Journal Helios, un logiciel libre de vote électronique

Posté par . Licence CC by-sa
16
1
oct.
2015

Dans le numéro d'octobre 2015 de La Recherche (n° 504), Véronique Cortier a écrit un article de 5 pages sur la sécurité du vote électronique.

En résumé, la chercheuse commence par préciser que « le vote en ligne - ou vote électronique - est loin d'être aussi fiable que le vote classique ». Elle recense ainsi les risques suivants, bien connus de plusieurs d'entre vous :

  • modification ou divulgation du vote si l'ordinateur d'un électeur est infecté par un virus
  • manipulation du résultat du vote si le serveur de vote est compromis.

Elle donne l'exemple du chercheur en informatique Alex Halderman qui en 2010 a pris le contrôle du système de vote géré par le district de Columbia pour les citoyens américains à l'étranger.

Rappelons qu'un bon système de vote, électronique ou non, doit au minimum garantir la confidentialité du vote et sa vérifiabilité.

Helios

C'est l'objectif du système de vote Helios. Développé depuis 2008, c'est un logiciel libre sous la licence Apache 2.0. C'est un outil de recherche en développement continu bien qu'il ait déjà été utilisé dans quelques élections :

  • élection du président de l'université Louvain en 2009
  • élection de l'équipe dirigeante de l'Association internationale pour la recherche en cryptologie depuis 2010

En pratique comment ça marche

Sur le client, l'électeur vote « oui » ou « non ». Ce vote est crypté avec une clé de chiffrement publique. Après identification de l'électeur par un couple identifiant/mot de passe, le vote est envoyé sur le serveur de vote. Le vote est alors « visible » sur une page Web ou une urne publique est présente permettant, d'après la chercheuse, de vérifier son vote.

Le dépouillement nécessite une clé de déchiffrement privée partagée avant le vote entre trois ou quatre autorité de déchiffrement (maire, responsables de différents partis, …). Chacune de ces parties possède une « partie » de la clé de sorte qu'au moins deux parties de la clé soient nécessaires pour déchiffrer le résultat de l'élection.

En vue de garantir la confidentialité, les bulletins cryptés sont déchiffrés tous ensemble et non un par un. Pour les experts, cela utilise un chiffrement de type ElGamal qui dispose des propriétés mathématiques adéquates. Couplé à un système de preuve à divulgation nulle de connaissance, Helios se dit pouvoir garantir la validité du vote.

Limites

Si l'ordinateur de l'électeur est infecté par un virus, le virus pourrait altéré le vote avant son chiffrement. Des solutions sont à l'étude reposant sur un autre appareil, tel qu'un téléphone portable permettant de vérifier le vote reçu par l'urne.

Véronique Cortier conclut l'article en indiquant qu'un tel système n'a aucune résistance à la coercition. Elle indique ainsi qu'un tel système ne doit pas être utilisé dans un vote à fort enjeu où l'achat de vote est possible.

Reste toujours le problème de l'explication du fonctionnement d'un tel système aux non-informaticiens et donc la perte de confiance possible envers de tels systèmes pour ceux-ci.

  • # Crypter n'existe pas en français

    Posté par (page perso) . Évalué à 9.

  • # Commentaire supprimé

    Posté par . Évalué à 10.

    Ce commentaire a été supprimé par l'équipe de modération.

  • # C'est moi ou...

    Posté par . Évalué à 4.

    Ce vote est crypté avec une clé de chiffrement publique. Après identification de l'électeur par un couple identifiant/mot de passe, le vote est envoyé sur le serveur de vote. Le vote est alors « visible » sur une page Web ou une urne publique est présente permettant, d'après la chercheuse, de vérifier son vote.

    Si mon vote peut être affiché en ligne c'est que le serveur possède la clé privée permettant de le déchiffrer. Car si c'est la clé publique qui chiffre, seule la clé privée peut déchiffrer et inversement.

    Du coup si le serveur a la clé privée, il peut très bien m'afficher ce qu'il veut et modifier mon vote en arrière plan.

    Le mieux serait de chiffrer (au moins signer) avec sa clé privée a soi ainsi le vote ne peut être modifié et il est non-répudiable.

    • [^] # Re: C'est moi ou...

      Posté par . Évalué à 2.

      Le dépouillement nécessite une clé de déchiffrement privée partagée avant le vote entre trois ou quatre autorité de déchiffrement (maire, responsables de différents partis, …). Chacune de ces parties possède une « partie » de la clé de sorte qu'au moins deux parties de la clé soient nécessaires pour déchiffrer le résultat de l'élection.

