier), avec transfert du risque sur l'entité qui alloue le certificat ».

    • [^] # Re: Et en open hardware?

      Posté par (page perso) . Évalué à  2 .

      C'est ce qui est fait au Venezuela, d'ailleurs Jimmy Carter a dit "Election Process in Venezuela is the Best in the World".

      Si j'ai bien compris, l'électeur s'identifie avec un code et son empreinte digitale. Il vote électroniquement et la machine imprime un bulletin que l'électeur vérifie et va mettre dans l'urne.

      Du coup ça évite les bulletins manquants pour les "petits" partis, ça permet le comptage rapide et ça n'empêche pas la vérification manuelle des votes dans l'urne.

      • [^] # Re: Et en open hardware?

        Posté par . Évalué à  2 .

        Non, ça ne résout pas le problème de l'anonymat du vote : comment être sûr que la machine n'a pas retenu ton vote (nominatif, s'entend) ? Ce qui entraîne toutes les possibilités de pression bien évoquées sur les pages wikipédia et autres.

    • [^] # Re: Et en open hardware?

      Posté par (page perso) . Évalué à  3 .

      À partir du moment où tu doutes de la machine, tu dois faire un comptage à la main de toute façon.

      Un tel système est possible, mais il ne fait que l'économie du recomptage à la main.

      Du coup, est-ce que ça en vaut encore la peine au vu du coût de déploiement d'un tel système?

  • # Un petit exemple

    Posté par . Évalué à  2 .

    En Belgique, le vote électronique ne permet pas le vote nul. Blanc, oui. Nul, non.

    • [^] # Re: Un petit exemple

      Posté par . Évalué à  -1 .

      En France les bulletins blancs sont considérés comme nuls.

      • [^] # Re: Un petit exemple

        Posté par . Évalué à  3 .

        En France les bulletins blancs sont considérés comme nuls.

        En Belgique la distinction existe: blanc va à la majorité, NUL est exclu du compte. Le vote électronique retire cette dernière possibilité par rapport au vote papier. En Belgique le vote est obligatoire, ce qui donne une utilité au vote nul. Je crois (sans avoir essayé) que la carte magnétique est refusée par l'urne qui récolte les cartes si on n'a pas voté. Quelqu'un peut-il confirmer la possibilité d'un vote nul en Belgique? (La dernière fois que j'ai eu affaire au vote électronique c'était il y a quelques années, la commune où j'habite aujourd'hui fournit des bulletins en papier, ça a peut-être changé depuis.)

        • [^] # Re: Un petit exemple

          Posté par . Évalué à  -10 .

          Le vote électronique retire cette dernière possibilité par rapport au vote papier.

          le vote électronique tel qu'il est proposé, parce qu'il est possible d'avoir un vote électronique, même à distance, qui propose comme choix de vote :

          • blanc,
          • nul (1),
          • et d'autres possibilités, comme l'expression de préférences pondérées selon les choix proposés (par exemple pour le cas de vote de lois avec options proposées, si on veut envisager un tel mode de scrutin).

          (1) si le vote est "obligatoire" mais qu'on ne veut pas s'y résoudre, il peut sembler sain que le choix "nul" soit proposé, mais le vote blanc peut tout à fait convenir, sauf qu'il s'agit alors d'assumer de respecter la règle du vote obligatoire, sans possibilité de manifester contre ça.

          En fait, il n'est pas sain qu'il soit obligatoire de voter :

          • pour des raisons pragmatiques dans un système de vote numérique à distance où tout le monde n'aurait pas la jouissance d'un dispositif de vote portatif (matériel et logiciel libre) et devrait se rendre dans un lieu centralisé à l'occasion de vote suffisament significatif pour mériter le déplacement.
          • parce que si le vote se déploie à toutes les lois proposées par l'assemblée (mode de démocratie athénienne originel), pour tous les citoyens, il est parfaitement légitime de laisser la liberté à chacun de refuser de s'exprimer sur une loi ou l'autre (incompétence assumée, ou toute autre raison)

          J'ai développé un peu ces questions au lien fournit dans ce commentaire plus haut - je rassemble le propos intéressant ci-dessous (en ajoutant un lien).

          La critique du présupposé que chacun devrait avoir accès à un ordinateur ne tient pas : le coût en matière première et monétaire a drastiquement décru pour produire un ordinateur fonctionnel de petite taille. On trouve déjà des ordinateurs (sans écran) à moins de $40, qui fonctionnent sous Linux (avec du code non libre sur le GPU, je ne rentre pas dans les détails - je pense au "Raspberry pi"), pour donner un ordre de grandeur. Par ailleurs, pour qui n’aurait pas un tel ordinateur, on pourrait très bien envisager un mode de fonctionnement où il est nécessaire de se déplacer au centre de vote le plus proche, comportant du matériel libre audité comme décrit, permettant à chacun de voter - au moins pour les votes qu’il considère important -, dans des conditions certes dégradées, mais valides, si l’organisation du travail laisse un degré de liberté convenable.

