[HS] Vote électronique, et ça continue la pantalonade...

Laurent Jumet

08/05/2007 à 10:40

Hello Xavier !

Xavier Roche wrote:

Ce qu'il faudrait, c'est un vote aboutissant à l'impression d'un
carton avec code-barre permettant tant un dépouillement machine qu'un
dépouillement visuel.

Mais il faut alors faire un recompte papier systématique et:
- prévoir des personnes pour un dépouillement qui n'intéressera plus
personne (bon courage pour trouver les assesseurs quand tous les
résultats sont connus et déja envoyés par la machine)
- prévoir un décompte automatique. ah mince: et si la machine qui fait
le décompte automatique est elle aussi piégée ?

Il y a toujours des gens prévus pour les décomptes, puisque c'est le rôle des partis. Il n'y aura pas décompte manuel dans tous les cas, seulement en cas de doute où à la demande d'un parti.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

Laurent Jumet

08/05/2007 à 11:11

Hello Erwan !

Erwan David wrote:

"Laurent Jumet" écrivait :
Toutes ces histoires de vote électronique mettent très mal à
l'aise. Ce qu'il faudrait, c'est un vote aboutissant à
l'impression d'un carton avec code-barre permettant tant un
dépouillement machine qu'un dépouillement visuel. On serait
quand même tous un peu plus tranquilles; autrement, la routine
aidant, ça finira mal.

On n'aurait aucune certitude que le code barre représente bien le vote
écris au dessus.
Et pourquoi vouloir accélérer le dépouillement ? Il n'est pas si long.

C'est vrai.
Moi je parle en termes d'automatisation, mais on n'est pas obligé. Et puis c'est l'occasion pour les dépouilleurs de vider quelques casiers. :-)
Disons que si on automatise, il faut qu'un contrôle visuel puisse se faire. Ce n'est pas le cas en Belgique, où le vote est inscrit sur une sorte de carte de banque que l'on glisse dans une urne électronique. J'ai du mal à comprendre comment on a pu mettre ça en oeuvre; il paraît qu'il y a eu des pots-de-vin pour chosir tel fournisseur informatique.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

Xavier Roche

08/05/2007 à 11:11

Il y a toujours des gens prévus pour les décomptes, puisque c'est le rôle des partis.

Non, ce sont les citoyens qui dépouillent.

Il n'y aura pas décompte manuel dans tous les cas, seulement en cas de doute où à la demande d'un parti.

Je suis un parti, et je demande le recomptage systématique dans la
totalité des bureaux de vote de France utilisant un tel système. Que
faites-vous ? Qui va décider s'il y a "doute" ?

Alain

08/05/2007 à 11:58

vu le chiffre la bug est a priori du coté des manipulateurs de la machine...

c'est un peu normal qu'une manipulation manuelle ne soit pas fiable à 100%.
Il suffit que la personne qui vote ne valide pas (d'ailleurs pas trivial
en 2 secondes de comprendre qu'il faut cliquer le rond sous le nom du
candidat puis dans la case verte en haut a droite) , et que l'assesseur
enregistre le vote quand même (ne vérifie pas le validation) avec
émargement... une sorte de vote nul quoi.

a voir aussi si pour gangner du temps ils n'ont pas commencé à
superposer les opérations en contrôlant mal la synchronisation de tout
(genre valider, voter et émarger en parallèle... bonne idée mais ou il
faut bien vérifier)

surtout que la manip n'est peut être pas simple pour certains opérateurs.

d'ailleurs dans les scrutins papiers quel est le taux d'erreur ?

le gros problème avec les machines ca n'a pas été les machines, mais les
opérateurs.
entre les bureaux mal organisés ou on mettait une minute séquentielle à
vérifier/voter/émarger, et ceux ou l'opérateur vérifie mal le vote
effectif

Bijour,

On May 6, 3:00 pm, "Arnold McDonald (AMcD)"
wrote:
Serge Paccalin wrote:
On remet une couche ? Bon, d'accord :
À moi...

http://www.lemonde.fr/web/article/0,,,...

