Débattre

Vote par Internet

Aujourd'hui, le vote à distance, par Internet, permet de voter de n'importe où, dès lors que l'on dispose d'une connexion à Internet. Tout comme les machines à voter électroniques, ce système de vote soulève des questions en termes de sécurité et de fiabilité.

vote-internet

Les machines à voter sont désormais utilisées dans de nombreux pays, en phase de tests ou à grande échelle. Aux États-Unis, cette façon de voter est devenue la plus courante, que ce soit avec des bulletins papier qui sont scannés ou par une interaction directe sur un écran tactile. Le manque de transparence de ces machines a créé une polémique. Plusieurs pays, comme les Pays-Bas ou l’Allemagne, ont décidé d’interdire leur utilisation pour revenir à un scrutin purement papier. À l’inverse, certains pays vont plus loin et mettent en place le vote à distance, par Internet. Contrairement aux machines installées dans les bureaux de vote, le vote à distance permet de voter de n’importe où, du moment que l’on dispose d’une connexion à Internet.

En matière de vote par Internet, l’Estonie est l'un des pays pionniers. Dès 2005, la possibilité y a été offerte de voter par Internet lors d’élections municipales. En 2007, tous les électeurs ont eu le droit d’utiliser ce mode de scrutin pour des élections parlementaires et, en 2011, cette pratique a gagné en popularité avec 24,3 % des votes par Internet. D’autres pays se lancent dans le vote à distance pour des élections politiques. Des projets pilotes ont par exemple été expérimentés dans quelques cantons suisses, ainsi qu’à l’occasion d’élections municipales et régionales en Norvège. Pour la France également, lors des élections législatives de 2012, les Français de l’étranger ont eu la possibilité de voter par Internet pour élire 11 députés.

Propriétés essentielles

Le vote par Internet présente des avantages dans certaines circonstances, par exemple lorsque le vote avec urne occasionne de longs déplacements. Ainsi, le vote des Français de l’étranger a lieu traditionnellement dans les ambassades, parfois très éloignées. C’est également le cas pour certains pays comme l’Australie qui ont une faible densité de population.

Cependant, le vote par Internet pose évidemment des problèmes potentiels de sécurité. Ceci est principalement dû à deux raisons. D’une part, les électeurs ne disposent plus d’un bureau de vote avec un isoloir. Il est donc difficile de vérifier l’identité de l’électeur et de s’assurer que cette personne vote librement, sans contraintes. D’autre part, les ordinateurs personnels utilisent de nombreux logiciels peu contrôlables et potentiellement malveillants. De ces constats se dégagent deux types de propriétés de sécurité essentielles pour le vote, l'anonymat et la correction.

L'anonymat

Pour la plupart des élections, l’anonymat du vote est requis. Cela veut dire qu’il doit être impossible de savoir comment un votant particulier a voté, à moins que ce soit révélé par le résultat (par exemple si le vote est unanime). Selon l’enjeu des élections, l’anonymat peut ne pas être suffisant. Afin d’éviter la coercition et l’achat de vote, il est également nécessaire que le protocole soit résistant à la coercition : il doit être impossible d’enregistrer des informations qui pourraient divulguer à une tierce personne la valeur du vote.

La garantie de correction

Il est bien sûr essentiel que le résultat proclamé corresponde aux intentions de vote des électeurs. Pour les scrutins classiques, des observateurs, comme les votants eux-mêmes, peuvent surveiller l’urne et le processus de dépouillement, afin de garantir la correction, c’est-à-dire la sincérité du scrutin. Lors d’un vote par Internet, garantir la correction du résultat est plus compliqué. Par exemple, comment savoir si le programme exécuté sur l’ordinateur personnel de l’électeur est le bon ? Il se peut en effet que le système soit victime de bugs ou encore qu’un programme différent soit exécuté à cause d’un virus ou malware. Aussi, des propriétés plus fortes, de vérifiabilité, sont souhaitables : le protocole doit fournir des preuves mathématiques démontrant la correction du résultat. Un votant doit pouvoir contrôler que son bulletin est présent dans l’urne : on parle alors de vérifiabilité individuelle. La vérifiabilité universelle, quant à elle, assure que le résultat de l’élection a été correctement calculé à partir des votes individuels, d’une manière vérifiable par n’importe quel observateur. Ces vérifications sont indépendantes du logiciel ayant été utilisé pour voter et dépouiller. Elles permettent ainsi de contourner les problèmes dus à des bugs et malwares.

Mettre au point un système de vote électronique sûr est un exercice délicat. En particulier, la vérifiabilité et la résistance à la coercition sont des propriétés antagonistes : il faut à la fois démontrer qu’un certain vote a été inclus dans le résultat et ne pas montrer à un tiers comment on a voté. Peu de protocoles ont pu être construits de manière à satisfaire ces deux propriétés, avec un recours important à la cryptographie. Ainsi, le système Civitas implémente un protocole qui vise à la fois la vérifiabilité et la résistance à la coercition. Les systèmes Helios et « Pretty Good Democracy » assurent la vérifiabilité et l’anonymat. Contrairement à Civitas, ils ne garantissent plus la résistance à la coercition, mais ils sont plus faciles à mettre en œuvre. Comme le fonctionnement d’Helios est simple à exposer, c’est ce système qui sera ici présenté plus en détail.

