La fiabilité des machines à voter
Plusieurs articles récents ont discuté du risque introduit par les machines à voter. Il existe bien sûr des risques de manipulation, mais l’objet de cet article est seulement de préciser ce qu’est la « fiabilité » d’un système numérique, comment elle peut être obtenue et évaluée et comment cela s’applique aux machines à voter. En résumé : vous avez raison de ne pas avoir confiance.
Cet article peut être considéré comme une vulgarisation de la "théorie de la fiabilité" et une application à un cas pratique. Le sujet occupe quelques dizaines de milliers de pages dans la littérature spécialisée. Pour en savoir plus sur la fiabilité, ses définitions et méthodes, le lecteur pourra utilement se reporter au site de l’Institut pour la Maîtrise des Risques.
Partie 1 : la fiabilité des systèmes numériques
La fiabilité d’un système numérique est sa capacité à fournir des résultats exacts. L’opposé peut être de ne pas fournir de résultats du tout, ou bien des résultats faux. Aucun système ne peut être fiable à 100% : il finit toujours par tomber en panne. Ce qui est particulier avec le numérique est sa capacité à fournir des résultats faux, plutôt que pas de résultat du tout. Cela peut provenir de pannes discrètes, de "bugs" logiciels, etc. Ce risque est bien réel, chacun d’entre nous en a fait l’expérience.
Les citoyens non informés n’ont intuitivement pas confiance : ils ont raison. Les informaticiens non spécialistes ont tendance à penser qu’il existe des dispositions préventives simples et efficaces que l’on peut mettre en oeuvre pour s’en prémunir : ils ont tort car le problème est complexe.
La littérature spécialisée fourmille d’exemples pittoresques. Un des plus connus est l’explosion d’un prototype Ariane 5 au décollage suite à une division par zéro.
L’exactitude
d’un calcul n’est pas entièrement vérifiable par des
essais. On peut s’en convaincre en constatant par exemple qu’il
existe un milliard de milliards de combinaisons possibles pour un
additionneur 32 bits. Cela peut échapper également à
la statistique : si l’on veut vérifier que le dispositif ne se
trompe pas plus d’une fois sur une million, il faut faire au moins
entre dix et cent millions d’essais pour obtenir une fréquence
mesurable d’évènements. C’est encore plus complexe pour
un système programmé dont la reponse peut varier selon
des circonstances particulières. Les approches de type "boîte noire" et "boîte blanche" ne sont donc pas exhaustives.
On ne peut se prémunir des erreurs de calcul que par un ensemble de dispositions préventives couvrant à un niveau raisonnable tous les défauts imaginables, et ces dispositions sont rarement évaluables numériquement. Ainsi, les informaticiens pensent souvent que l’on peut assurer l’intégrité des données par la redondance d’information comme le double stockage, ou des codes détecteurs d’erreurs comme les codes de Hamming polynomiaux cycliques. Ceci n’est pas faux, mais n’est pas évaluable. En effet, le modèle à distance de Hamming minimale a été développé pour les transmissions série, mais rien ne prouve que les défauts qui apparaissent dans une structure numérique soient indépendants bits à bits, et le respect d’une distance de Hamming ne prouve donc rien.
Partie 2 : les normes concernant la fiabilité des systèmes numériques
Les secteurs qui ont traité le sujet en détail sont ceux pour lesquels la sécurité des personnes est en jeu : chimie, mécanique, transport... Ils ont développé cas par cas des approches techniques qui ont parfois convergé vers des normes et standards.
Dans les cas où c’est la sécurité des biens qui était concernée, et surtout pour les situations transactionnelles, personne n’a fait le pas, et c’est toujours le papier qui fait foi : l’information électronique n’a généralement pas de valeur juridique intrinsèque.
Il reste un certain nombre de secteurs atypiques. La critique qui sera faite ci-dessous pour les machines à voter concerne également les poids et mesures et les radars routiers. Il y est en effet considéré que c’est la photo qui fait foi, mais seule l’électronique peut associer une mesure de vitesse à une photo. Ces radars ont d’ailleurs une fiabilité modérée pour d’autres raisons. Ce serait encore plus vrai pour des "radars anti-p2p" sur internet.
