L'Irlande abandonne (enfin) le vote électronique

Le
Xavier Roche
Devant des "petits problèmes de sécurité", l'Irlande renonce finalement
au vote électronique (d'autant que son coût est au final supérieur au
vote papier)
<http://www.secuobs.com/revue/news/92113.shtml>

Par "petits problèmes de sécurité", il y a notamment le fait que ces
machines soient piratables en moins d'une minute par remplacement de
l'EPROM par une version altérée:
<http://www.youtube.com/watch?v=EowKalRT3lc>

évidemment le rapport parle de "petits soucis liés à l'administration" -
pas facile en effet de justifier au contribuable irlandais 55 millions
d'euros jetés par les fenêtres, surtout en ce moment ..
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Catteau
Le #19317091
Xavier Roche devait dire quelque chose comme ceci :

Par "petits problèmes de sécurité", il y a notamment le fait que ces
machines soient piratables en moins d'une minute par remplacement de
l'EPROM par une version altérée:



Tant qu'ils[1] n'auront pas compris que la seule méthode à peu prêt
sûre, c'est un terminal style minitel relié via un tunnel crypté à un
serveur central qui s'occupe de l'ensemble du traitement, laissant au
terminal la seule charge d'interface (donc affichage et saisie), le
vote électronique ne sera rien d'autre qu'une gigantesque machine à
fraude potentielle.
Seulement ce genre de terminal passif à l'extrème ne coutant trois
fois rien à la construction, ils ne peuvent pas se permettre de le
vendre à un prix exorbitant, du coup on est pas prêt d'avoir une
solution viable dans ce domaine.


[1]
Les partisants du vote électronique.
Thierry
Le #19318241
"Stephane Catteau" news:
Xavier Roche devait dire quelque chose comme ceci :

Par "petits problèmes de sécurité", il y a notamment le fait que ces
machines soient piratables en moins d'une minute par remplacement de
l'EPROM par une version altérée:



Tant qu'ils[1] n'auront pas compris que la seule méthode à peu prêt
sûre, c'est un terminal style minitel relié via un tunnel crypté à un
serveur central qui s'occupe de l'ensemble du traitement



Biiiiiip. Encore faut-il que ce serveur central soit dans des mains de
confiance.
Fabien LE LEZ
Le #19318501
On Tue, 12 May 2009 13:45:06 +0200, Stephane Catteau

serveur central qui s'occupe de l'ensemble du traitement



Bonne chance pour convaincre qui que ce soit que le secret du vote est
un tant soit peu conservé.
Xavier Roche
Le #19318491
Fabien LE LEZ wrote:
Bonne chance pour convaincre qui que ce soit que le secret du vote est
un tant soit peu conservé.



Cela ne poserait pas de problème, ce serait géré comme pour l'HADOPI,
par des experts top moumoute avec OpenOffice et Gimp.

Faut juste pas bosser pour TF1, ou voter comme il faut, sinon vous
risquez d'être viré pour "divergence de stratégie".

(Blague à part, en effet, que ce soit le secret du vote, le non commerce
du vote, le bourrage, etc.., on serait pas sorti de l'auberge avec un
système centralisé - mais bon, c'est à peu près aussi pire avec le
système actuel en vigueur dans certaines communes de France, pas
beaucoup plus fiable)
JCB D'ARMENTIERE
Le #19318811
On Tue, 12 May 2009 17:27:06 +0200, Xavier Roche

Fabien LE LEZ wrote:
Bonne chance pour convaincre qui que ce soit que le secret du vote est
un tant soit peu conservé.



Cela ne poserait pas de problème, ce serait géré comme pour l'HADOPI,
par des experts top moumoute avec OpenOffice et Gimp.

Faut juste pas bosser pour TF1, ou voter comme il faut, sinon vous
risquez d'être viré pour "divergence de stratégie".

(Blague à part, en effet, que ce soit le secret du vote, le non commerce
du vote, le bourrage, etc.., on serait pas sorti de l'auberge avec un
système centralisé - mais bon, c'est à peu près aussi pire avec le
système actuel en vigueur dans certaines communes de France, pas
beaucoup plus fiable)



Et le vote electronique peu laisser des trace entre le moment ou tu
met ta carte de votant et ce que tu vote. Histoire d'archiver qui est
pour et qui est contre....
Erwan David
Le #19318921
Stephane Catteau
Xavier Roche devait dire quelque chose comme ceci :

Par "petits problèmes de sécurité", il y a notamment le fait que ces
machines soient piratables en moins d'une minute par remplacement de
l'EPROM par une version altérée:



Tant qu'ils[1] n'auront pas compris que la seule méthode à peu prêt
sûre, c'est un terminal style minitel relié via un tunnel crypté à un
serveur central qui s'occupe de l'ensemble du traitement, laissant au
terminal la seule charge d'interface (donc affichage et saisie), le
vote électronique ne sera rien d'autre qu'une gigantesque machine à
fraude potentielle.
Seulement ce genre de terminal passif à l'extrème ne coutant trois
fois rien à la construction, ils ne peuvent pas se permettre de le
vendre à un prix exorbitant, du coup on est pas prêt d'avoir une
solution viable dans ce domaine.