      Si je comprends bien, le serveur ne détient pas la clé privée.
      Le vote "visible" dans l'urne publique n'est pas le "Oui" ou le "Non", mais le fait que le vote a bien eu lieu, sinon l'élection en cours serait influencée par le score en temps réel. (enfin, c'est ce que je crois avoir compris…)

      • [^] # Re: C'est moi ou...

        Posté par . Évalué à 5.

        Donc oui cela permet de s'assurer que le vote a bien été reçu (en théorie) mais pas de s'assurer que le vote sera comptabilisé tel qu'il a été envoyé. Comment être sûr que si je vote "Oui", il sera comptabilisé comme tel ? En vote papier il y a plusieurs témoins lors du vote et lors du comptage. En électronique, le code, libre ou pas, il peut bien faire ce qu'il veut.

        Je ne pense pas qu'il y ait encore un moyen sur de s'assurer qu'un système informatique fera exactement ce qu'il prétend faire.

        • [^] # Re: C'est moi ou...

          Posté par . Évalué à 5.

          Je suis allé faire un tour sur la FAQ du site Helios, à propos de la vérifiabilité ça dit :

          A typical tracking number, say for shipping a package, is more or less a random number: it means nothing other than the label on your package. It’s conceivable that your package gets there, tracking number intact, but its contents destroyed. In the digital world, we’re able to produce a special kind of tracking number that is far from random: it is a fingerprint of the encryption of your vote. So, if your smart ballot tracker makes it all the way to the tally, you know that not only did your ballot make it into the tally, you also know that it wasn’t tampered with in the process.

          L'électeur reçoit un "fingerprint" (empreinte digitale ?) de son vote et peut aller vérifier dans l'urne publique que le "fingerprint" de son vote est bien le même que celui qui a quitté sa machine.

          Pour ce qui est du vote physique, oui, ce qui est important c'est bien le fait qu'il y ait plusieurs témoins de parties politiques différents qui se surveillent mutuellement. C'est ça qui donne confiance. Dans le cas du vote électronique, on nous demande de faire confiance à un seul système, c'est peut-être là le problème ?

          • [^] # Re: C'est moi ou...

            Posté par . Évalué à 3.

            Et donc, l'ensemble des bulletins de votes soit le fingerprint et le vote en lui même sont publiés en fin de process, permettant de vérifier son bulletin ainsi que le comptage ?

            • [^] # Re: C'est moi ou...

              Posté par . Évalué à 5. Dernière modification le 02/10/15 à 19:28.

              Le processus de dépouillement est expliqué dans cet articles sur interstices.
              La validité du résultat proclamé, vérifiable pour tout le monde (et donc sans connaître le contenu de chaque bulletin), repose sur une propriété du chiffrement de El Gamal : il est homomorphique, c'est à dire que le produit des chiffrés est égale au chiffré de la somme. La somme correspondant au résultat des élections, et tout le monde ayant accès au chiffré de chaque bulletin, tout le monde peut peut calculer le chiffré du résultat et vérifier que le résultat proclamé est correcte.

              Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

              • [^] # Re: C'est moi ou...

                Posté par . Évalué à 5.

                Oups je me suis trompé. :-p
                Ce sont les autorités possédant les clefs privées qui déchiffrent le résultat, et fournissent une preuve qu'elles l'ont correctement déchiffré. Les électeurs peuvent vérifier la validité de la preuve sans avoir besoin des clefs privées.

                Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

  • # La question de base de ce système : qui génère les clés ? Comment sont-elles gérées ensuite ?

    Posté par . Évalué à 7.

    Si c'est une autorité "de confiance", je n'ai aucune garantie de ce qu'elle fera des clés en question (garder une copie "de sauvegarde" accessible aux autorités par exemple, pour vérifier que tu n'as pas voté pour un terroriste )?

  • # petit mélange?

    Posté par . Évalué à 0.

    Véronique Cortier conclut l'article en indiquant qu'un tel système n'a aucune résistance à la coercition. Elle indique ainsi qu'un tel système ne doit pas être utilisé dans un vote à fort enjeu où l'achat de vote est possible.

    Je trouve que cela mélange deux aspects : choix libre et le respect du choix. Pour le premier, la coercition existe dans tous les système de vote. Donc rien de nouveau sous le soleil avec cette solution informatique.

    • [^] # Re: petit mélange?

      Posté par . Évalué à 10.

      Euh dans un isoloir tu fais ce que tu veux et il n'y a pas vraiment moyen de vérifier pour qui tu as voté, si tu votes depuis un ordinateur par contre..

      • [^] # Re: petit mélange?

