Encore sur le vote électronique

Je suis pas mal sollicité en ce moment par les média sur le vote électronique. Comme le format habituel d'une interview ne permet pas de présenter de façon complète et cohérente une position argumentée, il me semble important de résumer ici quelques arguments essentiels, en plus de ceux exprimés dans mon billet précédent, et dans l'article paru en 2004 .

Le vote est un problème difficile

Ce qui rend le vote un problème difficile (et intéressant), est la nécessité de garantir, entre autres, deux propriété apparemment contradictoires:

  • l' anonymat des électeurs: on ne doit pas savoir ce que chaque électeur vote (et donc on ne peut pas, à différence de ce qu'on fait avec les guichets automatiques des banques, garder une trace de toutes les opérations effectuées); c'est bien l'anonymat qui rend tout compliqué: si chacun de nous pouvait publier sur un dazibao ses choix électoraux, il n'y aurait aucun problème;
  • la verifiabilité publique du résultat: tout le monde doit pouvoir se convaincre, à lui tout seul, que le résultat du vote est bien comptabilisé.

En pratique, dans chaque pays, on essaye de concilier ces exigences dans le vote papier avec une procédure précisément codifiée dans laquelle tous les détails comptent; comme les enjeux d'une élection politique sont énormes, l'incitation à commettre des fraudes est bien réelle. En France, par exemple, l'urne transparente n'est pas un gadget. Un ingrédient important de ces procédures est la possibilité pour chaque citoyen de participer et contrôler toutes les phases du vote.

Le vote purement électronique ne permet pas de satisfaire ces exigences

Si le vote est purement électronique, le bulletin est dématérialisé au moment du vote, et il devient très difficile (si encore on y arrive vraiement) de garantir ensemble anonymat et vérifiabilité indépendante (c'est à dire, sans faire confiance à des tiers), du moins dans l'état de l'art actuel. Il y a tout un champ de la cryptographie qui est dédié à l'étude d'algorithmes sophistiqués qui visent à améliorer l'état de l'art, mais il s'agit d'un travail de longue haleine qui est loin d'être terminé. Même en disposant d'algorithmes entièrement satisfaisants, il resterait ensuite à vérifier leur réalisation concrète, ce qui est un autre paire de manches: il ne sert à rien d'avoir installé une porte blindée si on laisse grand ouverte la fenêtre dans le salon.

C'est pour cela que la resolution on electronic voting de l'ACM, qui date de 2004, recommande de toujours garder une copie matérielle (papier) de chaque vote qui permette de recompter les voix et vérifier les résultats. Il ne s'agit pas d'une idée nouvelle : cette proposition est connue sous le nom de méthode Mercuri parce-que elle a été proposée dans la thèse de Rebecca Mercuri, soutenue en 2000 à l'Université de Pennsylvanie.

Cependant, même avec la méthode Mercuri, l'introduction d'ordinateurs de vote (avec la complexité et l'électronique qui viennent avec), peut mettre en danger l'anonymat du vote, par exemple par le biais d'émissions radios corrélées aux choix des électeurs.

Le logiciel Libre ne change pas la donne

La disponibilité du code source des ordinateurs de vote est évidemment indispensable pour pouvoir vérifier le bon fonctionnement de ces machines, et il est tout simplement ahurissant qu'on prétende nous faire accepter des ordinateurs de vote dont les spécifications, les logiciels et les rapports d'agrément ne sont pas publics. Mais cette disponibilité du code source ne change rien au fond du problème, qui est bien plus complexe, et, à nouveau, bien connu depuis longtemps: lisez Reflections on trusting trust, de Ken Thomson, daté de 1984... je cite...

The moral is obvious. You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code.

Or, l'électeur qui utilise un ordinateur de vote n'a pas fabriqué lui même entièrement ce code, et ne peut pas lui faire confiance. Peut importe si les sources sont publiées sur internet... peu importe si l'ordinateur affiche un checksum... ces données nous sont présentées par une interface homme-machine, et donc sont une "représentation" de l'intérieur de la machine, qui peut-être faussée. Citant Andrew Appel l'écran d'une urne électronique n'est pas une urne.

Donc, les quelques âmes de bonne volonté qui pensent que le vote électronique est un bon argument pour pousser les Logiciels Libres font complètement fausse route.

