Une méthode de vote en ligne facilement vérifiable
Face à la question réputée très problématique des garanties contre le risque de fraudes lors de votes en ligne ou électroniques, voici une proposition de solution.
Je n’y vois qu’un seul défaut éventuel : les possibles failles à la confidentialité. D’une part, le risque d’un défaut général de confidentialité dans le système, à l’insu des victimes, probablement remédiable en y travaillant bien. D’autre part, le risque de pression explicite par violation ouverte de confidentialité sur des individus particuliers, à travers la demande des identifiants d’un électeur (risque inévitablement lié à l’absence d’obligation faite à tous de passer dans un isoloir : eh oui, aller dans un bureau officiel avec isoloir le jour du vote est de toute manière un dérangement, tous n’auront pas la possibilité ou l’envie de s’y plier).
Le scénario se décompose en trois étapes : préparation, vote, et dépouillement. Voici les descriptions des objectifs exacts de chaque étape, laissant ouverte à la discussion la question des méthodes détaillées qu’on peut développer à l’intérieur de chaque étape, pour satisfaire les objectifs. Les "preuves" dont nous parlerons pourront être soit des éléments matériels, soit des signatures électroniques.
Première étape : la préparation
Comparable à une distribution de cartes d’électeurs, elle peut se faire des mois par avance. Son objectif est d’attribuer à chaque électeur inscrit un numéro d’électeur confidentiel complété par un code d’accès, qui joueront respectivement les rôles de login et mot de passe.
L’objectif est ainsi d’établir un ensemble de numéros d’électeurs en correspondance (bijection) avec l’ensemble des électeurs inscrits ; cette correspondance doit être confidentielle, en ce sens que chaque électeur sera la seule personne à savoir quel numéro lui est attribué ; et à chaque numéro x est associé un code d’accès que seuls connaîtront l’électeur à qui est attribué le numéro, et un serveur Web central (sous une forme éventuellement hachée).
Suivant ce qu’on jugera le plus pratique à réaliser, on peut envisager deux formes possibles du résultat : ou bien les numéros d’électeur seront tous les nombres compris entre 1 et le nombre total d’inscrits, ou bien ce sera une liste de numéros dans un ensemble plus grand qui sera publié (du moins à la fin).
Les problématiques du bon déroulement de cette étape sont les suivantes :
- Assurer la confidentialité de la correspondance entre numéros et électeurs : sans doute le point le plus délicat, seul garant de la confidentialité du vote.
- Assurer que deux électeurs différents ne recevront pas le même numéro
- Assurer qu’il y a autant de numéros enregistrés que d’électeurs ayant reçu un numéro
- Confier à chaque électeur un moyen de prouver qu’un numéro est bien le sien, preuve qu’il pourra mettre en avant notamment s’il découvre un litige sur son compte.
Le système des conditions 2 et 3 sert à garantir qu’il n’y a pas de numéro d’électeur fictif source de voix frauduleuses.
Nous verrons que s’il y a plusieurs cas d’attribution d’un même numéro à des électeurs différents, cela sera de toute manière publiquement découvert lors de la dernière étape (dépouillement) : certains des électeurs concernés s’en apercevront et, s’ils peuvent prouver quel numéro leur est attribué, la preuve sera donc publique. En attendant, on peut imaginer plusieurs méthodes possibles pour réaliser cette étape :
- soit un générateur aléatoire central réalise une correspondance et envoie par la poste à chaque inscrit son numéro (de 1 au nombre d’inscrits) et son code. Mais comment vérifier la confidentialité ?
- soit les électeurs viennent dans un bureau officiel, connecté au serveur central en temps réel, choisir ou recevoir un numéro parmi ceux restant
- soit il y a génération aléatoire décentralisée de numéros d’électeurs parmi un ensemble plus grand (plus que le carré du nombre d’électeurs) en espérant qu’il n’y ait pas de répétition, et en cas de répétition les électeurs concernés devraient changer de numéro.
Deuxième étape : le vote
Chaque électeur, muni de son numéro et de son code, se logue et vote, puis reçoit une preuve de son vote, en tant que choix effectué associé au numéro d’électeur.
On peut envisager deux hypothèses : ou bien le vote est définitif dès qu’il est effectué, ou bien il est modifiable jusqu’à un certain dernier moment. Dans ce dernier cas, on peut de toute façon prévoir un temps de latence de quelques heures entre le dernier moment d’une possible modification facile et le passage à l’étape du dépouillement, permettant à chacun de vérifier que son vote a été correctement enregistré.