On y lit l'effarante chose suivante :

"A Reims, où la mairie a reconnu un décalage de 281 voix entre le nombre de
personnes ayant émargé et le nombre de bulletins recensés, la préfecture de
la Marne a autorisé la ville à utiliser de nouveau les machines."

281 ! Une paille...

Bon, alors c'est pas au point la crypto, utilisée avec ces
ustensiles !
( Mais y en a t'il seulement dedans ? )

Ptilou

Xavier Roche

08/05/2007 à 12:05

vu le chiffre la bug est a priori du coté des manipulateurs de la
machine...

A priori ? Qu'est ce qui le prouve ?

d'ailleurs dans les scrutins papiers quel est le taux d'erreur ?

Aucune erreur dans le bureau où j'ai participé au dépouillement manuel.

Alors 280 "erreurs manuelles" sur un vote électronique, ça fait un peu
peur.

A moins que ce soit (encore) un bug d'inversion de bit dans la mémoire
de la machine ? (*)

(*)
<http://fsffrance.org/news/article2003-07-11.fr.html>

Laurent Jumet

08/05/2007 à 12:08

Hello Xavier !

Xavier Roche wrote:

Il y a toujours des gens prévus pour les décomptes, puisque c'est le
rôle des partis.

Non, ce sont les citoyens qui dépouillent.

...mais les partis ont le droit de superviser.

Il n'y aura pas décompte manuel dans tous les cas, seulement en cas de
doute où à la demande d'un parti.

Je suis un parti, et je demande le recomptage systématique dans la
totalité des bureaux de vote de France utilisant un tel système. Que
faites-vous ? Qui va décider s'il y a "doute" ?

C'est soumis à une commission. Il ne suffit pas d'exiger un second décompte, il faut une motivation telle qu'une erreur patente, une faute d'un assesseur, etc...

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

*core*administrator

08/05/2007 à 12:45

On Tue, 08 May 2007 09:00:15 +0200, Xavier Roche
wrote:

Je vous met au défi de me prouver qu'il n'y a pas eu fraude électorale.
Sur un scrutin papier, il est facile de contrer les soupçons de fraude:
tout est transparent, et le processus est très bien encadré (pour
résumer, les bulletins ne peuvent pas s'envoler de l'urne)

Ici, je vous affirme que les EPROM ont été modifiées quelques jours
avant le scrutin, pour permettre un décompte modifié, ce qui explique
les visites surprises et non encadrées de techniciens dans les bureaux
concernés.

La question est: pouvez-vous donner un élément qui tendrait à faire
penser que la fraude n'a pas eu lieu ?

La réponse est: non.

Habituellement c'est à l'accusation que revient la charge de
prouver que quelque chose A EU LIEU. En effet il est pratiquement
impossible, aussi bien dans ce domaine que dans tout autre, de prouver
que quelque chose n'a PAS eu lieu.

De plus la phrase "tendrait à faire penser" est diablement
subjective puisqu'elle ne serait basée que sur un sentiment ou une
intuition. Et la question peut facilement se retourner et donner la
même réponse: "pouvez vous donner un élément qui tendrait à faire
penser que la fraude A EU LIEU".

La réponse est: non.

Il y a même un élément, subjectif aussi c'est vrai, qui plaide
plutot en faveur du fait que la fraude n'a pas eu lieu. Car pour
frauder à une telle échelle il faudrait qu'un nombre assez important
de personnes y participent (décideurs, programmeurs, techniciens...)
et ce serait prendre un sacré pari sur la nature humaine que de croire
que pas un seul, jamais, ne se déciderait à avouer avoir participer à
cette fraude. Ce serait une fameuse épée de Damoclès qui serait
suspendue au dessus de la tête de ceux qui auraient initié une telle
fraude.

Xavier Roche

08/05/2007 à 12:48

C'est soumis à une commission.

Mouarf. Soumise aux décisions de quels experts ? Les mêmes zozos qui ont
certifié les machines ?

Il ne suffit pas d'exiger un second décompte, il faut une motivation telle qu'une erreur patente, une faute d'un assesseur, etc...

On ne parle par d'erreur patente ou de faute visible.

On parle de fraude électronique, qui peut être totalement indétectable.