          La critique du principe démocratique comme quoi "celui qui parvient à attirer à lui la majorité détient le pouvoir" ne tient pas à l’analyse, à mon sens : dans la mesure où le peuple reprendrait le pouvoir constituant à l’occasion d’une forte pression populaire (qui peut se déployer à l’échelle nationale, voire continentale, et bien sûr mondiale si les forces convergent), cette majorité détiendrait le pouvoir comme la philiosophe Simone Weil le présente (Cf "Note sur la suppression generale des partis politiques") : dans la recherche du vrai, de la justesse, de la justice, de l’équilibre et du respect de tous, impliquant de fait un travail de cybernétique pour gérer les flux de matière et d’énergie, par des collaborations à l’échelle internationale (c’est ce qu’il est souhaitable d’obtenir, question de bon sens écologique également, de préoccupation pour les générations futures).

          À la critique exprimée ainsi : "on s’imagine que tout le monde a le niveau intellectuel pour comprendre les enjeux nationaux, ce qui est évidemment faux (actuellement même nos ministres n’ont plus ce niveaux). Mais aussi que tous le monde a le temps et l’intérêt de se préoccuper de ces enjeux", je réponds que la confiance transitive en réseaux est un processus qui existe. Par une densification de l’information échangée avec un haut niveau de crédibilité dans sa justesse, liée à des processus d’authentification, par l’image, par des constructions synthétiques (vidéo et/ou textuelles) au niveau de profondeur adaptatif (!), je considère intimenent que l’expertise affichée par des acteurs qui analysent la société, dans la recherche de l’équilibre (donc du consensus), peut permettre à chacun d’accéder au bon sens, chacun à son niveau, selon son besoin d’approfondissement, dépendant du niveau de confiance qu’il a dans les acteurs sociaux auquels il accorde de l’attention.

          Dans cette vision, il n’est pas besoin que chacun "[prenne] le temps de quitter ses activités vivrières pour aller débattre (dans un stade non couvert et non chauffé) de questions auxquelles ils ne comprennent rien".

  • # OCR

    Posté par . Évalué à  5 .

    Je ne comprend pas l'absence d'une solution toute bête du débat : la reconnaissance de bulletins. Ça a l'avantage de la non falsifiabilité et de la vérifiabilité, comme le vote papier, et ceux du vote électronique, coût, rapidité. En l'absence d'argument contre cette solution, je prend ce silence comme un aveu d'une volonté de manipuler les votes.

    • [^] # Re: OCR

      Posté par . Évalué à  1 .

      Bonjour

      compter les bulletins par OCR n'est que deplacer le problème.

      Qu'est ce qui assure aux citoyens que le comptage affiché après scan de tous les bulletins est bien le bon ? Si on redemande la vérification du comptage, autant compter physiquement les bulletins du premier coup

      • [^] # Re: OCR

        Posté par (page perso) . Évalué à  4 .

        Ça permettrait d'avoir rapidement des estimations des résultats, et plus fiables que les sondages « sortie des urnes ». Maintenant, est-ce que le prix en vaut le coup ? Je n'en suis pas sûr.

        • [^] # Re: OCR

          Posté par . Évalué à  2 .

          Quel est l'interet d'avoir des estimations des résultats ? ce qui est important, c'est le resultat Non ?

          Pour ce qui est de la fiabilité, je ne pourrais pas dire. C'est le même problème qu'un ordinateur de vote. Ca donne UN resultat, c'est tout.

          • [^] # Re: OCR

            Posté par (page perso) . Évalué à  3 .

            Quel est l'interet d'avoir des estimations des résultats ? ce qui est important, c'est le resultat Non ?

            Va dire ça aux instituts de sondage ou aux médias qui font un trafic énorme le soir des élections quand on discute des estimations de résultats. Quand il y a une élection présidentielle, tout le monde veut avoir le résultat à 20h (ou même avant sur les sites web belges et suisses) et tant pis si ce n'est qu'une estimation grossière.

          • [^] # Re: OCR

            Posté par (page perso) . Évalué à  4 .

            Dans certains pays, ça sert à savoir si le résultat officiel est très différent des votes.