        Posté par . Évalué à -1.

        si tu votes depuis un ordinateur par contre..

        Hé bien c'est pareil. Si tu es dans un isoloir avec une caméra, dissimulée ou non, à ton insu ou non, tu fais ce que tu veux, mais on peut vérifier.
        Un ordinateur, c'est la même chose. Si le système n'est pas dépourvu de dispositif d'espionnage, tu fais ce que tu veux (quoique, c'est vrai, on peut modifier au vol…) mais on peut vérifier.

        En fait, que ce soit l'isoloir ou l'ordinateur, le seul problème de ce côté, c'est d'être en mesure de vérifier l'absence de dispositif (surtout compte tenu de la technologie actuelle, ou les cameras peuvent être logées à peu près n'importe ou, et les OCR sont capable de déchiffrer des écrits de plus en plus brouillés) pouvant fausser le secret du vote, et donc bien entendu, de dispositif pouvant modifier le vote.
        Très honnêtement, les systèmes d'exploitation modernes qui équipent nos machines généralistes sont tellement complexes que c'est impossible, pour moi. Un dispositif électronique constitué uniquement d'un écran LCD et quelques boutons (de quoi saisir la preuve d'identité et le choix) avec un code source strictement minimal serait au moins vérifiable par un humain seul (disposant de connaissances techniques adéquates, bien sûr) contrairement à un OS complet dont rien que la lecture du code source du noyau nécessiterais plusieurs jours.
        Bien sûr, il faut ensuite envoyer les données au dispositif suivant… qui sera sûrement connecté à internet.

        Pour moi, le véritable problème du vote, électronique ou pas, c'est qu'il faut être en mesure de s'assurer de l'intégrité de l'ensemble du système. Ce qui inclue bien sûr le dispositif ou l'on renseigne notre choix, mais aussi celui qui achemine ce choix et, naturellement, celui qui compte ce choix.
        Hors, le vote électronique se compose d'une part de la machine ou l'on renseigne le choix, mais aussi de l'ensemble des dispositifs qui l'acheminent, serveurs DNS, routeurs, etc… sans oublier bien sûr le système qui décompte.
        Mais c'est pareil pour un vote papier: quand on fait une procuration, il faut avoir confiance dans le dispositif qui va voter et acheminer le choix. Que celui-ci soit humain ou électronique ne change rien. Quoique, l'électronique, au moins, on peut en vérifier l'intégrité, en théorie. Pour un humain, pas vraiment, ou alors j'ai manqué des études sur la lecture mentale.

      • [^] # Re: petit mélange?

        Posté par . Évalué à 6.

        Je me permets de nuancer un peu tes propos. La croyance de l'électeur totalement libre dans l'isoloir c'est une construction sociale. Cela a certes permis une certaine libération du choix mais les contraintes n'ont pas disparues pour autant.

        La fraude électorale et plus précisément l'achat de vote existe depuis longtemps. Il y a eu dernièrement un cas en France (Dassault) et l'isoloir ne protège de rien du tout. Si une personne achète 10'001 vote dans un bled de 20'000 votants et qu'elle n'est pas élue au premier tour, secret ou pas il va y avoir des règlements de compte.

        • [^] # Re: petit mélange?

          Posté par . Évalué à 2.

          Des règlements de comptes? Et comment saurais tu lesquels des vendus ont été doublement malhonnête??
          La caméra dans l'urne ça me paraît très compliqué..

          • [^] # Re: petit mélange?

            Posté par . Évalué à 1.

            Si une personne ne respecte pas les règles (voter pour Mr. véreux) TOUT le monde est perdant => réglement de compte.

            un exemple

            • [^] # Re: petit mélange?

              Posté par . Évalué à 3.

              Pour un vote ça peut être une motivation justement: non seulement je vais éviter que ce pourri soit élu mais EN PLUS tout les vendus vont être bien énervé.

  • # Pour en savoir plus

    Posté par . Évalué à 7.

    Véronique Cortier a récemment reçu le prix jeune chercheur Inria - Académie des Sciences pour ses travaux.

    Sur le blog de la Société Informatique de France, elle a écrit une série de 4 articles sur le vote électronique :
    Qu'est-ce qu'un bon système de vote ?
    Les bonnes propriétés d'un système de vote électronique
    Le vote papier est-il réellement plus sûr que le vote électronique
    Attaque à l'italienne

    Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

    • [^] # Re: Pour en savoir plus

      Posté par (page perso) . Évalué à 4.

      On peut aussi renvoyer vers cette page de réflexion de l'April sur le sujet : http://wiki.april.org/w/Discussion_vote_%C3%A9lectronique

      Adhérer à l'April, ça vous tente ?