En effet, dans tous les cas, deux risques seraient à considérer : soit que deux électeurs aient le même numéro d’électeur, soit qu’un fraudeur ait pu obtenir le numéro et le code d’accès (ou ait essayé par hasard) et ait voté à la place du vrai électeur. Si ce dernier peut modifier son vote, le fraudeur le peut aussi. Dans ce cas, il ne reste plus à l’électeur (ayant constaté une manoeuvre sur son vote qu’il n’a pas lui-même effectué) qu’à se présenter rapidement à un bureau de vote avec sa pièce d’identité et la preuve de son numéro d’électeur, pour qu’on lui attribue un nouveau code d’accès et la permission de modifier son vote (voire pour qu’on lui donne un nouveau numéro d’électeur s’il y a doublon, mais il vaut mieux que cela n’arrive pas !).
Troisième étape : le dépouillement
Est publiée alors la liste de tous les numéros d’électeurs avec les votes associés.
Chacun pourra vérifier que dans cette liste, son propre vote figure correctement (mais il ne pourra pas savoir ce qu’ont voté les autres, faute de connaître la correspondance entre numéros et électeurs).
Chacun pourra, sur son propre ordinateur, vérifier le compte final à partir de la liste des votes.
Si jamais plusieurs électeurs avaient reçu le même numéro, il y aurait des chances pour qu’ils n’aient pas voté la même chose (s’il n’y a pas assez de chances, on peut encore les augmenter en enrichissant le vote par des informations, soit utiles comme un classement des choix par ordre de préférence, par exemple pour un décompte à la Condorcet, soit un chiffre inutile pour contrôle).
Alors le résultat publié serait en contradiction avec le vote d’au moins l’un d’eux, qui pourrait porter plainte, muni de ses preuves.
NDLR : Différent autres articles ont alimenté dernièrement les débat autour du vote électronique. Voir le dossier qui a été crée.
32 réactions à cet article
-
-
-
J’ai dit : défaut éventuel. C’est-à-dire pas un défaut certain. En effet j’ai défini les grandes lignes de l’idée, mais non les détails très précis, afin d’ouvrir un débat sur les possibilités de méthodes détaillées et leurs éventuels risques. Par conséquent, avant d’exclure l’ensemble de l’idée, j’invite à discuter de ces détails possibles pour qu’on évalue ensemble la mesure des risques, et pour voir si en fin de compte, en s’y prenant bien, ces risques peuvent se trouver finalement exclus on non. Si donc on arrive finalement à définir un scénario capable d’exclure les risques, il n’y aura plus de risque et l’idée ne pourra plus être exclue.
(Remarque de forme, ou.. ? : ça n’a pas de sens de demander d’exclure une idée, dans un monde de liberté de pensée et d’expression ; cela aurait seulement un sens de demander d’exclure la mise en oeuvre d’une idée si après examen de l’idée sa mise en oeuvre serait connue pour mauvaise, mais c’est déjà une autre question. Car rien ne doit nous interdire de réfléchir)
« il reste toujours le grand problème : on ne sait pas ce qui se passe du côté de l’écran du votant : est-il menacé ? est-il acheté pour voter d’une certaine façon ? »
Je ne vois ici que deux manières suivant lesquelles la part de risque que je reconnais irréductible, de pression explicite par transmission des identifiants, serait plus grave que celui induit par le droit actuel de vote par procuration (qui permet à quelqu’un d’obliger par la menace ou par l’achat quelqu’un d’autre de lui donner procuration, risque contre lequel, à mon humble connaissance, il n’y a guère de protestation) : d’une part, la possibilité de donner procuration officieusement sans déclaration ; d’autre part et consécutivement, la possibilité pour un nombre illimité de personnes, de donner procuration à une même personne. (D’un autre côté, j’y vois une petite possibilité de recours nouveau, où la victime dans la deuxième petite phase du vote, se rendant dans un bureau de vote, pourrait corriger son vote quitte à ensuite se faire taper par son bourreau découvrant le changement après le dépouillement).
Quant au reste du risque de violation de confidentialité, lié au système et dont je parie qu’en y travaillant bien on pourra assez bien l’exclure, il me semble difficilement utilisable comme moyen pour faire pression : si on ne sait pas qu’il y a violation de confidentialité, on n’est logiquement pas soumis à une pression. Si on est soumis à une pression, si ce n’est de l’Etat, cette pression viendrait de quelque part, ce qui ouvrirait une piste de recherche pour l’enquête sur la violation de confidentialité.