      • [^] # Re: OCR

        Posté par . Évalué à  0 . Dernière modification : le 16/11/12 à 13:36

        Il suffit de recompter certains bureaux de votes, choisis aléatoirement. Si on se rend compte qu'il y a une différence, on recompte tous les votes qui ont été votés par les machines de ce type. Si fraude, poursuites pénales, scandale médiatique de grande ampleur, perte totale de crédibilité pour le constructeur. Mais cela ne devrait pas arriver, le risque pour celui qui triche est bien trop important. La menace de pouvoir vérifier permet de ne pas avoir à le faire systématiquement.

        Rien n'interdit non plus de faire un second dépouillement avec une autre machine, supervisé par un autre observateur indépendant. Voir autant de dépouillements qu'il y a de partis. On ne perd rien par rapport au vote traditionnel de ce point de vue.

      • [^] # Re: OCR

        Posté par . Évalué à  1 .

        Quand on se met a douter que le vote electronique puisse focntionner, je pense qu'il faut se rendre compte d'une evidence, c'est qu'on peut legitimement penser que la democratie n'est peut etre pas le bon systeme.

    • [^] # Re: OCR

      Posté par . Évalué à  1 .

      Ben j'en ai un gros moi (d'argument, vous pensiez à quoi ?) : comment tu assures que le bulletin passé à l'OCR est le même que celui qui est mis dans l'enveloppe ? Si tu ne sais pas le faire, alors il est facile pour n'importe qui de faire invalider le vote de tout le bureau.

      • [^] # Re: OCR

        Posté par . Évalué à  3 .

        Ah, et j'en ai un autre : ça ne résout pas non plus un autre problème : du moment que tu utilises une machine, tu ne pourras le faire qu'une fois j'imagine, sinon elle te dira "déjà voté". Donc tu peux filmer ça avec un téléphone portable et vendre ton vote, ou encore une fois être vulnérable aux pressions (tu votes pour bidule sinon j'te pète la gueule). Avec un vote papier c'est impossible : tu peux filmer de mettre le papier dans l'enveloppe, arreter et recommencer avec un autre bulletin. On ne peut pas filmer toute la procédure car si tu sors de l'isoloir avec ton tel portable qui filme les assesseurs ne vont pas rigoler…

        • [^] # Re: OCR

          Posté par . Évalué à  2 .

          Non, je crois que tu n'as pas compris : la procédure de vote reste la même que pour le vote traditionnel, cela reste un vote papier, mais le dépouillement est fait par des machines, sous contrôle d'un humain.

        • [^] # Re: OCR

          Posté par . Évalué à  2 .

          "Donc tu peux filmer ça avec un téléphone portable et vendre ton vote, "
          Tu peux deja le faire avec un vote papier aussi, a moins d'etre presdigidateur, tu filmes (genre lunette avec camera integree, elles sont tres discrete maintenant) de l'insertion du bulletin d'enveloppe jusqu'a ce que tu remettes l'enveloppe.

          Bref ce n'est pas un argument valable.

      • [^] # Re: OCR

        Posté par . Évalué à  2 .

        On peut mettre la machine dans le bureau de vote, des observateurs indépendants peuvent suivre le trajet des enveloppes. La machine peut être transparente physiquement. L'important est d'avoir un objet physique que les observateurs peuvent suivre.

  • # Système de Vérification Citoyenne des Machines (ou Serveurs)

    Posté par . Évalué à  -2 .

    Je propose un système de vérification citoyenne comme suit :
    chaque année, 10 individus (possédant les droits civiques complets) sont tirés au sort parmis la population. Ils peuvent refuser, ce qui ferait tirer au sort à nouveau pour compléter.
    Ces 10 personnes suivent une formation spécifique visant à leur donner les compétences techniques pour la vérification. La formation peut être longue. Ces études sont rémunérées.
    À l'issue de cette formation ils intègrent un corps civique spécial chargé de la vérification des machines, serveurs ou logiciels qui composent le système de vote (en plus des spécialistes et universitaires bien entendu). Lors de l'inspection ils rapportent publiquement tout ce qui leur semble problématique.

    Est-ce qu'un tel système ne serait pas une bonne solution, même si il n'y a pas de solution idéale ?
    (d'ailleurs le vote papier lui-même n'est pas une solution idéale)

    • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

      Posté par . Évalué à  2 .

      Tu n'as pas une usine à gaz plus compliquée sous le coude ? Et ça ne règle pas le problème de base : PERSONNE ne peut vérifier une machine informatique, sauf à coup vraiment prohibitif (microscope électronique et cie), surtout si tu dois vérifier l'ensemble des machines de l'ensemble des bureaux de vote de France et de Navarre.

    • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

      Posté par (page perso) . Évalué à  5 .