La convergence entre les normes des divers secteurs a commencé il y a une vingtaine d’années, sous l’influence du TÜV bavarois :
"Handbuch : Mikrocomputer in der Sicherheitstechnik“, Hölscher/Rader, 1984, Verlag TÜV Bayern/Rheinland
Cela a permis la création d’une norme allemande intersectorielle :
DIN V VDE 0801 (1990) et DIN V VDE 0801/A1 (1994) "Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben“
qui a à son tour entraîné la création d’une norme internationale intersectorielle :
IEC 61508 "Functional safety of electrical/electronic/programmable systems“
principal texte de référence actuel.
La norme IEC décrit cinq niveaux possibles de fiabilité, allant de 0 à 4, le niveau 0 correspondant à un système sans disposition particulière. Les produits commercialisés atteignent le niveau 3. On trouve des applications de niveau 4 dans des secteurs très critiques, très peu nombreux. La norme ne dit pas comment choisir un niveau de fiabilité, qui reste le libre choix de l’utilisateur. Elle énumère tous les défauts possibles, toutes les méthodes connues de couverture de ces défauts, et classe ces méthodes par niveau d’efficacité admis.
Les produits commercialisés coûtent bien sûr d’autant plus cher qu’ils sont réputés fiables et les produits de niveaux élevés sont chers.
Partie 3 : les textes de référence concernant les machines à voter
Le texte de référence est l’arrêté ministériel du 17/11/2003 "portant approbation du règlement technique fixant les conditions d’agrément des machines à voter".
Les exigences concernant la fiabilité sont les suivantes :
"le décompte final du scrutin doit refléter
la volonté exacte des électeurs" ;
"la panne en cours de scrutin ne doit pas conduire à
la perte des données" ;
"les votes enregistrés doivent être conformes aux votes sélectionnés par les électeurs ; le respect de cette exigence doit être vérifiable par des tests de conformité".
Il découle des parties précédentes qu’aucune de ces exigences n’est atteignable, et elles ne sont de toutes façons pas vérifiables. Elles sont en effet rédigées de manière "absolue", alors que la fiabilité n’est pas quelque chose d’absolu.
Si le sujet n’avait pas un caractère sérieux, j’aurais personnellement tendance à penser que ce texte est un gag. Ce serait, j’en suis certain, l’avis de tous les spécialistes du domaine.
La conséquence pratique en est que l’organisme certificateur agréé est seul juge du niveau de fiabilité pertinent.
Il n’en découle pas que ces machines seront peu fiables. Après tout, un certain taux d’erreur est acceptable et existe aussi avec la procédure actuelle. Par contre, politiquement et vu le symbolisme du sujet, ce processus est inadéquat. A ce propos mais hors contexte, il peut être amusant de noter que, bien que le ministère de l’Intérieur ait agréé trois organismes certificateurs, sur six produits actuellement agréés, cinq d’entre eux ont été vérifiés par la filiale d’un fonds d’investissement appartenant à l’ancien président du MEDEF. Ce qui incite bien sûr à se souvenir de l’époque où le même ministre de l’Intérieur avait voulu sous-traiter la fabrication des passeports biométriques à une société privée, ce qui avait coûté au contribuable et paralysé la délivrance pendant six mois. La société de l’information selon Nicolas Sarkozy a indéniablement un style.
63 réactions à cet article
-
-
-
-
-
-
votre suggestion est une bonne idée. Elle gène la fraude mais ne l’interdit pas complètement. La fraude peut encore être mise en oeuvre par le déclenchement manuel de celle-ci, par exemple, par une suite d’appuis sur les touches qui ne peut se produire au hasard (4 fois la touche 1, puis la 2 deux fois, une annulation, 2 fois la touche 1, puis alterner 6 fois les touches 2 et un).
voir http://ordisdevote.lautre.net/Oeuf-de-Paques-Easter-Egg.html
Toutefois elle limite quand même un peu l’ampleur de la fraude : il faut des complices.