      • [^] # Re: Pour en savoir plus

        Posté par . Évalué à 4. Dernière modification le 02/10/15 à 11:44.

        Le choix de l'April est différent et compréhensible : il n'y a pas anonymat du vote, ce qui est le cas aussi pour les personnes présentes à l'AG qui votent à main levée. Ils font comme le projet Debian lors de l'élection du DPL.

        Le fonctionnement d'Helios est différent : il garantie l'anonymat et la vérification (mais il n'y a pas de protection contre la coercition). Pour éviter le bourrage d'urne, il en existe une version évoluée appelée Belenios.

        Le principe de fonctionnement est exposé dans l'article les bonnes propriétés d'un système de vote et plus en détail sur interstices. Dans le premier article, les auteurs n'en recommandent évidemment pas l'usage pour des élections institutionnelles, mais Helios sert pour l'élection du recteur de l'université catholique de Louvain, et l'association internationale des chercheurs en cryptographie pour l'élection de leur bureau (c'est autre chose que l'April).
        Contrairement à un système papier que tout le monde comprend, et peut donc contrôler, le fonctionnement de ces systèmes est complexes et la compréhension réservée à une élite.

        Même pour les systèmes les plus sûrs et les plus vérifiables, les mécanismes de vérification font appel à des théories mathématiques complexes dont la compréhension détaillée est réservée à des experts. Les autres utilisateurs doivent faire confiance à ces experts, contrairement au vote papier où les procédures sont comprises par une vaste majorité des citoyens.

        les bonnes propriétés d'un système de vote

        Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

        • [^] # Re: Pour en savoir plus

          Posté par (page perso) . Évalué à 9.

          Le choix de l'April est différent et compréhensible

          Pour une association en général, admettons. Pour l'April c'est plus compliqué, à mon avis, pour d'autres raisons, liées aux prises de position de l'association : sur un tel service en ligne même basé sur un logiciel libre, il est nécessaire de faire confiance au fournisseur de la solution sur le fait que c'est bien le bon logiciel libre, bien configuré, que le logiciel et les adminsys respectent le secret du vote, etc. Le fournisseur est par ailleurs partie prenante de l'élection (le conseil d'administration qui doit être réélu, partiellement ou totalement). Ordinairement la position de l'April serait me semble-t-il de dire « il faut que l'utilisateur ait le contrôle » (cf positions sur le cloud ou l'informatique déloyale). Si l'État utilisait le même logiciel que l'April pour une élection institutionnelle, l'April critiquerait ce choix ; c'est donc le contexte qui change ici : ce que je résumerai en « quand il y a moins d'enjeux et que c'est plus pratique/moins cher, soyons pragmatiques et tant pis ».

          Comme je l'avais écrit à l'époque dans la discussion vote électronique : « L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques » ou bien « L'AG souveraine choisit peu de contrôle et des opinions laissées personnelles ». Le second choix a été fait. Mon choix perso (pas forcément pragmatique) aurait été d'abandonner le vote électronique, par cohérence avec les positions.

          • [^] # Re: Pour en savoir plus

            Posté par . Évalué à 5.

            J'avais effectivement mal lu la solution retenue par l'April : je pensais que tous les votes étaient rendus publiques (du moins publiques pour les adhérents) étant donné que l'AG votait à main levée.

            J'aurai personnellement opté pour un choix du type « L'AG souveraine choisit un peu plus de contrôle et des opinions rendues publiques », cela augmente la surface de contrôle et donc la confiance dans le résultat. Pour une association, je suis prêt à sacrifier l'anonymat pour un gain de confiance.

            Ta solution consistant à abandonner le vote électronique soulève d'autres soucis pour une association comme l'April. Les personnes présentes ou représentées à l'AG représentaient 3 % des votants en 2009 : ils ne peuvent être les seuls à déterminer l'issu du scrutin. Il ne reste donc que des AG locales qui remontent le résultat de leur scrutin (comme pour les élections de nos institutions), ou le vote par correspondance qui n'offre aucune garantie supplémentaire par rapport à l'électronique et en sus un surcoût logistique. L'April peut elle organiser des scrutins locaux regroupant assez de membres pour que les votes individuels soient noyés dans la masse (afin de conserver l'anonymat) ?