Sur la piratabilité de tel ou tel autre modèle d'ordinateur de vote

Certaines personnes recherchent désespérément des volontaires pour montrer en 15 secondes sur un court passage télé comment s'y prendre pour modifier un ordinateur de vote. Je comprends que ce sujet serait accrocheur, et pour les personnes intéressées, je suggère une courte recherche sur YouTube avec le nom de l'ordinateur souhaité pour satisfaire leurs appétits. Cependant, je ne suis personnellement pas intéressé à réaliser de tels exploits: d'un coté, il n'est pas clair qu'il serait legal de le faire, de l'autre, cela déplace l'attention du vrai problème énoncé plus haut, qui est la vérifiabilité par tout un chacun du résultat.

Sur la confiance et le rôle des experts

Je le repète: dans le cas du vote citoyen, tout élécteur doit pouvoir se former, et à lui tout seul, sans faire appel à des experts, la conviction que le scrutin se déroule correctement. Si dans un moment quelconque du processus on est obligés de faire confiance à un tiers, cela signifie que ce tiers peut manipuler le resultat (en jargon informatique, un tiers de confiance est précisement quelqun qui peut violer la politique de sécurité). Or, avec des ordinateurs de vote, et tout partiuclièrement les ordinateurs de vote sans trace papier utilisés en France, nou sommes obligés de faire confiance à une longue chaîne d'acteurs qui vont des fabriquants, aux techniciens, au personnel des mairies, au ministères concernés, et ce qui est grave est que, sans trace physique du vote, on ne peut lever le doute sur aucun de ces acteurs.

A différence de l'urne transparente, qu'on peut ranger dans un placard pendant des longues années quand elle n'est pas utilisée, un ordinateur de vote doit être surveillé nuit et jour, pour s'assurer que personne le manipule, personne change ses composantes, personne ne remplace ses scellés, et cela pendant toute la durée d'inutilisation de l'urne. Pendant des années entières il faut payer des gardes jurées pour surveiller un ordinateur de vote éteint. Et surveiller les gardes jurées, ... et les surveillants. A coté, Fort Knox est un jeu d'enfant.

Mais il ya plus simple pour convaincre nos concitoyens, en partant de nos confrères journalistes, qu'il y a bien un problème grave, est c'est bien ceci: est-ce que cela serait venu à l'esprit à un quelconque citoyen, ou à des journalistes attitrés, de se rouer sur des professeurs de physique des matériaux, ou des chercheurs en chimie, pour leur demander s'il y a bien un problème avec les urnes transparentes? Bien sûr que non. Alors, si maintenant tout le monde s'affole et cherche des informaticiens, des chercheurs en sécurité, des experts pour savoir si les ordinateurs de vote sont sûrs, ... c'est que la reponse est déjà en leur possession: ils ne savent pas tout seuls se convaincre qu'il n'y a pas de problème. Et il sont raison: c'est cela, le vrai problème.

Sur les soi-disantes expérimentations qui se sont bien passées des ordinateurs de vote

On nous a appris à l'école que le critère essentiel de l'expérimentation scientifique est sa reproductibilité: étant données les mêmes conditions initiales, et en suivant la même procédure, on peut reproduire l'expérience et arriver au même résultat. Si on vous dit qu'un trousseau de clef tombe par terre si on ne le soutient pas, vous pouvez essayer et le vérifier par vous même.

Or, dans les expérimentations des ordinateurs de vote, de quelle expérimentation scientifique s'agit-il?

Voyons voir: on prend un bureau de vote, on installe un ordinateur de vote, et on fait voter des gens, soit pour une vraie élection, soit pour une élection bidon (choisir le compositeur de musique classique préféré).

Malheureusement, avec les machines qu'on nous propose en France, qui ne disposent pas de trace papier, on ne peut pas savoir si les votes indiqués par la machine sont vraiment les votes exprimés par les électeurs.

Donc, on n'a pas vérifié le bon fonctionnement des ordinateurs de vote (à moins d'erreurs énormes comme la disparition de votes, qui sont paradoxalement moins graves parce-que détectables).

Qu'a-t-on vérifié alors? Eh bien, quand on nous annonce que tout s'est bien passé, on veut simplement dire que personne a protesté. Il s'agit donc d'une expérience scientifique qui vise à établir non pas le bon fonctionnement des machines, mais le degré d'acceptation de ces machines de la part d'un public bien encadré et encouragé à les accepter.