« Tous ces articles pour nous convaincre que le vote électronique, c’est bien »
Il ne s’agit pas de vous convaincre qu’une procédure comportant des risques de fraudes c’est bien, mais d’apporter des pistes de recherches de possibles procédures qui pourraient enfin exclure le risque de fraude, étant donné que l’informatisation galopante de la société remettra régulièrement la question sur le tapis ; le risque n’est donc pas de proposer une meilleure méthode, mais de laisser se faire l’informatisation avec de mauvaises méthodes faute d’avoir eu le courage d’en chercher de bonnes.
-
-
-
-
-
-
-
solution pas satisfaisante car une personne peut acheter les votes de 100 personnes et peut verifier apres qu’ils ont bien votes selon sa demande...
ce n’est pas satisfaisant.... (et pourtant je suis pour le e-vote)
-
-
-
-
Informaticien moi-même, je trouve le sujet techniquement intéressant. Dans l’absolu, un vote informatisé 100% fiable (personne ne rigole, SVP) est une garantie de démocratie. De plus, l’ordinateur est là pour nous débarrasser des tâches fastidieuses comme le comptage.
Cependant je ne suis pas favorable au vote électronique car je pense qu’il ne faut pas tout confier à des machines, surtout à une époque où certains lorgnent dangereusement vers nos libertés individuelles et notre vie privée.
Comme tout système informatique, il se trouvera toujours des petits malins pour pénétrer le système et le trafiquer. Les hackers ont un bel avenir du côté des partis politiques !
Ce qui assure actuellement la confiance des citoyens en le résultat des élections, c’est le fait que chacun d’entre nous peut participer à la tenue matérielle de celle-ci dans son bureau de vote, constater qu’elle s’est bien passée et rentrer chez lui persuadé de la justesse du résultat. Bref, la fiabilité (et l’imperfection aussi) réside dans le côté humain du processus.
Il est des choses que je préfère continuer à faire sans avoir un appareil électronique entre les pattes : prendre l’apéro avec des potes, préparer ma blanquette, lire un bon bouquin, jouer au ballon avec mes enfants ou encore voter.
-
-
-
-
@candidat007
J’ai été assesseur lors du dernier référendum. C’était avec des machines à voter, et je n’ai pas aimé du tout. J’avais l’impression de jouer dans une pièce de théâtre. L’appareil crache le matin un ticket avec un zéro dessus, et on nous demande de le signer, certifiant ainsi que l’“urne” est vide. Le soir, un autre ticket sort avec les résultats dessus. Ensuite le PV des résultats est rédigé, et on remballe vite la machine.
J’ai refusé de signer ce PV, car je ne savais rien de la machine : je ne savais pas ce qui était censé y être (c’est un secret industriel), ni même ce qui y était réellement, puisqu’on ne fait aucune vérification de ce que contiennent les machines. Etre informaticien ne m’a aidé en rien, si ce n’est à prendre conscience de la vacuité de toutes ces procédures.
D’autre part, j’ai observé (en étant physiquement présent) le vote par Internet qui s’est tenu en juin. Le sentiment d’une pièce de théâtre était encore plus fort. Le vote a duré 6 jours : il fallait donc organiser des tours de garde entre les assesseurs. Cela s’est fait le premier jour : je me souviens qu’une des assesseurs, très inquiète, a répété à plusieurs reprises : « vous me donnez les horaires que vous voulez, mais je ne veux surtout pas être présidente du bureau ».
A la fin de l’élection, deux des assesseurs, les plus compétents en informatique, un de chaque bord politique, ont exprimé une longue liste de réserves en signant le PV de résultats (je travaille à publier ce PV).
Les trois experts ont confirmé qu’aucun contrôle n’était possible par les assesseurs. Vous aimez Magritte ? Alors lisez celui-là.
L’auteur de cet article habite le Havre, ville qui s’est équipée l’année dernière en machines à voter. Je serai curieux d’avoir son avis dessus. C’est stimulant d’imaginer tous les systèmes de vote électronique possibles (mais des universitaires y travaillent depuis des années...), mais il faudrait se coltiner avec ce qui se fait réellement, en ce moment et sous nos yeux souvent indifférents.