            J'ai également lu la transcription de ta conférence sur le vote électronique à la Ubuntu Party. Je tiens tout d'abord à te saluer et te remercier pour ton investissement, et ton implication dans la communauté du logiciel libre.
            Je partage entièrement ton avis pour le refus du vote électronique pour les élections institutionnelles (perte de contrôle et de compréhension pour le citoyen, et j'aime participer au dépouillement dans mon bureau de vote), mais pour certaines structures cela me semble envisageable faute de mieux (faute de grives, on mange du merle ;-).
            Je ne sais pas quel système utilise actuellement l'April, mais des systèmes comme Helios ou Belenios pourraient être envisageables s'ils veulent l'anonymat. Ce sont des protocoles, et même si ici il est présenté une interface web, l'électeur pourrait choisir le client de son choix et satisfaire au principe « il faut que l'utilisateur ait le contrôle ». Il reste certes un point inéluctable dans tout système électronique : rares sont les électeurs qui peuvent se convaincre que le système est fiable, ce qui avait été objecté dans la discussion à l'April sur le sujet :

            D'autre part, nous ne pouvons raisonnablement supposer qu'une méthode de vérification du scrutin basée sur l'hypothèse que 100% des votants comprennent la cryptographie et s'en servent pour vérifier que leur vote soit recevable.

            Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

        • [^] # Re: Pour en savoir plus

          Posté par (page perso) . Évalué à 4.

          Pour éviter le bourrage d'urne, il en existe une version évoluée appelée Belenios.

          Super, je vais de ce pas en causer à fufa \o_

          * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

  • # Bourrage d'urne ?

    Posté par (page perso) . Évalué à 6.

    Après identification de l'électeur par un couple identifiant/mot de passe, le vote est envoyé sur le serveur de vote. Le vote est alors « visible » sur une page Web ou une urne publique est présente permettant, d'après la chercheuse, de vérifier son vote.

    Si dans ce cas chacun peut vérifier la prise en compte de son vote, personne ne peut vérifier que tous les votes comptés ont une origine légitime. L'urne me semble donc sensible au bourrage.

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: Bourrage d'urne ?

      Posté par . Évalué à 5.

      Comme indiqué par kantien, un système nommé Belenios permet d'empêcher le bourrage d'urne.

      • [^] # Re: Bourrage d'urne ?

        Posté par . Évalué à 3.

        Au sujet de Belenios, je me suis souvenu qu'une ofrre d'emploi avait été diffusée sur la mailing list Ocaml.
        C'est un CDD de un an renouvelable (24 mois au total), avec pour objectif de développer et d'enrichir la plateforme web du projet qui sera bientôt rendue publique.
        Si cela peut intéresser quelqu'un (date limite au 15 octobre pour l'envoi de CV).

        Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

  • # N'oublions pas la contrainte

    Posté par (page perso) . Évalué à 10.

    Tout cela est très bien, mais, alors que certains envisagent ce genre de système pour permettre de voter /de chez soi/ au lieu de se déplacer dans un bureau de vote, il ne faut pas oublier une propriété spécifique qu'un système de vote à distance sans surveillance ne peut pas permettre : l'absence de contrainte.

    Le déplacement dans un bureau de vote observé et l'utilisation obligatoire d'un isoloir et d'une enveloppe permet de rendre impossible le vote sous contrainte. Quelqu'un peut toujours se faire payer pour voter ce qu'on lui demande — c'est interdit, ceci dit — mais il peut ensuite voter comme bon lui semble, sans tenir compte de ces instructions, puis affirmer qu'il les a respectées. De même, une femme battue peut voter selon sa propre conscience, puis affirmer à son mari qu'elle a bien voté comme il lui a demandé. La seule contrainte qui reste applicable, c'est l'interdiction de voter, en interdisant à la victime de se rendre au bureau de vote.

    En votant de chez soi, eh bien on peut vendre son vote pour de vrai, et une femme battue peut être contrainte de voter sous les yeux de son mari.

    • [^] # Re: N'oublions pas la contrainte

      Posté par . Évalué à 8.

      En votant de chez soi, eh bien on peut vendre son vote pour de vrai, et une femme battue peut être contrainte de voter sous les yeux de son mari.

      Même si on en parle moins, il n'y a pas que les femmes qui sont battues. Des maris ou compagnons battus, ça existe. Et dans ce cas je pense qu'il ne faut pas se limiter aux femmes, il faut parler de toute personne maltraitée (handicapés, personnes harcelées, etc …).

      • [^] # Re: N'oublions pas la contrainte

        Posté par (page perso) . Évalué à 7. Dernière modification le 02/10/15 à 11:52.

        Tout à fait, ce n'étaient là que deux exemples, disons archétypiques, mais ça s'applique à toute forme de contrainte.