Un exemple de système de vote : Helios

Helios est un protocole développé sous licence libre par des chercheurs de l’Université d’Harvard et de l’Université catholique de Louvain (Ben Adida, Olivier de Marneffe et Olivier Pereira), basé sur une proposition originale de Josh Benaloh. Helios a été retenu pour élire le recteur — équivalent du président — de l’université catholique de Louvain et a également été utilisé à plusieurs reprises dans des élections étudiantes, par exemple à Princeton et Louvain. L’association internationale des chercheurs en cryptographie (IACR) l’a aussi choisi pour élire les membres de son bureau.

Il s’agit d’un protocole en deux phases, comme le système de vote papier classique : la phase de vote à proprement parler et la phase de dépouillement. Pour simplifier les explications, le cas présenté ci-dessous est l'exemple d'un référendum où chaque électeur peut voter 0 (pour non) ou 1 (pour oui).

Helios : phase de vote. Illustration © skvoor - Fotolia.com.

Phase de vote

À chaque élection est associée une clef publique (notée pub(E) dans la figure ci-dessus). Le chiffrement à clef publique est un système de chiffrement dit asymétrique : la clef de chiffrement est publique — tout le monde peut chiffrer — alors que la clef de déchiffrement est privée — seules les personnes ayant la clef de déchiffrement peuvent déchiffrer. Pour voter, chaque électeur, au travers de son navigateur, chiffre son choix (0 ou 1) avec la clef publique de l’élection. Il fournit également la preuve qu’il a bien chiffré l’une des deux valeurs 0 ou 1 et non une autre valeur. Cela est possible grâce aux preuves à divulgation nulle qui prouvent que le contenu d’un chiffré vérifie une certaine propriété, sans fournir aucune autre indication sur le contenu du chiffré.

Le vote chiffré, accompagné de la preuve de validité, forme le bulletin qui est envoyé à une urne. Une des caractéristiques clés d’Helios est que l’urne affiche sur une page web publique tous les bulletins reçus. Ainsi, chaque électeur peut bien vérifier que son bulletin est présent dans l’urne.

Phase de dépouillement

L’explication de la phase de dépouillement nécessite de détailler un peu plus le fonctionnement de l’algorithme de chiffrement. Le chiffrement employé dans Helios est le système de chiffrement El Gamal. Il a une propriété essentielle ici : il s’agit d’un chiffrement dit homomorphique. En particulier, multiplier les chiffrés des votes permet d’obtenir le chiffrement de la somme des votes.

{v1}pub(E) × · · · × {vk}pub(E) = {v1 + · · · + vk}pub(E)

Grâce à cette propriété, il est facile pour tous de calculer le résultat de l’élection, mais sous une forme chiffrée. En multipliant tous les bulletins présents dans l’urne virtuelle, on obtient une valeur {n}pub(E) qui correspond au chiffrement de n par la clef publique de l’élection, où n est le nombre d’électeurs ayant voté 1 (oui). Ce calcul permet à tout observateur de vérifier que n est bien le résultat affiché de l’élection. La preuve (à divulgation nulle) de bonne formation empêche un votant malhonnête de chiffrer autre chose que 0 ou 1, il est donc impossible d’ajouter des votes « oui » par exemple.

Il reste ensuite à déchiffrer la valeur obtenue pour connaître le résultat en clair. Il serait dangereux de confier la clef de déchiffrement à une autorité unique. En effet, une telle autorité serait alors en mesure de déchiffrer chacun des bulletins présents dans l’urne et donc de connaître le vote de chaque électeur. La clef privée est en fait un assemblage de plusieurs petites clefs (en général de 2 à 4 clefs), chacune des petites clefs étant détenue par une autorité de déchiffrement indépendante (parti, bureau de vote, association...). Chacune des autorités de déchiffrement contribue au déchiffrement du résultat chiffré, ce qui permet à la fin du processus d’obtenir le résultat exact du vote, qui peut être proclamé. Il est à noter que les autorités de déchiffrement produisent également une preuve qu’elles ont correctement déchiffré le résultat chiffré, ce qui permet à tout un chacun de vérifier les calculs, sans posséder la clef de déchiffrement.

Avantages et inconvénients d’Helios

Helios est un système de vote relativement simple comparativement aux autres systèmes existants. Il est facile à mettre en œuvre et il s’agit d’un logiciel libre, dont les sources sont disponibles. Helios assure bien sûr la confidentialité des votes. Mais son principal avantage est d’être entièrement vérifiable et par tous : tout électeur peut suivre son bulletin dans l’urne, calculer le résultat de l’élection sous une forme chiffrée et vérifier les calculs effectués par les autorités de déchiffrement. Il s’agit d’une différence fondamentale par rapport à la plupart des solutions commerciales actuellement déployées : même si les entreprises développant ces solutions font un effort pour que leurs systèmes soient auditables par des experts habilités, elles ne permettent pas à tout à chacun de vérifier que le résultat proclamé est conforme.