Références:

Comments

1. On Thursday, April 19 2007, 16:37 by Roberto Di Cosmo

Au passage, un petit pointeur sur l'expérience au Quebec, resumée par cette phrase de M. Marcel Blanchet, Directeur général des élections, dans sa conférence de presse du 24 octobre 2006 sur les élections en 2005: "Je reviens aussi devant vous pour vous dire que les systèmes de votation électronique tels qu'ils ont été utilisés, et j'insiste, tels qu'ils ont été utilisés sont encore plus inquiétants qu'on ne pouvait le penser au lendemain des dernières élections municipales, et que nous aurions pu vivre des difficultés encore plus importantes que celles que nous avons connues le 6 novembre 2005."

2. On Saturday, March 15 2008, 09:10 by Roberto Di Cosmo

Comment changer la ROM d'une machine Nedap en moins de 60 secondes: voir la video.

3. On Wednesday, March 4 2009, 23:12 by Roberto Di Cosmo

Les machines à voter retirées de la circulation en Allemagne, elle sont "inconstitutionnelles"! Voir ici pour plus d'info. A quand cela chez nous?

4. On Thursday, June 18 2009, 22:22 by DenisDenis

Les contraintes que vous avez mentionné sont très insuffisantes:
- Non seulement le votant doit être garanti de son anonymat et de la réalité du résultat, comme vous l'avez écrit mais aussi:
- Le votant DOIT ETRE INCAPABLE de garder une trace de son vote: si c'était le cas, ça laisserait la possibilité d'un commerce de voix, ou bien la main-mise d'une personne influente, mari ou gourou, au hasard.
Pourtant, je suis personellement pour le vote électronique. Il y a des moyens cryptographiques qui permettent de reconnaitre silencieusement son vote: supposez que vous fassiez un petit dessin sur le vote papier que vous mettez dans l'urne. Vous (et vous seul) êtes capable de le reconnaître lors du dépouillement et vérifier qu'il n'a pas été falsifié. On peut reproduire facilement le même principe pour le vote électronique: vous liez votre vote à une phrase qui ne veut rien dire (c'est à dire pas votre nom). A la fin du vote, chaque phrase et le vote correspondant sont rendus public. Et, même sans rien y connaître en informatique, chacun peut vérifier que son vote a bien été comptabilisé.
Sur l'argumentation de la possibilité d'introduire des virus, de trafiquer les machines à voter, etc, je pense que ça relève de la parano. Si on en est à ce point de suspission, allez vous vérifier que le vote papier que vous mettez dans l'urne transparente n'est pas imprimé avec une encre sympatique qui va transformer votre vote en vote blanc ? J'espère que non. Tout système a des failles, et le vote électronique n'est pas celui qui en a le plus.
Quand à ceux qui ne font pas confiance aux informaticiens qui contrôlent le code, je suppose qu'ils ne prennent jamais l'avion ? A moins d'avoir les compétences de vérifier chaque pièce de l'appareil y compris les circuits électroniques ? Soyons sérieux. Je ne fais pas confiance à un spécialiste, à dix non plus. Mais lorsqu'ils sont cent ou mille, même si j'y connais rien, je leur fais confiance. Je sais qu'il serait impossible de tous les contrôler sans une fuite un jour ou l'autre.
En éspérant faire avancer la démocratie,
Denis

5. On Thursday, December 29 2011, 01:42 by Roberto Di Cosmo

Pour Denis (avec 2 ans et demi de retard :-)), il y a un peu d'incongruences dans ton commentaire: d'un cote tu souligne justement qu'on doit garantir la non coercibilité d'un élécteur (le nom technique qu'on utilise pour "etre incapable de garder une trace"); une ligne après tu explique comment avec un procédé cryptographique un élécteur peut être mis en condition de "marquer" son vote pour le reconnaître. Mais si je peux marquer mon vote, on peut aussi m'obliger à mettre une marque prédéfinie par qui fait pression sur moi, qui pourra aisément vérifier que j'ai voté ce qu'il veut.

Aussi, pour les experts, la comparaison avec les avions n'est pas pertinente: pour le vote politique (je souligne politique), on a déjà en place un méchanisme rélativement efficace qui ne nécessite nullement de faire confiance à des experts, ce qui n'est pas le cas des avions.