        Avec ceci d'important que, lorsqu'il s'agit de manipulation d'ordre psychologique, on peut effectivement amener quelqu'un à voter selon des instructions données a priori, et qu'aucune technique liée au processus de vote ne peut à ma connaissance lutter contre cela, parce qu'il s'agit de quelque chose de beaucoup plus profond que la simple contrainte physique : on s'attaque ici à la volonté propre de la victime.

    • [^] # Re: N'oublions pas la contrainte

      Posté par . Évalué à 4.

      Le déplacement dans un bureau de vote observé et l'utilisation obligatoire d'un isoloir et d'une enveloppe permet de rendre impossible le vote sous contrainte. Quelqu'un peut toujours se faire payer pour voter ce qu'on lui demande — c'est interdit, ceci dit — mais il peut ensuite voter comme bon lui semble

      Exactement, si on me paye pour voter machin, j'accepte (par contre pas plus d'un achat de vote, sinon ça pourrait se voir). Par contre dans l'isoloir je fais ce que je veux :)

      Et je déclare l'argent reçu au fisc, ce serait dommage de se faire avoir pour des conneries.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: N'oublions pas la contrainte

        Posté par (page perso) . Évalué à 6.

        Mauvaise idée. Enfin, financièrement parlant, c'est intéressant, mais j'ai peur que ce soit interdit par la loi, de vendre son vote, même si après on ne respecte pas l'instruction qu'on a reçue.

        • [^] # Re: N'oublions pas la contrainte

          Posté par . Évalué à 5. Dernière modification le 02/10/15 à 14:22.

          Il faudrait demander son avis à Serge Dassault.
          Il semblerait qu'il considère cela comme une méthode légitime pour remporter une élection. :/

          Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

        • [^] # Re: N'oublions pas la contrainte

          Posté par . Évalué à 3.

          Rhoo il ne faut pas dire tel quel, c'est un cadeau de Monsieur le Candidat, pas un achat de vote bien évidemment, d'ailleurs ce cadeau n'a pas changé mon choix, ce n'est donc pas un achat de voix :)

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: N'oublions pas la contrainte

      Posté par . Évalué à 5.

      Dans certains pays (cela dépend de la méthode de scrutin), il est possible de contraindre des électeurs sur leur choix de vote, même avec un isoloir à bulletin secret.
      La méthode fût utilisée en Italie par la mafia dans les années 80, et elle semble avoir de nouvelles méthodes de nos jours.

      Le principe est décrit dans l'article Attaque à l'Italienne de Véronique Cortier, et étudier plus en détail par Roberto Di Cosmo (connu pour ses pamphlets Piège dans le cyberespace et Le Hold-Up planétaire) dans cet article en anglais. L'idée consiste a utilisé la méthode de vote pour « signer » son bulletin, de telle sorte que la personne qui fait pression peut vérifier lors du dépouillement que sa consigne a été respectée.

      Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

      • [^] # Re: N'oublions pas la contrainte

        Posté par . Évalué à 4.

        L'idée consiste a utilisé la méthode de vote pour « signer » son bulletin, de telle sorte que la personne qui fait pression peut vérifier lors du dépouillement que sa consigne a été respectée.

        Oui mais ça ne marche pas en France, un bulletin avec un signe distinctif est nul, cela peut aller du bulletin un peu trop froissé au traçage à la mine de crayon…

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: N'oublions pas la contrainte

          Posté par . Évalué à 2.

          Tu n'as pas du lire le premier article de mon message.
          Contraindre un de ses opposants à rendre nul son bulletin, revient à le réduire au silence. ;-)
          Et pour l'attaque à l'italienne, la signature en question est équivalente à une empreinte cryptographique (comme le MD5 par exemple), ce qui peut se pratiquer sans invalidé le bulletin (notre mode de scrutin ne permet pas une telle pratique). Le principe de fonctionnement est décrit dans l'article, et pour le cas italien qui a donné son nom à la méthode c'est dans celui de R. Di Cosmo (avec analyse statistique de la probabilité de « collision » d'empreintes).

          Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

          • [^] # Re: N'oublions pas la contrainte

            Posté par . Évalué à 3.

            Le problème c'est que le nombre de bulletin nul ne change pas trop d'une élection à l'autre, ça reste assez marginal, si sur le paquet des 100 enveloppe on bondit à 10 nuls ce ne sera pas discret, surtout que généralement tu achète des voix à ceux qui ne vont pas voter, (y a moins de risques).

            De toutes façons le soudoyage directe, c'est le passé, maintenant on fait ça plus subtilement, avec des associations sponsorisées par la mairie.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: N'oublions pas la contrainte

      Posté par . Évalué à 10.