Mais le fait d’afficher les votes chiffrés accompagnés de l’identité des électeurs comporte des risques pour l’anonymat. En effet, des systèmes de chiffrement qui sont sûrs aujourd’hui pourraient ne plus l’être dans 20 ou 30 ans. Les avancées scientifiques et technologiques permettront très probablement de casser ces chiffrés et de connaître ainsi comment chacun des électeurs a voté. Pour garantir à la fois la vérifiabilité et éviter que l’anonymat ne soit compromis, T. Moran et M. Naor ont introduit le concept d’anonymat éternel : même si les clefs sont compromises après la fin de l’élection, il devrait être impossible de connaître le vote d’un électeur. Une solution consiste à protéger les votes affichés par un mécanisme cryptographique inconditionnellement sûr, par exemple en assurant qu’un chiffré peut représenter plusieurs votes possibles, sans qu’un attaquant puisse savoir lequel. Des solutions de ce type ont par exemple été proposées pour Helios.

Par ailleurs, avec le système Helios, on sait qui a voté et qui s'est abstenu. C'est un protocole conçu en Belgique où il est bien accepté que chacun sache qui a voté ou non. En France, ce serait un problème (c'est même contraire aux recommandations de la CNIL). C'est pourquoi, des chercheurs du projet Inria CASSIS développent une variante d'Helios, où les identités des votants ne sont plus affichées (tout en empêchant l'urne d'ajouter des bulletins).

Des systèmes ouverts et vérifiables comme Helios représentent une avancée pour les élections qui ont lieu à distance. Cependant, nous tenons à souligner qu’Helios, comme tout système de vote en ligne, ne nous semble pas adapté à des élections à forts enjeux, comme des élections politiques (présidentielles, législatives...). En effet, un ordinateur compromis pourrait transmettre la valeur du vote d’un électeur à une tierce personne, à l’insu de l’électeur. Il pourrait également voter pour une autre personne (même si Helios comporte quelques protections contre cela, non décrites ici). Ces faiblesses ne sont pas dues au système Helios, mais au fait qu’on ne peut tout simplement pas avoir une totale confiance dans la sécurité d’un ordinateur personnel.

Quand choisir le vote par Internet ?

De manière générale, certains problèmes de sécurité sont inhérents au vote par Internet. Ainsi, des logiciels malveillants comme des virus ou keyloggers peuvent enregistrer et divulguer les votes, brisant ainsi l’anonymat. D’autres logiciels peuvent non seulement divulguer les votes mais également changer leur valeur, sans être détectés. Lors des élections législatives en 2012 des Français de l’étranger, Laurent Grégoire, ingénieur français travaillant aux Pays-Bas, en a fait la démonstration en mettant au point un logiciel capable de remplacer le choix de l’électeur pour un parti pirate, au moment où l’électeur votait. En 2007, en Estonie, un étudiant en informatique, Paavo Pihelgas, a également construit un logiciel pour produire des bulletins valides, pour le candidat de son choix. Dans les deux cas, il s’agissait de systèmes de vote dont le fonctionnement et le code source n’étaient pas connus. Ceci démontre que le secret du fonctionnement du système ne garantit pas la sécurité. Au contraire, il est souhaitable que la description du système et le code source soient ouverts pour permettre à un maximum de personnes de procéder à une analyse de sécurité.

Même pour les systèmes les plus sûrs et les plus vérifiables, les mécanismes de vérification font appel à des théories mathématiques complexes dont la compréhension détaillée est réservée à des experts. Les autres utilisateurs doivent faire confiance à ces experts, contrairement au vote papier où les procédures sont comprises par une vaste majorité des citoyens.

Pour toutes ces raisons, il semble prématuré d’utiliser le vote par Internet pour des élections à forts enjeux comme des élections politiques importantes. Par contre, il serait réducteur de penser que le vote par Internet est plus dangereux que les autres systèmes de vote en général. Ainsi, le vote par Internet est souvent utilisé pour remplacer le vote par correspondance, qui lui-même n'est pas un système totalement sûr. Contrairement au vote dans un bureau de vote, le processus du vote par correspondance ne peut être observé que par quelques personnes et les électeurs doivent faire pleinement confiance aux organisateurs de l’élection. De plus, le vote par correspondance peut être sujet au bourrage d’urne, comme l’ont montré certaines attaques. En conclusion, le choix d’utiliser un système de vote électronique dépend très fortement du système déjà en place et du type d’élection.

Pour en savoir plus, quelques références scientifiques.

Niveau de lecture

Aidez-nous à évaluer le niveau de lecture de ce document.

Il vous semble :

Si vous souhaitez expliquer votre choix, vous pouvez ajouter un commentaire (qui ne sera pas publié).