      Admettons que ces personnes soient parfaitement qualifiées et qu'elles aient validé un logiciel parfait. Il n'est pas possible de vérifier que ce sera ce même programme qui sera utilisé.Il peut avoir été modifié après, il peut y avoir un deuxième programme qui intervient juste pendant quelques heures et se détruit ensuite, une backdoor… Enfin, il y a tellement de possibilités de tricher qu'il vaut mieux renoncer à tout jamais à ce soi-disant progrès.

      • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

        Posté par . Évalué à  -1 .

        Tout comme le post précédent, la réponse est la même : il suffit de surveiller le processus d'installation de la machine.
        Partir d'une distribution Linux off-the-shelf (ou bien la graver avec des appareils lambda du commerce), et utiliser cet OS pour installer le serveur, les commandes étant vues par les "assesseurs techniciens". Ils pourront dire s'ils voient des manigances, car si il y a tentative d'obfuscation ce sera flagrant.

        • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

          Posté par (page perso) . Évalué à  4 .

          Et comment tu surveilles que les machines qui vont servir à l'installation font bien ce qu'elles devraient faire ?

          Je t'invite à lire un papier de Ken Thompson, Reflections on trusting trust dont la conclusion me semble très explicite :

          The moral is obvious. You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code.

          • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

            Posté par . Évalué à  -1 .

            Et si tout simplement c'était des machines grand public, soit très grand tirage, soit assez anciennes, qui étaient utilisées ?
            Il me semble que l'on peut avoir confiance aux machines standard : elles ont été tirées en séries et depuis longtemps pour tous usages, et un fonctionnement bizarre caché du CPU ou autres aurait été découvert, surtout avec les OS alternatifs.

        • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

          Posté par (page perso) . Évalué à  1 .

          Tout comme le post précédent, la réponse est la même : il suffit de surveiller le processus d'installation de la machine.

          Toi tu as une confiance aveugle dans le matériel de ta machine.

          • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

            Posté par . Évalué à  -1 .

            Qui aurait intérêt à dépenser des sommes folles à instrumenter tous les PCs du commerce pour le seul but que ceux qui sont utilisés dans ce process soient biaisés ?
            De plus, il suffit de choisir une machine assez ancienne pour que le projet de son instrumentation secrète n'ait même pas pu être encore envisagé au moment de sa production en usine.

            • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

              Posté par (page perso) . Évalué à  1 .

              Qui aurait intérêt à dépenser des sommes folles à instrumenter tous les PCs du commerce pour le seul but que ceux qui sont utilisés dans ce process soient biaisés ?

              Il existe une séquence magique de 24 octets qui, lorsqu'ils sont lus dans un rep movsb changent le niveau de privilège de la page mémoire. Tous les PCs du commerce sont déjà «instrumentés» par la CIA.

              • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

                Posté par . Évalué à  -1 . Dernière modification : le 20/11/12 à 03:25

                Je suppose que je dois prendre ça au 33e degré : c'est très ridicule comme blague.
                Et si cette séquence est présente, genre dans une séquence produite par un générateur aléatoire (seulement 24 octets ça a une bonne grosse proba d'arriver dans une séquence !), tu fais planter ton ordi juste pour ça ? Tu vois bien que dans des machines utilisées pour des tas d'applications ça ne peut pas arriver ! Ou bien ça ferait longtemps que ça se saurait, et quand ça se sait ce n'est plus un problème.
                Et paf, arg suivant ? (mais évite les blagues hein)

                • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

                  Posté par . Évalué à  -1 .

                  Autre raison : si c'était le cas pour des séquences vraiment grandes (et donc peu probables), ça alourdirait tellement le temps d'execution de l'instruction que cette instruction deviendrait totalement inutilisable (et donc lors de l'implémentation de gcc pour cette architecture on s'en passerait).

                • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

                  Posté par (page perso) . Évalué à  1 .

                  (seulement 24 octets ça a une bonne grosse proba d'arriver dans une séquence !)

                  Tu sais de quoi tu parles? Le nombre de séquences de 24 octets est

                  6277101735386680763835789423207666416102355444464034512896

                  tu fais planter ton ordi juste pour ça ?

                  Tu sais ce que c'est le niveau de sécurité d'une page mémoire?

                  Ou bien ça ferait longtemps que ça se saurait, et quand ça se sait ce n'est plus un problème.

                  Je suis convaincu. Tes arguments sont irréfutables.

                  Je suppose que je dois prendre ça au 33e degré

                  Apparemment c'est à peu près tout ce que tu as compris dans les trois lignes que j'ai écrit. Tu le réalises?