Xavier Roche

08/05/2007 à 13:11

Habituellement c'est à l'accusation que revient la charge de
prouver que quelque chose A EU LIEU. En effet il est pratiquement
impossible, aussi bien dans ce domaine que dans tout autre, de prouver
que quelque chose n'a PAS eu lieu.

Non.

Si on laisse une urne en dehors de la vue du public, ou si on a à un
moment donné la porte du bureau de vote est fermée pendant le scrutin,
ce dernier s'en trouve annulé.

Pourquoi ? On n'a pas prouvé qu'il y a eu fraude, non ? Alors pourquoi
tout annuler ?

Pour le vote électronique, il faut imaginer que l'urne est opaque, et
qu'avant le dépouillement la société qui l'a fabriqué vient la
récupérer, la place dans une pièce fermée à clef, et ressort dix minutes
plus tard.

Vous avez toujours confiance ?

De plus la phrase "tendrait à faire penser" est diablement
subjective puisqu'elle ne serait basée que sur un sentiment ou une
intuition.

J'ai personnellement les compétences pour pirater ces machines, et
proposer une EPROM de remplacement, et un toute organisation d'une
importance quelconque a eu la capacité de corrompre les techniciens qui
sont venus effectuer des opérations de "maintenance" peu avant le vote.
Et personne n'est en mesure de (contre) vérifier.

Oh, les compétences pour pirater une machine sont assez limitées: il
faut retirer l'EPROM, lire son contenu avec un lecteur d'EPROM,
désassembler tout ça avec un kit de programmation 68000, patcher
quelques endroits de manière stratégique, reflasher l'EPROM, et le tour
est joué.

Si c'est fait par la société qui produit les machines, c'est un jeu
d'enfant: il suffit de prévoir la fraude dès la conception du code.
Pourquoi s'emmerder à désassembler du code machine quand on peut patcher
le code C ?

même réponse: "pouvez vous donner un élément qui tendrait à faire
penser que la fraude A EU LIEU".
La réponse est: non.

La réponse est la même que de laisser une urne transparente hors de la
vue du public: cela n'a pas d'importance, car du moment où il y a PU
avoir fraude, le scrutin est (devrait être) nul et non avenu.

Car pour
frauder à une telle échelle il faudrait qu'un nombre assez important
de personnes y participent (décideurs, programmeurs, techniciens...)

C'est faux. C'est uniquement vrai pour le scrutin papier.

Pour un scrutin électronique, le programme compilé sur l'EPROM provient
d'une source unique, et je soupçonne qu'une ou deux personnes seulement,
dans la société qui les produit, et capable de dire exactement ce qu'il
y a dessus. Le code compilé n'a pas été audité de manière sérieuse (càd
avec un niveau EAL sûr), pour information.

Et quand bien même il l'aurait été, il est facile de le remplacer peu
avant le vote. Personne n'a fait de checksum et n'a vérifié ces derniers.

et ce serait prendre un sacré pari sur la nature humaine que de croire
que pas un seul, jamais, ne se déciderait à avouer avoir participer à
cette fraude.

Ce serait un sacré pari sur la nature humaine que d'imaginer qu'aucune
fraude ne peut avoir lieu quand (1) un nombre très restreint de
personnes entrent en jeu, (2) quand les risques sont minimes, et (3)
l'espérance de gain est importante.

Ce serait une fameuse épée de Damoclès qui serait
suspendue au dessus de la tête de ceux qui auraient initié une telle
fraude.

Bon, je vous propose quelques pistes d'algos intéressants, pour une
fraude indétectable. J'invite cordialement les lecteurs du groupe à y
ajouter leurs propres suggestions, et/ou à proposer des contre-mesures.

