Vote électronique

Contenu

Comme tout démocrate qui se respecte, je suis contre le vote électronique. Pour plein de raisons que je développerai quand j’en aurai le temps. Même si même le FBI qui n’y connaît rien¹ à l’informatique s’en inquiète, ça veut dire qu’il y a de quoi être inquiet².

Symantec a prouvé la faisabilité d’une attaque en rachetant une machine à voter numérique, et en utilisant un petit Raspberry Pi³. En 2017, il a suffi de 2 heures⁴ à un universitaire pour prendre le contrôle d’une machine à voter, à la conférence DefCon. De nombreux experts doutent de la sécurité⁵⁶ de ce genre de système, par manque de moyens et de volonté⁷ pour les rendre sûrs.

Quelques faits

Jeu d’enfant

Pour une fois, l’expression doit être prise au pied de la lettre : lors de la conférence DefCon 26 en 2018, un enfant de 11 ans⁸ a réussi à pirater une machine à voter électronique. Tout aussi inquiétant, après leur avoir appris les rudiments des injections SQL, 35 enfants sur 39⁹ ont également piraté ces machines. Pas étonnant après cela que presque tous les experts en sécurité américains craignent pour la sécurité des machines et de la transmission de leurs précieuses données¹⁰.

Tout aussi effrayant : une société montre comment contrôler un modèle utilisant dans 18 états américains en moins de 2 minutes, sans outil. Et encore, le plus long est le temps que met la machine à démarrer.

La vidéo de démonstration se trouve ici.

Les élections américaines

Les élections de 2016 ont été influencées¹¹. Il n’y a pas de preuve qu’elles aient été truquées, c’est-à-dire que les résultats aient été modifiés frauduleusement, mais le vote a subi une forte influence¹² et une manipulation de la part de la Russie. Une chronologie des faits peut être retrouvée ici.

La culture électorale américaine rendant toute intervention délicate, l’administration Obama a échoué à imposer un plan de sécurisation au cours des élections 2016, et même à sanctionner la Russie après ces faits¹³. Néanmoins, en 2018, aucune preuve de piratage n’a été rendue publique. Il n’en reste pas moins que le Congrès américain a finalement décidé de débloquer des fonds pour améliorer la sécurité des votes électroniques¹⁴ : ça prouve à la fois qu’il y a une crainte réelle mais aussi beaucoup de travail à faire.

En 2019, le sujet est très souvent discuté, les partisans du vote électronique accusant les opposants de profiter¹⁵ de l’angoisse causée par cette menace. Pour ma part, je pense que la menace est réelle, bien qu’elle me paraisse peu probable, mais on verra ce qui se passe en 2020…

Les élections russes

Pas de jaloux : les russes craignent désormais tout autant la manipulation extérieure que les autres nations¹⁶. Bon, il y aussi de fortes influences intérieures, mais je ne m’étendrai pas sous peine de voir déferler une vague de commentaires indignés m’accusant d’anticommunisme primaire¹⁷.

Les critiques

L’instantanéité

Un autre très grand motif d’inquiétude quant au vote électronique est son immédiateté, et le risque de voir ce procédé généralisé pour toute question, laissant de côté la notion primordiale de délégation à des personnes ayant suffisamment de compétences et de temps pour bien réfléchir à la question posée.

La sincérité

Rien n’est plus facile que de vérifier une élection papier, du point de vue strictement technique. Et surtout cela peut être réalisé par n’importe quel citoyen qui sache lire et écrire. Ce type de vote n’est pas exempt de fraudes, on en a vu souvent. Mais il suffit d’un peu de volonté et d’organisation pour que tout citoyen puisse s’assurer de la sincérité du vote.

Pour un vote électronique, ça se corse : il faut faire confiance aux constructeurs des machines à voter.

La sécurité des machines

On peut discuter longtemps de la sécurité des dispositifs de vote par papier : cela dépend de plusieurs critères comme la clarté des règles, leur application, la confiance envers les institutions, etc. Pour une machine, et je dirais comme toute machine électronique, la fiabilité et le niveau de sécurité varient dans le temps. Leur évaluation est donc difficile, et elle doit être reconduite et refaite régulièrement. Il faut également faire confiance aux auditeurs qui ne peuvent plus être de simples citoyens, lesquels n’ont pas les compétences requises pour cela.

Hélas, l’actualité montre que des vulnérabilités sont fréquentes, publiques¹⁸ et exploitables³.

Et cela ne date pas d’hier

Comme trop souvent en informatique (je ne cesserai pas de le répéter), la plupart des systèmes ont été conçus sans penser à la sécurité, par méconnaissance ou parce que dans le temps on n’imaginait pas qu’ils soient la cible d’attaques. Et les premières machines à voter électroniques ne font pas exceptions : entre 2000 et 2006, de nombreuses machines ont été livrées avec un outils d’administration à distance, ce qui est déjà en soi un problème, mais en plus un outil répandu mais vulnérable¹⁹. Si on ne sait pas si les failles connues ont été exploitées, on sait en revanche que certaines machines étaient encore utilisées 5 ans plus tard, en 2011.