                  • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

                    Posté par . Évalué à  0 . Dernière modification : le 20/11/12 à 08:57

                    Tu crois que je dis ça sans réfléchir ?
                    Par exemple les attaques brute force en cryptographie consistent à essayer toutes les possibilités.
                    Genre 240=1099511627776 c'est énorme et pourtant : http://en.wikipedia.org/wiki/40-bit_encryption
                    << A typical home computer in 2004 could brute-force a 40-bit key in a little under two weeks >>
                    Pour rappel les clés de 192 bits (tes 24 octets) sont réputées sûres actuellement pour le brute force, mais il y a plein de gens qui cherchent quand même à les casser avec des techniques plus fines.
                    Et donc, pendant que ça cherche l'ordi va planter bêtement parce qu'il aura essayé la séquence "CIA" ?
                    Et pour ce qui est de planter, je dis ça car des OS comme Linux ont certainement un comportement différent selon le flag de la page mémoire, et donc bien évidemment ce n'est pas le comportement "cohérent" qui aurait lieu, et dans le meilleur des cas ce sera rattrapé par une séquence de traitement d'erreur et il y aura un oops.
                    J'aimerais bien avoir ton avis, comment est-ce que tu penses que ça ne pourrait pas perturber l'OS ?

                    Autre argument : les ingénieurs de la CIA seraient bien embêtés pour documenter leur "fonctionnalité" !
                    Si leurs ordinateurs sont du même type, tout ceux qui essaieront de lire la séquence dans un fichier texte changeront la sécurité des pages mémoire…

                  • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

                    Posté par . Évalué à  0 .

                    Ok très bien admettons que ce soit une menace réelle, pour continuer la réflexion.
                    Dans ce cas il suffit d'inspecter la chaîne de construction du hardware. Les outils logiciels et matériels utilisés pour créer les CPUs sont les mêmes que pour n'importe quel autre circuit (y compris de petits circuits, où une anomalie serait vite détectée), et il y a beaucoup de ces outils qui sont open source (en particulier pour passer du code RTL à du niveau gates).

              • [^] # Re: Système de Vérification Citoyenne des Machines (ou Serveurs)

                Posté par . Évalué à  -2 .

                Plus généralement cette famille d'arguments se fait ridiculiser classiquement ainsi :
                * le compilateur gcc est fait pour utiliser une liste d'instructions, d'une certaine manière. Si le matériel n'est pas tout récent, ces instructions auront toutes été utilisées à peu près de toutes les manières possibles, pour les situations "sensées", c'est-à-dire pour le code C "sensé" correspondant. Par code "insensé" je pense à du code vraiment exotique qui se remarquerait tout de suite et qui ne passerait pas la moindre épreuve d'un commit officiel.
                * si jamais des instructions "spéciales" existent pour une architecture, personne ne sait qu'elles existent et personne ne les utilisera dans gcc.

                Conclusion : et paf, dans les dents pour ceux qui aiment bien faire marronner les autres avec des théories du complot foireuses : )
                Les théories du complot en sécurité informatique, c'est bien quand c'est crédible (ça fait avancer le domaine), mais excusez-moi quand c'est des arguments foireux ça me met en colère, car au contraire ça désinforme les gens. Et sur un site comme ça on ne désinforme pas, c'est tout.

  • # Quels sont les limites du système actuel en fait ?

    Posté par . Évalué à  5 .

    En fait, je ne vois pas de réels motivations au vote électronique si ce n'est d'avoir les résultats rapidement.
    Le système actuel est sain et permet à n'importe qui de savoir comment cela fonctionne.

    Pourquoi le changer ?

    J'avoue que je suis encore plus dubitatif sur le vote par internet.

    Est-ce vraiment utile que les gens votent si facilement ? N'y a t-il pas un risque que les gens ne prennent plus ça au sérieux ?

    • [^] # Re: Quels sont les limites du système actuel en fait ?

      Posté par . Évalué à  -10 . Dernière modification : le 16/11/12 à 19:30

      Le système actuel est sain

      Voter pour un candidat que l'on a choisi parmis un panel de gens (soumis à leurs pourvoyeur de fonds, auxquels ils font allégeance, pour la plupart) QUE NOUS N'AVONS PAS CHOISI, ce n'est pas une situation saine. Il y a beaucoup d'autres raisons de considérer la situation comme malsaine. Parmis elles, tu élis un représentant auquel tu signes un chèque en blanc pour des années, qui n'a que peu de compte à rendre à la population (on s'assoie sur le référundum de 2005 / on on fait le contraire des promesses, etc)…

      Dans ce contexte, on a des machines de vote hors de contrôle populaire sérieux. Le matériel n'est pas libre, non fabriqué et livré sous surveillance de représentants du peuple (qui soit responsables devant le peuple de l'application de leur expertise appliquée à l'audit, à la surveillance), dont le logiciel n'est pas libre.