- introduction d'un aléa statistique simple sur le scrutin: j'oriente
les votes en faveur du candicat X à hauteur de N%

- option #1: introduction d'un aléa supplémentaire statistique sur le
scrutin: j'oriente plus les votes en faveur du candicat X si le delta
entre ce scrutin et un schéma préenregistre est supérieur à un certain
seuil -- par exemple si on s'attend dans le coupe (ville, n° de bureau)
à ce que Y ait 48%, mais qu'il a en réalité 45%, on garde le 48% comme
référence avant d'appiquer l'aléa statistique -- cela permet de booster
la fraude sans se faire remarquer

- contre mesure #1 contre les tests de conformité: non activation de
l'aléa si le temps de vote est sensiblement inférieur à N heures (N
par exemple), mesuré par le timer de la carte mère

- contre-mesure #2 contre les tests de conformité: non activation de
l'aléa si le nombre de votants est inférieur à Z (ZP0 par exemple ; on
perd quelques bureaux avec des faux positifs, mais ce n'est pas grave)

- contre-mesure #3 contre les tests de conformité: non activation de
l'aléa si la distribution statistique semble "non aléatoire"

- contre mesure #4 contre les tests de conformité, avec module hardware
sur la carte mère: vérifier auprès du timekeeper que le scrutin a lieu à
la date d'un scrutin connu à l'avance depuis longtemps (les dates
d'election sont souvent fixes à quelques semaines prêt, comme les
présidentielles)

- option deluxe #1: une deuxième EPROM qui court-circuite la première,
planquée quelque part sur la CM

- option deluxe #2 "ultimate fraud": un 68000 modifié pour l'occasion
(c'est un processeur qui a trente ans, pour information) qui qui a des
algos câblés en dur

Habituellement c'est à l'accusation que revient la charge de
prouver que quelque chose A EU LIEU. En effet il est pratiquement
impossible, aussi bien dans ce domaine que dans tout autre, de prouver
que quelque chose n'a PAS eu lieu.

Non.

Si on laisse une urne en dehors de la vue du public, ou si on a à un
moment donné la porte du bureau de vote est fermée pendant le scrutin,
ce dernier s'en trouve annulé.

Pourquoi ? On n'a pas prouvé qu'il y a eu fraude, non ? Alors pourquoi
tout annuler ?

Pour le vote électronique, il faut imaginer que l'urne est opaque, et
qu'avant le dépouillement la société qui l'a fabriqué vient la
récupérer, la place dans une pièce fermée à clef, et ressort dix minutes
plus tard.

Vous avez toujours confiance ?

De plus la phrase "tendrait à faire penser" est diablement
subjective puisqu'elle ne serait basée que sur un sentiment ou une
intuition.

J'ai personnellement les compétences pour pirater ces machines, et
proposer une EPROM de remplacement, et un toute organisation d'une
importance quelconque a eu la capacité de corrompre les techniciens qui
sont venus effectuer des opérations de "maintenance" peu avant le vote.
Et personne n'est en mesure de (contre) vérifier.

Oh, les compétences pour pirater une machine sont assez limitées: il
faut retirer l'EPROM, lire son contenu avec un lecteur d'EPROM,
désassembler tout ça avec un kit de programmation 68000, patcher
quelques endroits de manière stratégique, reflasher l'EPROM, et le tour
est joué.

Si c'est fait par la société qui produit les machines, c'est un jeu
d'enfant: il suffit de prévoir la fraude dès la conception du code.
Pourquoi s'emmerder à désassembler du code machine quand on peut patcher
le code C ?

même réponse: "pouvez vous donner un élément qui tendrait à faire
penser que la fraude A EU LIEU".
La réponse est: non.

La réponse est la même que de laisser une urne transparente hors de la
vue du public: cela n'a pas d'importance, car du moment où il y a PU
avoir fraude, le scrutin est (devrait être) nul et non avenu.

Car pour
frauder à une telle échelle il faudrait qu'un nombre assez important
de personnes y participent (décideurs, programmeurs, techniciens...)

C'est faux. C'est uniquement vrai pour le scrutin papier.

Pour un scrutin électronique, le programme compilé sur l'EPROM provient
d'une source unique, et je soupçonne qu'une ou deux personnes seulement,
dans la société qui les produit, et capable de dire exactement ce qu'il
y a dessus. Le code compilé n'a pas été audité de manière sérieuse (càd
avec un niveau EAL sûr), pour information.

Et quand bien même il l'aurait été, il est facile de le remplacer peu
avant le vote. Personne n'a fait de checksum et n'a vérifié ces derniers.

et ce serait prendre un sacré pari sur la nature humaine que de croire
que pas un seul, jamais, ne se déciderait à avouer avoir participer à
cette fraude.