      En votant de chez soi, eh bien on peut vendre son vote pour de vrai, et une femme battue peut être contrainte de voter sous les yeux de son mari.

      Tandis qu'aujourd'hui, la femme battue elle signe une procuration à son mari et fin de l'histoire.

    • [^] # Re: N'oublions pas la contrainte

      Posté par . Évalué à 4.

      Je suis intrigué.
      Tout le monde ici semble considérer l'isoloir comme étant respectueux de la vie privée… mais avec les techniques modernes de miniaturisation et de capture d'ondes, notamment, serait-il impensable d'imaginer qu'une camera puisse être installée dans un isoloir?
      Ou qu'un dispositif capable de suivre le mouvement via je ne sais quel type de rayons qui puissent passer au travers du rideau? Je veux bien admettre qu'il soit difficile de modifier le vote, mais de le surveiller? Je n'en suis pas si sûr, même si évidemment cela implique de compromettre le lieu de vote (ceci dit, vue la mairie dans laquelle j'ai jusqu'ici toujours voté, ça ne serait pas particulièrement complexe, par exemple l'isoloir n'est pas hermétique à la vision normale par le haut).

      PS: tu vas te faire qualifier de sexiste, à dire (tu ne l'as pas dis, mais tu l'as implicitement volontairement sous-entendu) que les femmes sont des victimes faciles pour les violence conjugales! :)

      • [^] # Re: N'oublions pas la contrainte

        Posté par . Évalué à 2. Dernière modification le 02/10/15 à 19:49.

        Et alors ? Avec moi il ne verrai pas grand chose : je viens déjà avec mon bulletin pris parmi ceux reçu par courrier, et il est plié en deux donc on ne voit pas ce qu'il y a dessus.
        La seule chose qu'il verrait sur sa vidéo c'est moi mettant un papier dans une enveloppe. Pas très intéressant comme information. ;-)

        Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

        • [^] # Re: N'oublions pas la contrainte

          Posté par . Évalué à 2.

          Même si ça ne me semble pas être une pratique aujourd'hui, il n'est hélas plus très difficile de savoir - au moins pour l'état - quel bulletin tu as glissé dans l'urne : sur le passeport biométrique, "la puce stocke désormais […] deux empreintes digitales du détenteur du passeport." (wikipedia); d'autre part, si je ne me trompe pas, après le dépouillement, les bulletins de vote sont envoyés à la préfecture : les blancs et nuls systématiquement, l'ensemble des bulletins en cas de contestation.

          • [^] # Re: N'oublions pas la contrainte

            Posté par . Évalué à 6. Dernière modification le 04/10/15 à 13:10.

            Certes, mais comme je participe parfois au dépouillement des résultats, mes empreintes se trouvent sur bon nombre de bulletins.

            Quoi qu'il en soit, quand on se trouve dans un État (à l'existence hypothétique) qui effectue des relevés d'empreintes sur des bulletins de votes, la notion même de consultation du peuple par voie électorale a déjà perdu tout son sens : ce n'est qu'une vaste supercherie. ;-) Qui jouerait à un tel jeu de dupes ? Des dictatures (telle est la nature d'un tel État) qui organisent des élections, ce n'est pas monnaie courante.

            Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

            • [^] # Re: N'oublions pas la contrainte

              Posté par . Évalué à 2.

              Peut-être pas monnaie courante, mais ça à existé et ça existe probablement encore. Je t'encourage à te renseigner sur le terme parti unique.

              • [^] # Re: N'oublions pas la contrainte

                Posté par . Évalué à 5.

                Il existe des régimes totalitaires et dictatoriaux à travers le monde, et ce n'est pas une nouvelle.
                Lorsque l'on vit sous un tel régime, la priorité n'est certainement pas de savoir si l'État va effectuer des relevés d'empreintes sur les bulletins (surtout qu'avec un parti unique cela relève du burlesque), mais bien de chercher à le renverser.
                Et pour prendre l'exemple de la Chine (cité comme premier exemple sur Wikipédia) : la révolte des parapluies ou pourquoi les étudiants de Honk-Kong ne veulent pas de ce jeu de dupe.

                Ma réponse avait surtout pour objectif de pointer le caractère quelque peu étrange de l'hypothèse : sous un régime dictatorial, une élection est vide de sens ! (quand bien même il y en aurait d'organiser) Et dans ce cas le véritable problème, c'est l'existence de la dictature et du régime totalitaire : la contrainte arbitraire est le pain quotidien du peuple.

                Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

        • [^] # Re: N'oublions pas la contrainte

          Posté par . Évalué à 4.