      N'y a pas un évident petit problème de confiance ?

      Il y a des raisons de changer, oui.

      Le vote par internet prend du sens tel que je l'ai esquissé ici et décrit plus largement dans d'autres commentaires sous cette dépêche.


      Tiens, je vais te propose de regarder notre problématique commune à tous, vue par Eben Moglen :

      Une 4e voie, un bon diagnostique, une vision claire…

      Eben Moglen speaking at HOPE Number 9 in NYC about Walled Gardens and the First Law of Robotics : https://www.youtube.com/watch?v=vY43zF_eHu4 …où sont expliqués des fondamentaux, en anglais - on dispose d'un résumé et d'une transcription (anglais). Ressources :
      - Audio 64 kbps : http://c3455205.r5.cf0.rackcdn.com/HN9B11.mp3
      ….Source : cf http://www.hopenumbernine.net/schedule/ (fichier en 16kbps disponible)
      - Page de présentation + résumé : https://www.softwarefreedom.org/events/2012/Moglen-HOPE-Retrofitting-the-Frist-Law-of-Robotics/
      - Transcription : https://www.softwarefreedom.org/events/2012/hope_moglen-speech-2012.html
      - Qui est Eben Moglen : http://www.hopenumbernine.net/speakers/#moglen

      /* un moment applaudi, parmis d'autres :
      We have to point out that if devices are unsafe, it is a {legal obligation} to permit us to make them safer. If you sell an unsafe slicer in a delicatessen, or an unsafe automobile, and you attempt to prevent people from modifying those devices to make them safer, if you’re actually out there actively interferring with attempts to make them safer, then when people get hurt {you should be liable}.
      */

      Du même auteur, je vous propose :

      Note : nombreuses interventions récentes d'Eben Moglen répertoriées ici, par exemple : http://zomobo.net/Eben_Moglen

    • [^] # Re: Quels sont les limites du système actuel en fait ?

      Posté par . Évalué à  2 .

      Pour préciser, je parle du système de vote papier actuel.
      Je ne parle ni de notre système politique ni du mode de scrutin etc.

    • [^] # Re: Quels sont les limites du système actuel en fait ?

      Posté par . Évalué à  0 .

      Le vote sur internet permet de voter à distance sans se déplacer et sans faire de procuration (de toute manière le procuré doit aussi se déplacer, pour le vote papier).
      Donc ça permet également de solliciter le vote beaucoup plus souvent, car ça ne dérange pas beaucoup les citoyens. On pourrait donc imaginer un scrutin par problème posé, au lieu d'un scrutin global censé élire des politiques affirmant pouvoir répondre à tous les problèmes présents ou futurs…

    • [^] # Re: Quels sont les limites du système actuel en fait ?

      Posté par (page perso) . Évalué à  1 .

      Le système actuel est sain et permet à n'importe qui de savoir comment cela fonctionne.

      Tout à fait d'accord. Les bonnes caractéristiques du vote papier (vérifiaibilité, difficulté à falsifier de façon massive — du moins pour un scrutin national — etc.) sont faciles à expliquer. Tout ce qui fait intervenir du vote éléctronique est invariablement plus compliqué.

      Dans certain cas, le vote éléctronique apporte des avantages (par exemples pour faire voter des personnes dispersées géographiquement) mais il doit être organisé par un tiers de confiance. Et pour l'éléction présidentielle, c'est difficile à trouver!

      • [^] # Re: Quels sont les limites du système actuel en fait ?

        Posté par . Évalué à  0 .

        Même si du fais organiser ça par une équipe mixte ? Pourtant dans ce cas les intérêts s'annulent et l'équipe a tout à gagner à un système électronique sûr.
        C'est le même principe que pour des assesseurs "papier".

  • # Développement réflexion vote numérique à distance - sécurisation

    Posté par . Évalué à  -10 .

    Déjà, merci à samo< d'avoir poussé dans le même sens que moi !

    La réflexion de Pierre Jarillon (il déclare qu' "il n'est pas possible de vérifier que ce sera ce même programme qui sera utilisé") m'a poussé à méditer plus avant ma vision.

    Je note qu'il y a un préalable à l'usage d'OpenGPG. Le risque d'obtention de la clé privée de l'ordinateur de collecte par décryptage doit être réduit à néant.
    Existe-t-il le risque de la retrouver (par force brute, vu la puissance des supercalculateurs modernes) ?

    • à partir de la clé publique correspondante
    • à partir des multiples messages authentifiés par la machine de collecte

    1) sureté du matériel sur la durée

    Le matériel de collecte de vote doit être protégé sur tout son cycle de vie. Une fois le matériel installé, il peut être l'objet d'une malveillance.