Ce serait un sacré pari sur la nature humaine que d'imaginer qu'aucune
fraude ne peut avoir lieu quand (1) un nombre très restreint de
personnes entrent en jeu, (2) quand les risques sont minimes, et (3)
l'espérance de gain est importante.

Ce serait une fameuse épée de Damoclès qui serait
suspendue au dessus de la tête de ceux qui auraient initié une telle
fraude.

Bon, je vous propose quelques pistes d'algos intéressants, pour une
fraude indétectable. J'invite cordialement les lecteurs du groupe à y
ajouter leurs propres suggestions, et/ou à proposer des contre-mesures.

- introduction d'un aléa statistique simple sur le scrutin: j'oriente
les votes en faveur du candicat X à hauteur de N%

- option #1: introduction d'un aléa supplémentaire statistique sur le
scrutin: j'oriente plus les votes en faveur du candicat X si le delta
entre ce scrutin et un schéma préenregistre est supérieur à un certain
seuil -- par exemple si on s'attend dans le coupe (ville, n° de bureau)
à ce que Y ait 48%, mais qu'il a en réalité 45%, on garde le 48% comme
référence avant d'appiquer l'aléa statistique -- cela permet de booster
la fraude sans se faire remarquer

- contre mesure #1 contre les tests de conformité: non activation de
l'aléa si le temps de vote est sensiblement inférieur à N heures (N
par exemple), mesuré par le timer de la carte mère

- contre-mesure #2 contre les tests de conformité: non activation de
l'aléa si le nombre de votants est inférieur à Z (ZP0 par exemple ; on
perd quelques bureaux avec des faux positifs, mais ce n'est pas grave)

- contre-mesure #3 contre les tests de conformité: non activation de
l'aléa si la distribution statistique semble "non aléatoire"

- contre mesure #4 contre les tests de conformité, avec module hardware
sur la carte mère: vérifier auprès du timekeeper que le scrutin a lieu à
la date d'un scrutin connu à l'avance depuis longtemps (les dates
d'election sont souvent fixes à quelques semaines prêt, comme les
présidentielles)

- option deluxe #1: une deuxième EPROM qui court-circuite la première,
planquée quelque part sur la CM

- option deluxe #2 "ultimate fraud": un 68000 modifié pour l'occasion
(c'est un processeur qui a trente ans, pour information) qui qui a des
algos câblés en dur

Vous avez filtré cet utilisateur ! Consultez son message

Habituellement c'est à l'accusation que revient la charge de
prouver que quelque chose A EU LIEU. En effet il est pratiquement
impossible, aussi bien dans ce domaine que dans tout autre, de prouver
que quelque chose n'a PAS eu lieu.

Non.

Si on laisse une urne en dehors de la vue du public, ou si on a à un
moment donné la porte du bureau de vote est fermée pendant le scrutin,
ce dernier s'en trouve annulé.

Pourquoi ? On n'a pas prouvé qu'il y a eu fraude, non ? Alors pourquoi
tout annuler ?

Pour le vote électronique, il faut imaginer que l'urne est opaque, et
qu'avant le dépouillement la société qui l'a fabriqué vient la
récupérer, la place dans une pièce fermée à clef, et ressort dix minutes
plus tard.

Vous avez toujours confiance ?

De plus la phrase "tendrait à faire penser" est diablement
subjective puisqu'elle ne serait basée que sur un sentiment ou une
intuition.

J'ai personnellement les compétences pour pirater ces machines, et
proposer une EPROM de remplacement, et un toute organisation d'une
importance quelconque a eu la capacité de corrompre les techniciens qui
sont venus effectuer des opérations de "maintenance" peu avant le vote.
Et personne n'est en mesure de (contre) vérifier.

Oh, les compétences pour pirater une machine sont assez limitées: il
faut retirer l'EPROM, lire son contenu avec un lecteur d'EPROM,
désassembler tout ça avec un kit de programmation 68000, patcher
quelques endroits de manière stratégique, reflasher l'EPROM, et le tour
est joué.