-
-
-
« Cette redondance n’est-elle pas déjà en application dans les transactions bancaires à travers les chambres de compensation planétaires ? »
Il me semble que la garantie finale des transactions repose sur la capacité finale de chaque opérateur à en imprimer un listing, ce qui permet de réinitialiser le système en cas de « plantage » généralisé, qui est arrivé une fois au GIE Carte Bleue. Il est vrai toutefois que les systèmes transactionnels sont dans une zone de plus en plus grise entre l’information papier et numérique, ce qui posera aussi problème.
« J’aurais aimé que vous abordiez également les réussites en la matière. »
Il existe des milliers de systèmes numériques sécurisés qui n’ont jamais posé problème. Par exemple le RER francilien ligne A est piloté par un système de niveau 4. Leur caractéristique est d’avoir été étudiés sérieusement avec des textes de référence contraignants.
« Autre question importante qu’il conviendrait d’aborder : la e-democratie. Est-ce là également un autre sujet tabou ? »
Le vote sur internet poserait les mêmes problèmes de fiabilité, plus des risques de manipulation incomparablement accrus.
-
Bonjour Pierre,
Vous évoquez notre confiance dans les machines électroniques tels distributeurs de billets. Faisons-nous réellement confiance ? Nous gardons les tickets. Il m’est arrivé de recevoir un avis de retrait.... 1 an après mon premier retrait. Suite à une erreur de la banque, le listing de retrait a été lu 2 fois, et nos comptes débités 2 fois.
Toutes les machines électroniques que vous citez gardent trace de notre passage. Ce qui est normal. Ce qui l’est moins, c’est l’utilisation que les banques en font lorsqu’elles nous nous mettent en statistiques de consommation etc...
Vous comprenez que nous soyons réticents. De plus, je l’ai maintes fois dit, ces machines nous retirent le plus élémentaire droit de citoyen : la vérification des votes, via le comptage des bulletins.
-
-
-
Je suis étonnée de votre témoignage. Vous ne semblez pas au courant de ce qui se passe dans votre pays.
Voir le rapport officiel d’évaluation des nouveaux mécanismes de votation : http://www.electionsquebec.qc.ca/fr/pdf/publications/DGE-6357(06-09).pdf
voir aussi l’interview de M. Marcel Blanchet, Directeur général des élections, qui a dit notamment :
« Je reviens aussi devant vous pour vous dire que les systèmes de votation électronique tels qu’ils ont été utilisés, et j’insiste, tels qu’ils ont été utilisés sont encore plus inquiétants qu’on ne pouvait le penser au lendemain des dernières élections municipales, et que nous aurions pu vivre des difficultés encore plus importantes que celles que nous avons connues le 6 novembre 2005. »
Toute l’interview : http://www.assnat.qc.ca/fra/conf-presse/2006%5C061024MB.HTM)
-
-
-
-
-
-
-
-
-
Ne faites surtout pas ça, ne boycoter pas ces élections, sinon vous serrez perçu comme abstentionniste.
-
-
-
-
A propos de la « copie de sécurité » et de la redondance en général, il faut prendre en compte ce que l’on appelle des « modes communs ». Ainsi, si c’est le même processeur qui écrit deux fois les données et qu’il se trompe, elles seront deux fois fausses.
-
-
Je suis parfaitement d’accord avec toute les réserves émises ici mais si un jour le vote par internet devenait fiable, cela permettrait de consulter les gens beaucoup plus souvent dès que des questions nationales se poseraient (démocratie patricipative) sans risquer de les lasser par des week end succesifs de consultation.
J’adorerais être consulté sur des questions fondamentales, ce qui est trop rare à mon sens, et pouvoir y répondre depuis chez moi, en peignoir, en buvant mon café.
-
-
-
-
-
-
le parti socialiste vient de lancer une pétition pour un moratoire sur les machines à voter.
