Sites Inria

Le 25.01.2016

Vote en ligne : à la recherche d’un système plus fiable

Nos isoloirs et nos bureaux de vote ont encore de beaux jours devant eux. Pour Véronique Cortier, directrice de recherche CNRS au sein de l’équipe-projet CASSIS*, les systèmes actuels de vote électronique ne présentent toujours pas de garanties suffisantes en termes de sécurité et de confidentialité.

© Vectodoodler - Fotolia

D’après un sondage Harris Interactive paru début novembre 2015, 58 % des abstentionnistes français déclarent qu’ils changeraient de comportement s’ils pouvaient voter sur internet. L’idée a de quoi séduire au regard du taux d’abstention aux dernières élections (plus de 50% lors des régionales de décembre 2015). Pourtant, le système peine à se généraliser : la France a timidement accepté le système du vote électronique en 2012 pour l’élection des représentants des Français de l’étranger, mais l’expérience n’a, à ce jour, pas été élargie. Après une expérience malheureuse en 2014, pour l’élection de son président, le parti Les Républicains a quant à lui renoncé à ce système pour sa primaire de novembre 2016. Véronique Cortier contribue à développer des systèmes de vote électronique de plus en plus sécurisés. Au côté de Pierrick Gaudry et de Stéphane Glondu**, elle est notamment à l’origine de Belenios, un logiciel libre. La chercheuse considère pourtant que les systèmes actuels sont insuffisamment sécurisés pour pouvoir remplacer le vote papier.
 

Des systèmes existants opaques
 

D’abord, les logiciels aujourd’hui utilisés, lors d’élections professionnelles ou politiques, sont développés par des sociétés privées et bénéficient à ce titre du secret du brevet. Impossible donc de vérifier qu’ils présentent les meilleures garanties de sécurité. « Des experts en informatique examinent en général le code pendant quelques jours seulement, ce qui est parfaitement insuffisant, explique Véronique Cortier. Le logiciel utilisé par l’UMP-LR lors de ses dernières élections est par exemple tout à fait opaque. » Or la fiabilité du système électoral repose en grande partie sur sa transparence. Tout électeur comprend comment le processus du vote papier fonctionne car il est extrêmement simple et que tout a lieu en public. Chacun a le droit d’assister au dépouillement pour vérifier par lui-même la régularité du scrutin. À l’inverse, lors d’un vote par internet, chacun se prononce depuis son ordinateur et les « bulletins » virtuels sont cryptés et déposés sur des serveurs. Le dépouillement n’est pas public et requiert des méthodes de décryptage complexes.
Un non-informaticien ne peut pas comprendre le fonctionnement du processus et doit donc lui faire confiance, à l’aveugle.
 

La question préalable de l’identification

Aujourd’hui, pour voter, chaque électeur doit présenter une carte d’identité. Une première fois pour être autorisé à prendre une enveloppe et des bulletins et une seconde fois avant de glisser son bulletin dans l’urne. Grâce à la liste d’émargement, dont il n’existe qu’un exemplaire dans le bureau, personne ne peut voter plus d’une fois. Or, comment garantir ce même niveau d’identification quand le scrutin s’effectue par écrans interposés ? En France, lors de l’élection des députés des Français de l’étranger de 2012, chaque électeur disposait d’un simple login et d’un mot de passe personnels. « Rien n’empêche un électeur malhonnête de vendre ses identifiants », objecte Véronique Cortier. L’Estonie, pionnière du vote électronique, a mis en place un système de carte d’identité en ligne. « C’est une solution intéressante, mais je ne peux pas m’assurer que le propriétaire de cette carte est bien seul derrière son écran et que personne ne le force à voter pour tel ou tel candidat. Avec notre système Belenios, chaque électeur peut voter plusieurs fois. S’il est contraint par sa famille à voter A alors qu’il veut voter B, il pourra ensuite, en secret, changer son vote. Seul le dernier sera pris en compte. Mais culturellement nous sommes habitués à ne voter qu’une fois. »
 

Des garanties sur la confidentialité

Le vote est secret et l’isoloir est probablement l’outil le plus simple pour le garantir. L’isoloir protège l’électeur de l’achat de vote : on peut bien le payer, personne ne pourra vérifier qu’il a rempli la consigne. « Aujourd’hui, avec les systèmes numériques, nous maîtrisons bien la confidentialité, grâce à des méthodes de cryptage avancées », explique Véronique Cortier.