Si c'est fait par la société qui produit les machines, c'est un jeu
d'enfant: il suffit de prévoir la fraude dès la conception du code.
Pourquoi s'emmerder à désassembler du code machine quand on peut patcher
le code C ?

même réponse: "pouvez vous donner un élément qui tendrait à faire
penser que la fraude A EU LIEU".
La réponse est: non.

La réponse est la même que de laisser une urne transparente hors de la
vue du public: cela n'a pas d'importance, car du moment où il y a PU
avoir fraude, le scrutin est (devrait être) nul et non avenu.

Car pour
frauder à une telle échelle il faudrait qu'un nombre assez important
de personnes y participent (décideurs, programmeurs, techniciens...)

C'est faux. C'est uniquement vrai pour le scrutin papier.

Pour un scrutin électronique, le programme compilé sur l'EPROM provient
d'une source unique, et je soupçonne qu'une ou deux personnes seulement,
dans la société qui les produit, et capable de dire exactement ce qu'il
y a dessus. Le code compilé n'a pas été audité de manière sérieuse (càd
avec un niveau EAL sûr), pour information.

Et quand bien même il l'aurait été, il est facile de le remplacer peu
avant le vote. Personne n'a fait de checksum et n'a vérifié ces derniers.

et ce serait prendre un sacré pari sur la nature humaine que de croire
que pas un seul, jamais, ne se déciderait à avouer avoir participer à
cette fraude.

Ce serait un sacré pari sur la nature humaine que d'imaginer qu'aucune
fraude ne peut avoir lieu quand (1) un nombre très restreint de
personnes entrent en jeu, (2) quand les risques sont minimes, et (3)
l'espérance de gain est importante.

Ce serait une fameuse épée de Damoclès qui serait
suspendue au dessus de la tête de ceux qui auraient initié une telle
fraude.

Bon, je vous propose quelques pistes d'algos intéressants, pour une
fraude indétectable. J'invite cordialement les lecteurs du groupe à y
ajouter leurs propres suggestions, et/ou à proposer des contre-mesures.

- introduction d'un aléa statistique simple sur le scrutin: j'oriente
les votes en faveur du candicat X à hauteur de N%

- option #1: introduction d'un aléa supplémentaire statistique sur le
scrutin: j'oriente plus les votes en faveur du candicat X si le delta
entre ce scrutin et un schéma préenregistre est supérieur à un certain
seuil -- par exemple si on s'attend dans le coupe (ville, n° de bureau)
à ce que Y ait 48%, mais qu'il a en réalité 45%, on garde le 48% comme
référence avant d'appiquer l'aléa statistique -- cela permet de booster
la fraude sans se faire remarquer

- contre mesure #1 contre les tests de conformité: non activation de
l'aléa si le temps de vote est sensiblement inférieur à N heures (N
par exemple), mesuré par le timer de la carte mère

- contre-mesure #2 contre les tests de conformité: non activation de
l'aléa si le nombre de votants est inférieur à Z (ZP0 par exemple ; on
perd quelques bureaux avec des faux positifs, mais ce n'est pas grave)

- contre-mesure #3 contre les tests de conformité: non activation de
l'aléa si la distribution statistique semble "non aléatoire"

- contre mesure #4 contre les tests de conformité, avec module hardware
sur la carte mère: vérifier auprès du timekeeper que le scrutin a lieu à
la date d'un scrutin connu à l'avance depuis longtemps (les dates
d'election sont souvent fixes à quelques semaines prêt, comme les
présidentielles)

- option deluxe #1: une deuxième EPROM qui court-circuite la première,
planquée quelque part sur la CM

- option deluxe #2 "ultimate fraud": un 68000 modifié pour l'occasion
(c'est un processeur qui a trente ans, pour information) qui qui a des
algos câblés en dur

Arnold McDonald \(AMcD\)

08/05/2007 à 13:42

Laurent Jumet wrote:

C'est soumis à une commission. Il ne suffit pas d'exiger un second
décompte, il faut une motivation telle qu'une erreur patente, une
faute d'un assesseur, etc...

Il faudrait suivre la discussion un tant soit peu mon ami, on parle ici de
fraude électronique, rien de "visible" donc...

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

[HS] Vote électronique, et ça continue la pantalonade...

10 réponses

Veuillez sélectionner un problème