My Opinions

---

Il y a quelques années, je me faisais un malin plaisir de taquiner mes collègues qui enseignent dans des prestigieuses universités aux Etats-Unis: chez eux, on deployait des ordinateurs de vote à tout va, sorte de grosses boites noires, chères et peu fiables, qui ne permettent absolument pas au citoyen élécteur de vérifier que son vote est bien pris en compte.

Chez nous, je leur disais-je, dans la vieille Europe, qui a vecu les horreurs de la guerre, des totalitarismes, des dictatures, encore fort présents dans les esprits des vieilles générations, on se rappellait tous fort bien du pourquoi des urnes transparentes, des isoloirs, de la possibilité pour tout citoyen de se former sa propre intime conviction que son vote sera bien compté et que son choix restera anonyme: personne n'accepterait de voter avec des tels instruments opaques... c'était un gadget pour l'américain moyen comme on aime le caricaturer ici, pas pour nous.

De l'e-ducation du e-citoyen...

Cependant, je n'étais pas si sûr que la mémoire du passé suffise à nous préserver longtemps: comme les ordinateurs de vote peuvent rapporter beaucoup, et en même temps attirer le chaland avec leurs aires de modernité, il ne fallait pas sousestimer la capacité de conviction des vendeurs... après tout, des élections internes d'un grand parti français s'étaient déjà tenues en ligne en 2002!

C'est pour cela qu'en 2004 je publiais un article à destination de mes collègues enseignants et chercheurs en informatique, pour attirer leur attentions sur l'importance de mieux éduquer nos concitoyens, afin que les nouvelles générations puissent développer le sens critique nécessaire à refuser de telles aberrations. Dans cet article, je plaidais pour un programme de formation à long terme qui place au centre de la démarche éducative la transmission de connaissances profondes sur les découvertes fondamentales de l'Informatique, et non pas la simple maîtrise d'automatismes techniques.

Malheureusement, j'avais largement surestimé la capacité de nos politiques à résister à la fois à la force de frappe des vendeurs de ces appareils, et à leur propre fascination pour tout ce qui est "technologique" et médiatique: avec l'arrêté du 27 novembre 2003, et le réglément annexe, notre ministère de l'Intérieur avait introduit les ordinateurs de vote chez nous.

Comme il n'y avait pas d'élections générales dans la foulée, cette mesure est passée largement inaperçue, mais sa découverte nous a forcé tous à changer d'agenda: avant de se préoccuper des générations futures, qui reste bien évidemment mon objectif primaire, il devenait urgent d'éduquer les générations présentes.

... à la règle de trois ...

Nous voilà donc venus à l'essentiel de cet article: je veux contribuer une petite pierre au grand édifice des connaissances qu'il faut transmettre à nos concitoyens pour qu'il puissent vraiment comprendre pourquoi le vote citoyen sous forme électronique, ou alors, pire, à distance, est totalement inacceptable aujourd'hui, et doit être refusé sans hésiter.

Ne vous inquiétez pas, je ne vais pas vous prendre la tête avec des théorèmes, des démonstrations, des longs argumentaires techniques: tout cela est bien évidemment, nécessaire, mais bien d'autres éminences dans le monde de l'informatique ont dépensé une énergie considérable pour dévoiler au grand jour les faiblesses des machines de vote électroniques (on peut mentionner par exemple la campagne verifiedvoting.org, menée par David Dill, professeur à l'Université de Stanford, l'action de Andrew Appel, professeur à l'Université de Princeton, parmi bien d'autres), et le site français ordinateurs-de-vote.org contient une énorme quantité d'information sur le sujet.

Ce que je souhaite fournir ici, ce n'est qu'une simple règle de trois: un test élémentaire, à la portée de tous, qui permette à chacun d'entre nous de vérifier par lui même si oui, ou non, peut considérer acceptable un mécanisme de vote.

Commençons par énoncer quelques uns des critères essentiels de tout système de vote citoyen: les enjeux sont importants, vu qu'on ne choisit pas le gagnant de la Star Academy, mais des élus auxquels nous déléguons un pouvoir énorme pendant une longue durée. Une longue histoire de fraudes, dans tous les pays du monde, et dans toutes les époques, nous a montré qu'il faut être sûrs que

• l'électeur est libre de voter en suivant son intime conviction: personne doit pouvoir exercer sur lui une quelconque pression au moment du vote;
• l'électeur peut vérifier par lui-même que son vote est correctement pris en compte;
• tout citoyen peut vérifier que les votes sont comptabilisés conformément au mode de scrutin (qui précise qui peut voter, combien de fois, quel vote est valide, etc.);
• en cas de doute sur les résultats, on peut procéder à une vérification publique;

On peut bien sûr demander à un système de vote plus que cela, mais on ne peut pas demander moins. Nous appellerons donc ces propriétés le socle commun d'un système de vote.