Et là tu perds le cotrole citoyen local...

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Fabien LE LEZ
Le #19318911
On Tue, 12 May 2009 17:27:06 +0200, Xavier Roche

(Blague à part, en effet, que ce soit le secret du vote, le non commerce
du vote, le bourrage, etc.., on serait pas sorti de l'auberge avec un
système centralisé



À la rigueur, ça permettrait de faire l'économie des terminaux, des
liaisons, et des bureaux de vote. Le responsable du serveur décide
tout seul du résultat, et basta.
Xavier Roche
Le #19319201
Fabien LE LEZ a écrit :
À la rigueur, ça permettrait de faire l'économie des terminaux, des
liaisons, et des bureaux de vote. Le responsable du serveur décide
tout seul du résultat, et basta.



Déja brevetté: on appelle ça le comité central :)

Sinon pourquoi pas le vote par SMS: ca sera tout aussi peu fiable, mais
en mettant un SMS surtaxé, on financerait le trou de la sécu.
Stephane Catteau
Le #19322981
Thierry n'était pas loin de dire :

Tant qu'ils[1] n'auront pas compris que la seule méthode à peu prêt
sûre, c'est un terminal style minitel relié via un tunnel crypté à un
serveur central qui s'occupe de l'ensemble du traitement



Biiiiiip. Encore faut-il que ce serveur central soit dans des mains de
confiance.



Ce n'est pas parce qu'il y a une architecture nécessitant un serveur
central et des terminaux de vote, que le serveur doit obligatoirement
être unique pour tout le territoire. Dans *l'absolue*, un PC, trois
minitels récupérés dans une poubelle, et tu as un sysème de vote
électronique déployable rapidement dans chaque bureau de vote. On peut
même envisager de coupler le serveur à une imprimante dont la boite de
réception serait scellée, à l'image des urnes actuelles, et qui
loguerait chaque vote en temps réel. Lorsque le bureau ferme, on casse
les scellés et les scrutateurs signes chaque feuilles des logs, pour
attester qu'il s'agit bien des originaux en cas de contestation ; les
feuilles pouvant elles-mêmes inclure en première ligne un rappel des
résultats précédents, ce qui obligerait à falscifier toutes les
feuilles si l'on veut falscifier les logs. Comme la boîte de réception
est scellée, la confidentialité du résultat est conservée tant que le
bureau n'est pas fermé.
Quant à la confidentialité des votes, j'avoue être resté sur le cul
tant la paranoïa de certains peut leur faire oublier des notions
pourtant élémentaires de sécurité informatique. Suis-je le seul à me
souvenir qu'il y a déjà un sacré moment que l'on est capable de créer
des cartes magnétiques pourvue d'un code d'identification unique généré
à la volée et ne pouvant plus être associé à la carte, et donc son
propriétaire, une fois généré ? Le vote se passerait ainsi :
1) On présente sa carte de vote, marquée à son nom comme n'importe
quel carte bleue et, oh surprise, n'importe quelle carte de vote
actuelle, ainsi que sa carte d'identité, on émarge, et on va voter
2) Le terminal lit l'identifiant sur la carte, l'envoie au serveur,
qui lui-même l'envoie à un serveur central qui lui est réellement
unique. Ce serveur regarde si l'identifiant a effectivement été généré
et s'il n'a pas déjà été utilisé pour voter, et autorise ou non le vote
à se faire.
3) Le terminal a toutes les autorisations, le vote peut se faire.

Quant à la confiance que l'on peut accorder au système, c'est
*strictement* la même qu'actuellement, sauf qu'il faut intervenir au
niveau du serveur, qui lui-même peut parfaitement se connecter à un
serveur nationnal qui ne lui donnerait la liste des candidats qu'à
l'ouverture du bureau de vote, ce qui compliquerait la tache du
fraudeur puisqu'il ne saurait pas à l'avance sur quel vote il faut
agir.
Xavier Roche
Le #19323161
Stephane Catteau wrote:
On peut même envisager de coupler le serveur à une imprimante dont
la boite de réception serait scellée



Et qui vérifie ce que l'imprimante imprime ? Quid de la falsification a
ce niveau ?