    Il faut chercher à éliminer le risque :

    • d'extraction des informations nominatives du vote (authentifié)
    • d'extraction de la clé privée de la machine (lui permettant d'authentifier ses messages)

    Rappel : l'authentification est nécessaire au vote numérique. L'information authentifiée (avec la clé privée du votant) doit être chiffrée (avec la clé publique de l'ordinateur de collecte), pour éviter l'interception des suffrages.

    La clé privée de l'ordinateur de collecte doit être une information inaccessible, uniquement présente dans la machine de collecte. Seule la clé publique doit être conservée et rendue publique.

    La génération de la clé privée (comme la fabrication de la machine et sa livraison) doit être faite sous surveillance, ainsi que son transfert dans la machine de collecte de vote, ainsi que son effacement irrémédiable de tout support externe, s'il y a lieu.

    L'ordinateur de vote, une fois fabriqué et son logiciel mis en place (+ clé privée), ne doit être accédé pour administration QUE sur site, et selon un protocole strict, filmé, sous contrôle d'assesseurs techniques.

    Pour éliminer le risque de malveillance sur la machine de collecte de vote, notamment la récupération de sa clé privée (lui permettant d'authentifier ses messages), on peut envisager :

    • la machine est fermée définitivement à la fabrication et embarque les clés publiques des votants à la date T, lui permettant d'émettre des messages chiffrés à destinations de ces correspondants (accusés réception d'un vote, par exemple). Si ce besoin est avéré, il faut considérer que la durée de vie de la machine en l'état est limitée par le nombre minimum admissible (à définir) de citoyens destinataires de messages chiffrés émis par la machine de collecte ;
    • La fermeture de la machine implique l'impossibilité de la modifier matériellement ;
    • le capot est blindé ;
    • un système électronique interne surveille son étanchéité en permanence - lasers (mesure du temps de rebond sur une paroi) - ondes radar et/ou sonores (volumétrie) ;
    • capacité de la machine à détruire physiquement toute zone mémoire qui pourrait conserver la trace de la clé privée, ce qui implique une réserve d'énergie embarquée dans la machine (un gros condensateur, lié à un système pyrotechnique confiné), destruction physique qui se ferait dès qu'un accès physique est tenté ou dès que la source d'énergie externe et coupée ET que le seuil d'énergie interne nécessaire à la destruction est atteint (laissant quelques minutes de vie à la machine avec alim coupée) ;
    • la machine émet des trames authentifiées toutes les secondes, garantissant de son fonctionnement continu.

    Pour limiter le risque de prise de contrôle d'une machine de collecte de vote (d'obtention de sa clé privée par exemple), on peut envisager de multiplier le nombre de ces machines. Chacune des machines de vote a vocation à recevoir chacun des suffrages sur un vote, à chaque fois chiffré par la clé publique de la machine de collecte de vote concernée (pour un citoyen qui vote, autant de messages chiffrés que de machines de collecte de vote).

    2) la question de la sureté de la base de votants

    Le fichier des votants a vocation à être public. Le fichier doit être sous surveillance ainsi que sa mise à jour. Le protocole de mise à jour :

    • doit nécessiter de multiples validations par des citoyens (actes de validation authentifiés (historisés ?)) ;
    • doit permettre le transfert de votants d'une région à une autre (quelle que soit l'étendue de la région concernée), ce qui implique l'assurance de l'effacement de la liste d'origine du votant.

    Pour traiter le risque d'exposition aux EMP (cf plus bas), on considèrera l'intérêt de disposer du fichier des votants à l'extérieure de la machine de collecte ! Se pose la question de la sécurité de ce fichier ET de la machine qui le gère.

    3) La question spécifique du risque de destruction par EMP

    Il y a risque de destruction des outils numérique par arme EMP (Electro-Magnetic Pulse), cf drone US émetteur d'EMP. Vidéo sur youtube : http://www.youtube.com/watch?v=O-BukbpkOd8
    Info traitée ici : http://io9.com/5954756/we-now-have-drones-equipped-with-emp-beams-++-and-that-could-be-lethal - discutée là : http://www.davidicke.com/forum/showthread.php?t=226144

    Ce risque est majeur en cas de conflit. Une attaque rendrait impossible les prises de décisions citoyennes selon le principe du vote.