C’est bien mais le PS aurait aussi du rappeler à l’ordre les municipalités socialistes qui généralisent actuellement ce système. Comme Brest par exemple. Les Verts qui étaient pour jusqu’a présent, viennent de se déclarer contre alors que les budgets pour l’achat des machines ont été acceptés. C’était ma petite chronique locale.
Rappelons le site ; http://www.recul-democratique.org/ sur ce problème.
-
Et la ville de Lorient (PS) vient d’acheter les machines. Brest l’a adoptée en 2002 et ne compte pas revenir au papier. En fait, le PS craint certainement les réclamations qui auront lieu dans certains bureaux de vote, concernant légitimité de tout le processus du vote électronique. Certains sont prês à demander l’annulation des élections par machine.
-
-
-
-
-
Le dépouillement manuel d’un vote est la certitude du résultat. En cas d’erreur constaté nous avons la possibilité de recommencer. J’ai participé à plusieurs reprises au dépouillement à l’issue de scrutin. Jamais il n’y a eu de scrutin invalidé. L’homme se trompe, hé bien on recompte et on trouve l’erreur. La machine se trompe, que fait-on ? La machine tombe en panne, que fait-on ? Ceci sans vouloir aborder le problème de la manipulation des votes. Il ne faut pas que l’on se laisse imposer ce système. Je suis un utilisateur inconditionnel de l’informatique, mais l’informatique et la démocratie ne vont pas ensemble. Cela donne beaucoup trop de possibilité de trucage. Regardez le nombre de virus, c’est si facile de véroler un programme.
-
-
Vous ne le saurez pas...
-
-
-
c’est sur que si la machine à baiser, vous fait encore l’coup d’faire voter les morts
-
Non. Si le premier ordi se trompe, il transmettra au deuxième des résultats faux. La panne la plus probable dans ce genre de dispositif est le bouton bloqué (mécaniquement ou électriquement).
Il existe des solutions techniques. Encore faut-il le spécifier au départ. Et elles sont chères, donc pas nécessairement déployables dans autant de bureaux de vote.
Et puis, comme le font remarquer beacoup de commentateurs, à quoi bon ? La « liturgie » du vote a une vertu républicaine. Elle formalise et sacralise l’instant.
-
Je rêve d’un monde où les élus seraient aussi fiables que les pires machines à voter
-
-
-
-
Ces chiffres sont vrais pour la Belgique. En France le coût du vote élecronique n’a jamais été estimé.
Source : rapport de l’Inspection générale de l’administration n° PAM 06-008-01, Rapport du Contrôle général économique et financier n° I-B. 7-2006, juin 2006.
-
-
-
-
François Bayrou, parlant à la fois des ordinateurs de vote et du vote par Internet, a déclaré à Politis : « il faut refuser cette évolution et suspendre toute utilisation ». Il se base entre autre sur le rapport de François Pellegrini concernant l’élection par Internet de l’AFE (Assemblée des Français de l’Étranger).
-
-
-
-
-
« il est impossible de dire qu’un logiciel ne comporte aucun bug »
Pour les amateurs d’algèbre, ceci découle directement du théorème de Gödel. Si l’on définit un « bug » comme une différence de résultat entre le programme écrit et celui qui aurait dû l’être, on constate que l’équivalence fonctionnelle de deux programmes est indécidable.
-
La démonstration des limites des machines électroniques pour voter a été faite lors des dernières élections aux USA et lire qu’un million de machines servira lors de la prochaine élection présidentielle me fait froid dans le dos, un million de voix trafiquées, c’est largement suffisantes pour faire basculer cette élection. Qui va tirer la sonnette d’alarme ?
-
-
Les résulats des dernières élections ont été très serrées (non je ne pense pas au second tour des présidentielles de 2002). Plus sérieusement, moins de 200 000 voix séparaient Jospin de Le Pen. En Italie Prodi a distancé Berlusconi de 30 000 voix seulement.
Quelques milliers de voix, cela peut être suffisant.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