          En fait, je pense que le problème n'est pas de savoir ce que toi, citoyen lambda, a voté.
          Le problème est d'avoir la possibilité d'influencer le vote d'une personne en la menaçant. Si quelqu'un te menace pour que tu votes pour son candidat, c'est à toi d'apporter la preuve que tu l'as bien fait, en montrant bien à la caméra le papier que tu mets dans l'enveloppe.
          Une bonne organisation d'un vote est censée garantir l'impossibilité de fournir cette preuve (et donc rendre les menaces inutiles).

          • [^] # Re: N'oublions pas la contrainte

            Posté par . Évalué à 3.

            Effectivement, je n'avais pas lu le commentaire sous cet angle, l'auteur disant :

            Je veux bien admettre qu'il soit difficile de modifier le vote, mais de le surveiller? Je n'en suis pas si sûr même si évidemment cela implique de compromettre le lieu de vote […]

            Par « modifier le vote», j'avais compris « contraindre une personne ».

            Si tel est l'objectif, une méthode de type « attaque à l'italienne » (voir ce commentaire) me semble plus facilement praticable qu'une compromission de l'isoloir, et difficilement évitable par une bonne organisation. En France, on peut faire « taire » ses opposants en les contraignant à rendre leur bulletin nul par un signe convenu à l'avance, signe dont on peut constater la présence comme preuve lors du dépouillement. Cette méthode me semble moins lourde à mettre en pratique que la vidéo-surveillance.

            Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

          • [^] # Re: N'oublions pas la contrainte

            Posté par . Évalué à 1.

            Et d'ailleurs, comme il est aujourd'hui possible de se filmer votant dans l'isoloir avec son téléphone, brisant ainsi le secret de l'isoloir. Il devrait justement interdit d'avoir un téléphone sur soi en votant.

  • # Une solution via bitcoin

    Posté par . Évalué à 0. Dernière modification le 04/10/15 à 12:33.

    Je croyais que certains travaillaient à utiliser le protocole bitcoin pour résoudre les problèmes de fiabilité du vote électronique.

    • [^] # Re: Une solution via bitcoin

      Posté par . Évalué à 5.

      En quoi est-ce incompatible avec le fait que d'autres personnes travaillent en parallèle sur d'autres systèmes de vote ?

  • # Mais c'est pas vrai ....

    Posté par . Évalué à 0.

    Sauf que … rien ne garantit que sur le serveur de vote c'est bien ce logiciel qui tourne et pas un autre.

    En tant que simple citoyen, je peux aller vérifier le dépouillement d'un bureau de vote papier et il suffit de savoir compter. Je peux aussi rester et vérifier de visu que les urnes ne sont pas bourrées.

    Un vote électronique ? Qui a le droit de vérifier les commandes at de la machine ? Le crontab ? Qui me garantit que le logiciel serveur n'a pas aucun rapport avec le logiciel expertisé ? Qui me garantit qu'il n'y a pas pendant le temps du vote une modification du logiciel ?

    Je dois faire confiance sans pouvoir controler à l'admin sys du serveur.

    Le vote électronique, quelle que soit la sauce, la pommade ou la couleur ne PEUT PAS être démocratique.

    On aura beau mettre tous les cryptages te zigouigoui, rien ne me garantit que c'est bien ce logiciel là sur le serveur qui tourne effectivement…

    • [^] # Re: Mais c'est pas vrai ....

      Posté par . Évalué à 1. Dernière modification le 13/10/15 à 11:31.

      Helios, Belenios ou tout système de vote électronique n'a pas pour objectif d'être utilisé pour les élections institutionnelles, et de se substituer aux bulletins papier,à l'urne transparente et au dépouillement par les citoyens.

      Ce sont avant tout des systèmes expérimentaux, mais qui pourraient s'avérer utiles pour des structures pour lesquelles le vote papier est difficilement envisageable : comme le projet Debian ou l'April qui pratiquent déjà le vote électronique. On en a discuté sur ce fil de commentaires.

      Je doute que tu trouves une personne ici qui accepterait le vote électronique pour les élections citoyennes.

      De plus, dans ces systèmes tu n'as pas à faire confiance à l'administrateur système. C'est un protocole, tu peux choisir ton client, et si en face le serveur ne respecte pas le protocole tu le verras. Le seul risque, c'est que les organisateurs qui possèdent les clefs privées coopèrent pour truquer le vote ou lever (seulement pour elles) l'anonymat des votes. Risque qui peut être mitiger en choisissant des personnes aux intérêts divergents qui n'auraient pas d'intérêt à coopérer.

      Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.