    Pour couvrir ce risque, une solution possible :

    a)
    La duplication de chaque machine de collecte de vote avec le logiciel ET la même clé privée.
    Il peut y a voir de multiples machines de collecte, une par région.
    J'appelle "machine N" la machine pour la région "N"
    Il faut garantir que le double (ou triple…) de la machine N ne sert pas pendant que l'original est en production. Pour implémenter cette fonction, considérer l'usage d'un code spécifique à chaque instance de la machine N, par exemple une deuxième clé privée, permettant de s'assurer qu'une seule machine N est en fonctionnement à un instant T.
    Le protocole de commutation d'une machine N vers son double pourrait être : annonce publique du problème manifesté, situation filmée, lancement d'un appel à validation du double par de multiples votants (actions authentifiées, nécessitant l'obtention d'informations précises, à définir.

    b)
    Le double de la machine N (si besoin le triple… etc) est stocké dans une cage faraday, en lieu sûr… Définir ce qu'est un lieu "sûr". On peut imaginer la situation suivante : la machine est constamment alimentée pour permettre le protocole interne de surveillance d'accès physique. La source d'alimentation est interne à la cage de faraday (mini-centrale nucléaire, fusion froide…) ou bien externe pour faciliter les manipulations de cette machine, en cas de besoin (auquel cas le système alimentant en énergie, autonome, est lui-même protégé contre les EMP, dans une cage de faraday) avec découplage électro-magnétique - on pourra réfléchir à la transmission d'énergie par un laser (un récepteur spécifique côté machine recevant l'énergie du laser).

    À suivre, car la démocratie est un concept trop sérieux pour laisser des malades mentaux s'en occuper !

    • [^] # Re: Développement réflexion vote numérique à distance - sécurisation

      Posté par . Évalué à  -10 .

      Quatres précisions :

      Au début du paragraphe 1) du post précédent, j'ai écrit :

      Il faut chercher à éliminer le risque :

      • d'extraction des informations nominatives du vote (authentifié)
      • d'extraction de la clé privée de la machine (lui permettant d'authentifier ses messages)

      La clé privée de la machine de collecte de vote lui permet d'authentifier les messages qu'elle émet ainsi que de déchiffrer les messages chiffrés à son intention (chiffrés grâce à la clé publique correspondante). Je renvoie aux nombreuses ressources sur OpenGPG, dont la dépêche pédagogique que j'avais publié sur linuxfr : GPG - les concepts en clair et pédagogiquement.


      Concernant le nombre de machines de collecte de vote et l'architecture (je ne considère pas ici la question du doublage (triplement…) des machines de vote pour résister à des attaques type EMP), j'ai écrit :

      a) À la fin du paragraphe 1) du post précédent : « Pour limiter le risque de prise de contrôle d'une machine de collecte de vote (d'obtention de sa clé privée par exemple), on peut envisager de multiplier le nombre de ces machines. Chacune des machines de vote a vocation à recevoir chacun des suffrages sur un vote, à chaque fois chiffré par la clé publique de la machine de collecte de vote concernée (pour un citoyen qui vote, autant de messages chiffrés que de machines de collecte de vote) ».

      b) Au paragraphe 3) du post précédent : « Il peut y a voir de multiples machines de collecte, une par région. J'appelle "machine N" la machine pour la région "N" ».

      Je reprends le propos et le précise/corrige ainsi : pour une unité géographique de vote donnée (pour une région N, pour reprendre mon vocabulaire du point b) ), il est bon qu'il y ait plusieurs machines de collecte de vote (point a) précédent), avec le principe de votes authentifiés et chiffrés à destination de chacune de ces machines.
      Pour que cela prenne du sens (augmentation de la résistance au piratage), il peut se révéler préférable d'automatiser la vérification de cohérence des votes entre toutes les machines de collecte, au sein du réseau de ces machines (permettant de vérifier la cohérence votant par votant, sans sortir de ces machines l'information des suffrages), auquel cas chacune doit connaitre les clé publiques des autres. Pour que cela soit possible, en conformité avec les protocoles décrits, il est sain que l'enregistrement de ces données (les clés publique) soit fait dans la foulée de l'assemblage des machines, dans le cadre de la vérification renforcée, plutôt que par la suite, dans le cadre d'une intervention d'assesseurs techniques.


      La communication entre une machine de vote en production et le réseau Internet peut se faire par couplage optique (par échange laser), permettant d'envisager d'avoir la machine de production elle-même dans une cage faraday.

      En cas d'attaque EMP, la reconfiguration du réseau des machines restant valides (1) d'une même région N se fera logiquement par contrôles d'assesseurs techniques, intervention filmée, comme déjà décrit.

      (1) Il y a les machines, éventuellement sous cage faraday (y compris celles en production), et il y a les équipements réseaux annexes, qui peuvent avoir grillé.


      Dans une attaque EMP, je ne considère pas la destruction des terminaux mobiles des votants. On pourra considérer cette question si on craint une attaque EMP généralisée à une vaste région.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.