Nous sommes tout à fait capables de concevoir un logiciel qui permet de chiffrer les données grâce à une clé publique (que tout le monde connaît), tout en garantissant que seule l’autorité de dépouillement possède la clé de déchiffrage.

« Cette dernière peut d’ailleurs être séparée en différents morceaux répartis entre plusieurs personnes. » Ces systèmes de cryptage garantissent la possibilité de compter les voix sans révéler l’identité des votants, mais ils jettent par conséquent un voile opaque sur le contenu de l’urne : comment s’assurer que les bulletins comptabilisés correspondent bien à ceux qui ont été déposés par les électeurs ? « D’autre part, avec le vote en ligne, chacun utilise son ordinateur personnel. Celui-ci pourrait être infecté par un virus capable de révéler pour qui il a voté. »

La vérifiabilité : parent pauvre des systèmes actuels
 

« Tous les efforts se portent sur la confidentialité et moins sur l’autre aspect essentiel du vote qu’est la vérifiabilité », selon Véronique Cortier. L’intérêt de l’urne transparente est d’avoir la certitude que sa voix est bien dans l’urne et qu’elle sera prise en compte. Chacun peut d’ailleurs assister au dépouillement dans son bureau de vote. Il ne s’agit pas là d’un simple folklore républicain mais d’une garantie de transparence. Or, si le dépouillement n’est pas public, comment s’assurer que sa voix n’a pas été modifiée par un virus par exemple ? Comment être certain que quelqu’un de malveillant n’a pas bourré les urnes ? « Avec Belenios, nous avons mis en place une urne numérique publique. L’électeur vote pour A ou B et son vote est crypté grâce à une clé publique. Le bulletin prend alors la forme d’un code qui rend le vote tout à fait confidentiel. Celui-ci est envoyé au serveur et s’affiche sur la page web pour que l’électeur puisse vérifier que son vote se trouve bien dans l’urne, » explique Véronique Cortier. « Mais ce système présente d’autres désagréments : je peux prouver à un tiers pour qui j’ai voté en lui révélant comment j’ai mis au point mon bulletin crypté. Quelqu’un pourrait donc me forcer la main ou acheter mon vote. »

 

La sensibilité du scrutin comme critère de choix

Face à ces failles de sécurité, de nombreux états et organisations se sont déjà prononcés contre l’adoption du vote électronique. C’est le cas de l’Allemagne par exemple et des Républicains pour les primaires prévues en 2016. « C’est une bonne chose, pour Véronique Cortier, car c’est un scrutin à très fort enjeu sur lesquels les intentions malveillantes pourraient être importantes. » En revanche, selon elle, rien n’empêche de voter sur internet pour des scrutins moins sensibles. « Dans de nombreuses élections professionnelles, par exemple, le vote par correspondance est de mise. C’est un système très peu sécurisé. Les électeurs ne perdraient donc rien à passer au numérique », conclut la chercheuse.

*CASSIS : Combining ApproacheS for the Security of Infinite state System. L’objectif de cette équipe est la conception et la réalisation d'outils pour vérifier la sûreté des systèmes à nombre infini d'états. Elle associe des chercheurs du CNRS, d’Inria et de l’Université de Lorraine au sein du Loria de Nancy.
 
 
**Pierrick Gaudry est directeur de recherches CNRS – équipe CARAMEL, Stéphane Glondu est ingénieur de recherche Inria.
 

Crédits : portrait de Véronique Cortier, © Inria / Photo Kaksonen
Illustration, © skvoor - Fotolia.com

 

Plus d’informations sur le sujet ?

Propulsé par