Rigolade

J’ai vu passer (en 2019) des articles où des spécialistes de sécurité indiquait que la technologie de blockchain n’aiderait pas à sécuriser le vote électronique. Evidemment : il n’y a aucun rapport. Encore faut-il comprendre ce qu’est cette technologie et quelles sont les menaces réelles sur les machines à voter…

D’ailleurs, début 2020, certaines implémentations de machine à voter avec des chaînes de blocs montraient d’inquiétants signes de faiblesse, et les promesses de l’éditeur ne semblaient être… que des promesses. Et des chercheurs du MIT ont montré de façon bien plus étayée que moi que ça ne sert à rien d’avoir une blockchain infalsifiable si on peut mettre n’importe quoi dedans.

The Ballot is Busted Before the Blockchain²⁰ !

Le pire : la machine à voter examinée ne permettait même pas la consultation du registre²¹ pour vérification…

L’avis de l’ANSSI

Ils auront du mal à dire que c’est pas bien, vu qu’on leur demande de travailler dessus. Néanmoins, à la lecture des Papiers Numériques de l’ANSSI de 2020, j’ai lu ce préambule intéressant sur cette question :

Sans jamais égaler les propriétés d’un scrutin traditionnel, qui assure sincérité et anonymat du vote d’une manière compréhensible par tous, il constitue néanmoins une alternative intéressante.
Papiers Numériques de l’ANSSI (2020)

Lisons bien ce qui est dit : le vote électronique ne permet pas d’assurer la sincérité et l’anonymat du vote d’une manière accessible à tous. Seuls quelques citoyens (ou non citoyens) sont capables de mesurer la qualité du scrutin, ce qui est pour moi un gros problème. Alternative signifie probablement solution de secours, ici.

Liens externes

Références

↑ (en) Liviu ARSENE, « ‘Attempted Intrusions’ Potentially Aimed at Disrupting U.S... » sur HOTforSecurity, 29/09/2016 (consulté le 09/03/2019)

↑ THW9XF7H

↑ ^{a b} (En) « "Hack the Vote": How a $15 device can impact the U.S. presidential election | Symantec Connect Community » sur www.symantec.com (consulté le 09/03/2019)

↑ (en) 30 and 2017, « Hackers break into voting machines within 2 hours at Defcon » sur www.cbsnews.com (consulté le 30/07/2018)

↑ (en) « How Secure Are U.S. Voting Systems? » sur Science Friday (consulté le 23/03/2018)

↑ (en) « Internet voting is just too hackable, say security experts » sur USA TODAY (consulté le 23/03/2018)

↑ (en) « Making U.S. Elections More Secure Wouldn't Cost Much But No One Wants To Pay » sur NPR.org (consulté le 23/03/2018)

↑ (fr) « Un enfant de 11 ans a réussi à pirater les résultats d’une fausse élection » sur www.msn.com (consulté le 15/08/2018)

↑ (en) « DEF CON 2018: Voting Hacks Prompt Push Back from Election Officials, Vendors » sur The first stop for security news {{!

↑ (en) « ThreatList: Almost All Security Pros Believe Election Systems Are at Risk » sur The first stop for security news {{!

↑ (nl) Huib Modderkolk, « Dutch agencies provide crucial intel about Russia's interference in US-elections » sur de Volkskrant, 25/01/2018 (consulté le 09/03/2019)

↑ (en) Smith and Siddiqui, « New details of Russia election hacking raise questions about Obama's response » sur the Guardian, 23/06/2017 (consulté le 23/03/2018)

↑ (en) « Obama’s secret struggle to punish Russia for Putin’s election assault » sur Washington Post (consulté le 23/03/2018)

↑ (en) « US Congress to spend $380m on improving election security defences {{! » sur

↑ (en) Jessica Huseman, « Report on Election Security Gains Attention, and a Sharp Rebuke » sur ProPublica, 13/09/2019 (consulté le 19/09/2019)

↑ (en) , « Russia is worried that hackers will meddle in its election. No, really? » sur Newsweek, (consulté le 27/02/2018)

↑ (en) , « Commentary: Even in world’s oldest democracies, citizens may be losing control » sur Reuters, (consulté le 27/02/2018)

↑ (en) « Voting machine vendor firewall config, passwords posted on public support forum » sur IT World (IDG), 05/04/2018 (consulté le 06/04/2018)

↑ (en) « Some vote-counting computers came with a critical flaw that could have let hackers access them » sur Business Insider France (consulté le 28/07/2018)

↑ (en) Specter et al., « The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections »

↑ (en) « Researchers: Hackers Can Seize Control of Ballots Cast Using the Voatz Voting App » sur threatpost.com (consulté le 14/02/2020)

Date	Auteur	Catégories
17/08/2018	janiko	Concepts, Vie privée

Vote électronique

Quelques faits

Jeu d’enfant

Les élections américaines

Les élections russes

Les critiques

L’instantanéité

La sincérité

La sécurité des machines

Et cela ne date pas d’hier

Rigolade

L’avis de l’ANSSI

Liens externes

Références

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Quelques faits

Jeu d’enfant

Les élections américaines

Les élections russes

Les critiques

L’instantanéité

La sincérité

La sécurité des machines

Et cela ne date pas d’hier

Rigolade

L’avis de l’ANSSI

Liens externes

Références

Partager :

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Recherche sur le site

Étiquettes