1) On présente sa carte de vote, marquée à son nom comme n'importe
quel carte bleue et, oh surprise, n'importe quelle carte de vote
actuelle, ainsi que sa carte d'identité, on émarge, et on va voter
2) Le terminal lit l'identifiant sur la carte, l'envoie au serveur,
qui lui-même l'envoie à un serveur central qui lui est réellement
unique. Ce serveur regarde si l'identifiant a effectivement été généré
et s'il n'a pas déjà été utilisé pour voter, et autorise ou non le vote
à se faire.
3) Le terminal a toutes les autorisations, le vote peut se faire.



Ce système n'offre absolument aucune sécurité:
- aucun anonymat ni limitation du commerce des votes: dans la mesure où
le numéro a été attribué pour la fabrication de la carte, il existe un
listing de corresponsance.
- aucune sécurité pour le double vote si le logiciel est piégé pour
accepter plusieurs votes

Quant à la confiance que l'on peut accorder au système, c'est
*strictement* la même qu'actuellement



Non. Le système actuel est parfaitement fiable, _et_ compréhensible (ce
qui est un problème orthogonal à la problématique de fiabilité, mais
tout aussi important)

Encore une fois:
1. anonymat: l'isoloir et l'enveloppe papier rend anonyme le vote,
personne ne peut savoir pour qui vous avez voté (on ne peut pas imaginer
l'installation de milliers de caméra miniatures dans chaque isoloir de
France)
2. non commerce des votes: je ne peux pas prouver pour qui j'ai voté,
les bulletins raturés sont refusés, et les autres détruits à la fin pour
éviter de repérer les éventuelles marques "invisibles"
3. vérification individuelle du vote: je peux vérifier que mon bulletin
est physiquement entré dans l'urne, puis me planter devant celle-ci
jusqu'au dépouillement, que je peux surveiller
4. vérification globale: toute personne (journaliste, membres de
l'opposition, observateurs, etc.) peut également participer ou
surveiller le dépouillement, et les journalistes et analystes ne s'en
privent pas, pour collecter de leur côté les résultats de chaque bureau
5. double vote: chaque liste d'émargement contient un nombre d'électeurs
fixe ; la falsification de celle-ci est risquée et peu productive
globalement (cf. histoire des "chaussettes", ou des faus électeurs)

Côté vote électronique:
1. anonymat: la machine peut vous moucharder, il n'y a aucun moyen
d'être convaincu du contraire - je peux imaginer 1000 manières de piéger
l'électronique embarquée ou le logiciel
2. non commerce des votes: idem
3. vérification individuelle: une fois mon vote dématérialisé, comment
je fais pour savoir qu'il a bien été pris en compte ? et si la machine
change mon vote ? la solution de l'imprimante qui montre le bulletin et
le fait tomber dans une urne est une usine à gaz qui offre une fiabilité
bien inférieure (recomptage au coup par coup et non systématique ; il
faut prouver qu'il y a eu fraude potentielle pour un recomptage)
4. vérification globale: idem, comment vérifier que le vote de chaque
électeur a bien été pris en compte et non altéré ? comment recompter
soi-même ?
5. double vote: là aussi, quelles solutions ?

En fait, il existe des solutions pour chacun de ces points, mais il y a
en général un nombre de degrè de liberté réduit: vous ne pouvez au mieux
que satisfaire 3 ou 4 points sur les cinq, pas plus, Même avec une usine
à gaz cryptographique (voir (*)).

Avec les systèmes actuels de vote électronique, aucun des points n'est
satisfait, sauf peut être le double vote (et encore, dans la mesure où
il est falsifiable, ce n'est pas nécessaire) ; la fraude peut être
généralisée et invisible

niveau du serveur, qui lui-même peut parfaitement se connecter à un
serveur nationnal qui ne lui donnerait la liste des candidats qu'à
l'ouverture du bureau de vote, ce qui compliquerait la tache du
fraudeur puisqu'il ne saurait pas à l'avance sur quel vote il faut



Le problème, c'est que la fraude électorale, elle peut être organisée
depuis l'exterieur, ou depuis l'intérieur: la corruption de quelques
fonctionnaires clé, ou de quelques techniciens, et le tour est joué.

(*)
Publicité
Poster une réponse
Anonyme