Observosn aussi que chaque élécteur doit pouvoir se former tout seul une intime conviction du fait que ce socle commun est respecté par le système: il ne peut déléguer à d'autres le soin de cette vérification, parce-que cela équivaudrait à déléguer à d'autre son vote.

Maintenant, nous arrivons à notre règle de trois, que nous pouvons formuler ainsi

Test d'acceptabilité d'un mécanisme de vote

Un mécanisme de vote est acceptable si n'importe lequel acteur habilité à l'utiliser (l'électeur), n'ayant pas de connaissances particulières, peut convaincre des experts reconnus en sécurité du fait que le mécanisme de vote satisfait les critères essentiels de tout système de vote (le socle commun).

... ou la règle de trois faible

Si vous ne disposez pas tout de suite d'un panel d'experts reconnus en sécurité disposé à passer l'après-midi avec vous pour effectuer le test, vous pouvez quand même recourir à la version suivante, plus faible, de la règle de trois

Test faible d'acceptabilité d'un mécanisme de vote

Un mécanisme de vote est presque acceptable si n'importe lequel acteur habilité à l'utiliser (l'électeur), n'ayant pas de connaissances particulières, peut se convaincre tout seul, sans faire confiance à personne, du fait que le mécanisme de vote satisfait les critères essentiels de tout système de vote (le socle commun).

Vote papier et vote électronique devant la règle de trois faible

Il faut bien voir qu'avec les urnes transparentes, les bulletins papier et les isoloirs d'aujourd'hui, tout électeur qui le souhaite peut, au prix de passer sa journée dans le bureau de vote, vérifier les propriétés dans le cadre du test faible, sans aucune connaissance particulière: il s'agit de s'installer confortablement au début des opérations de vote, vérifier bien que l'urne (transparente) est vide, observer ensuite scrupuleusement la suite des opérations, et signaler toute anomalie (c'est d'ailleurs ce que les représentants des partis sont censés faire, mais tout citoyen méfiant peut le faire aussi). Pour cela, il suffit de bien nettoyer ses lunettes, d'être polis avec les assesseurs, et d'un peu de patience.

Par contre, il est bien évident pour tous (prenez juste le temps d'y réfléchir un peu), que les systèmes de vote électroniques qu'on nous propose en France aujourd'hui ne passent pas le test faible: le bulletin de vote est transformé en information électronique immatérielle, et l'électeur (appellons-le André) n'a aucun moyen de vérifier par lui même que son vote est bien pris en compte, vu qu'André perd toute trace de son vote au moment où il presse le bouton, ou touche l'écran.

C'est très différent de ce qui se passe quand André utilise un guichet automatique: là, il touche aussi un écran, pour obtenir 20 euros, mais il peut vérifier tout de suite qu'on lui a bien donné 20 euros, et il peut vérifier sur son relevé mensuel qu'on lui a bien débité 20 euros et pas plus.

Dans le cas du vote, l'exigence d'anonymat interdit de publier la liste de votants avec leurs choix: André ne peut vérifier sur aucun relevé si le vote qu'on a comptabilisé pour lui est bien celui qu'il a émis.

C'est bien pour cela que tous les experts réclament, depuis le travail fondateur de Rebecca Mercuri, qu'on refuse toute machine de vote qui ne fournit pas une trace papier: l'idée de la trace papier est de fournir un objet tangible et compréhensible pour un être humain qui témoigne du choix de l'électeur après sa dématérialisation, et qui peut permettre de recompter les voix (non seulement en cas de doute, mais aussi systèmatiquement sur un échantillon significatif pour vérifier le système).

Cependant, trace papier ou pas, dès qu'il y a une machine dans le processus, il n'y a aucune garantie que le vote soit vraiment anonyme: au moment ou André appuie sur un bouton, ou touche un écran, ils peuvent se passer plein de choses... la machine peut enregistrer l'heure précise du vote, émettre un signal à ultrasons ou envoyer un message radio dans une autre pièce et cela même à l'insu de son fabriquant.

Conclusion

Le vote citoyen est trop important pour que la moindre trace de doute puisse planer sur son déroulement. C'est bien triste, mais vous n'avez pas la possibilité de baser votre confiance dans un système de vote sur l'opinion d'experts, aussi puissants ou crédibles soient-ils (moi compris).

Vous devez donc vous former votre propre opinion, et le fait que vous ne soyez pas un expert en sécurité n'est pas une excuse, bien au contraire: la règle de trois faible énoncée dans cet article vous suffit pour décider de refuser, à juste titre, toute une série de systèmes.

Une fois l'urgence passée, on aura le temps de passer à l'application de la règle de trois forte, qui démasquera encore d'autres défauts, mais celle-là est une autre histoire.