Pierre Muller,
webmestre de www.recul-democratique.org
Citoyens et informaticiens pour un vote vérifié par l’électeur-
-
Je suis déçu de constater que nombre de commentateurs ici n’ont même pas pris la peine de comprendre cet article avant de le commenter. Ils répondent comme s’il s’agissait ici de promouvoir un système de vote invérifiable comme ceux qui sont actuellement répandus, alors que l’objet de l’article était justement de proposer une solution complètement différente de celles dont il est habituellement question, et dans laquelle les risques habituels ne se posent plus. Encore faut-il prendre la peine de comprendre pourquoi.
Continuer à étaler indéfiniment les témoignages de risques de fraudes des systèmes actuels de votes électroniques est hors sujet. Au contraire le caractère invérifiable des systèmes de vote électronique traditionnels devrait être vu comme une bonne raison d’apprécier cette recherche de méthodes différentes comme celle que je propose, qui résoudrait ces problèmes.
Pour répondre à la critique « chacun ne peut vérifier que son propre vote ». Je suis parfaitement d’accord que si un système de vote électronique traditionnel, c’est-à-dire sans procéder suivant le scénario que je décris, ne propose à chacun de vérifier que son propre vote, cela ne prouve rien. Mais avec le scénario décrit, la preuve est claire, il suffit de prendre la peine de réfléchir deux minutes pour la comprendre, en se rapportant au scénario précis que j’ai décrit. Aucune fraude n’est possible si ce n’est une fraude sur des votes particuliers, ceux de personnes qui nécessairement détecteront cette fraude sur leur propre vote. Si vous n’êtes pas convaincus, expliquez-moi en détails comment vous voyez un scénario de fraude qui extérieurement apparaîtra conforme à la méthode que j’ai décrite. Alors, dans les détails, il apparaîtra que ces scénarios de fraude ne sont pas possibles.
Quant à ceux qui voudraient m’obliger par motif d’un prétendu « réalisme » à restreindre toute discussion à celle des systèmes de votes électroniques désespérément frauduleux qui existent actuellement, afin de nous enterrer dedans...
-
-
« La fraude est simple, il suffit de laisser au citoyen lambda la joie de vérifier la conformité de son vote, d’une part afin d’entretenir l’illusion, et d’autre part, fournir des résultats d’élections à la sauce voulues par les industriels ou les politiques, la procédure de calcule pouvant à soin, être ROMé selon les directives de la propriété industrielle les plus restrictive. Ainsi un contrôle total devient impossible, sous couvert de sécurité. Et si jamais cette partie ne suffit pas, les industriels peuvent, cabler en hard, lors de la gravure, les micro codes fallacieux. »
Ceci ne fait que confirmer une fois de plus mon propos, à savoir le fait que vous avez tous résolument décidé de ne pas lire ou de ne pas comprendre mon article.
J’ai écrit : « Si vous n’êtes pas convaincus, expliquez-moi en détails comment vous voyez un scénario de fraude qui extérieurement apparaîtra conforme à la méthode que j’ai décrite. » Il est clair pour moi que le scénario que vous proposez ne peut en aucun cas apparaître extérieurement conforme à la méthode que j’ai décrite, mais seulement bien sûr extérieurement conforme aux méthodes invérifiables habituelles dont vous raffolez tellement que vous avez résolument décidé de rejeter toute tentative de concevoir la possibilité d’un scénario différent qui soit exempt de ces trous de sécurité.
Dois-je rappeler que dans mon scénario, la liste des bulletins de vote est intégralement publiée, de sorte que chacun aura loisir de recompter les bulletins par un mini script dans son propre ordinateur.
-
-
-
-
-
-
-
-
-
Il serait même judicieux, de voter autant de fois que l’on veut pour tous les candidats ou les courants que l’on estime. Exemple, le PC serait mon vote le plus représentatif, mais le PS serait un vote ami et utile et comme j’aime bien ma planète, je voterais aussi pour les verts. Ainsi mon vote correspondrait parfaitement à mes idées. On n’aurait plus de nécessité de voter utile tout de suite pour éviter la catastrophe de 2002.
-
Merci pour cet avis patoo45 !
CQFD : une seule solution : le « vote à eau », c’est à dire un « cahier de doléances temps-réel » ! voir : http://gonic.lyon.free.fr/vote_a_eau.html
( blog possible sur OKIDOR : http://okidor.free.fr/reflects/forum.php?lng=fr&id=1&cat=4 pour ne pas détourner le sujet
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
