Je signale le document (en anglais) suivant, qui analyse le code
source (supposé) d'une application "machine à voter électronique
à carte à puce". C'est édifiant sur l'amateurisme ambiant.
<http://avirubin.com/vote.pdf>
D'une manère plus générale, je regarde comme extrèmement suspecte
toute tentative d'introduction de système de vote automatisé.
Certes cela peut diminuer le nombre de fraudes isolées et
d'erreurs, et accélérer le dépouillement; mais au prix de permettre
a un nombre limité d'initiés des fraudes massives et indétectables
en pratique.
FG> Soyons vigilants; sinon la démocratie pourrait tomber dans FG> les mêmes errements qu'aux USA ou au Brésil, qui utilisent FG> largement le voté électronique.
Les USA n'utilisent pas le vote électronique, mais bien la lecture optique pour le dépouillement. C'est un excellent système, car les bulletins restent disponibles pour un recomptage manuel.
C'est en Belgique, que l'on emploie le vote électronique: il n'y a aucun bulletin, aucune vérification possible. L'électeur sort de l'isoloir avec une carte magnétique dont il ignore ce qu'elle contient et ce qui va lui arriver ensuite. La manipulation des chiffres est aussi aisée que pour violer l'intégrité des systèmes genre Windows: beaucoup y arrivent.
Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello !
Francois Grieu <fgrieu@micronet.fr> wrote:
FG> Soyons vigilants; sinon la démocratie pourrait tomber dans
FG> les mêmes errements qu'aux USA ou au Brésil, qui utilisent
FG> largement le voté électronique.
Les USA n'utilisent pas le vote électronique, mais bien la lecture
optique pour le dépouillement.
C'est un excellent système, car les bulletins restent disponibles pour
un recomptage manuel.
C'est en Belgique, que l'on emploie le vote électronique: il n'y a
aucun bulletin, aucune vérification possible. L'électeur sort de l'isoloir
avec une carte magnétique dont il ignore ce qu'elle contient et ce qui va
lui arriver ensuite.
La manipulation des chiffres est aussi aisée que pour violer
l'intégrité des systèmes genre Windows: beaucoup y arrivent.
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
FG> Soyons vigilants; sinon la démocratie pourrait tomber dans FG> les mêmes errements qu'aux USA ou au Brésil, qui utilisent FG> largement le voté électronique.
Les USA n'utilisent pas le vote électronique, mais bien la lecture optique pour le dépouillement. C'est un excellent système, car les bulletins restent disponibles pour un recomptage manuel.
C'est en Belgique, que l'on emploie le vote électronique: il n'y a aucun bulletin, aucune vérification possible. L'électeur sort de l'isoloir avec une carte magnétique dont il ignore ce qu'elle contient et ce qui va lui arriver ensuite. La manipulation des chiffres est aussi aisée que pour violer l'intégrité des systèmes genre Windows: beaucoup y arrivent.
Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Erwan David
"Jerome" écrivait :
Se pose ensuite la question de savoir si le code source de l'application reste secret (ajoute une couche de sécurité en plus) ou publié (permet une plus large évaluation).
Se pose ensuite la question de
savoir si le code source de l'application reste secret (ajoute une couche de
sécurité en plus) ou publié (permet une plus large évaluation).
Se pose ensuite la question de savoir si le code source de l'application reste secret (ajoute une couche de sécurité en plus) ou publié (permet une plus large évaluation).
Un source secret n'apporte *aucune* sécurité.
-- Monde de merde
Francois Grieu
Dans l'article <3f26b149$0$1937$, "Arnold McDonald (AMcD)" dit:
En fait, aucun système [de vote] n'est parfait, chacun a ses petits défauts. Le tout est de les minimiser.
Les systèmes où l'enregistrement des votes est électronique ont un très gros défaut: une fraude massive et ne laissant pratiquement aucune trace devient concevable; alors que contre le système bulletin/enveloppe/urne transparente les fraudes sont typiquement de portée limitée, et ont une bonne chance d'être détectée par le citoyen lambda.
Considérons par exemple le cas où l'exécutable de la machine a voter est tel que a) si l'heure système indique que l'on est pendant le scrutin, et après que 500 voix sur une période de 4 heures ont été comptabilisées, il arme un indicateur rémanent et remplace 1 vote sur 5 par un vote pour le candidat placé en second sur les 500 premiers votes, ce rétroactivement et jusqu'à exécution de la fonction sortie des résultats ou remise en marche su système b) si l'heure système est après le scrutin, ou (que l'indicateur rémanent est positionné et (que la fonction sortie des résultats est exécutée ou que le système est remis en marche)), alors il supprime de l'exécutable toute trace de ce qui implémente a et b c) sinon, il fonctionne normalement.
Cette fraude risque fort de bouleverser les résultats en faveur du second cnadidat le mieux placé, et de ne pas être détectée malgré les précautions éventuellement prises par les scrutateurs, puis enquêteurs: - vérification de bon fonctionnement avant le scrutin (éventuellement: avec l'heure système du scrutin, mais sur une nombre de vote ou une durée limitée; raison pour laquelle l'attaque ne se déclenche qu'après un usage prolongé) - attribution aléatoire et secrète jusqu'au dernier moment des numéros des candidats (raison pour laquelle le candidat à favoriser est trouvé par examen des 500 premiers votes) - examen après coup des machines utilisées.
Il est extrèmement difficile de se prémunir contre de telles fraudes, et encore plus difficile de prouver qu'elles ont eu lieu. Et ce particulièrement si la machine a voter est un système complexe comme un PC: le code qui réalise a et b (d'une taille ridicule, genre 1ko) peut être bien sur sur le disque dur, mais aussi a plein d'encroits non triviaux, par exemple la mémoire flash du BIOS, de la carte vidéo, du lecteur de CD-ROM utilisé pour charger un logiciel parfaitement intègre sur le CD...
François Grieu
[*] il existe d'autres possibilités de déclenchement de la fraude et de sélection du candidat à favoriser, par exemple frappe d'une séquence convenue par un électeur complice; mais la nécessité même d'un électeur ou pire d'un opérateur complice est un risque fort pour les organisateurs d'une fraude massive; raison pour laquelle dans tous les pays raisonables, la numérotation des positions de vote des candidats est faite de manière indépendante du (et utérieure au) chargement du logiciel de la machine, lequel est figé bien avant le scrutin. On m'a dit que lors d'une récente élection au Brésil, il a fallu modifier en catastrophe les heures d'ouverture des bureaux de vote, plutôt que de corriger le logiciel qui ne tenais pas bien compte du passage à l'heure d'été/hiver.
Dans l'article <3f26b149$0$1937$626a54ce@news.free.fr>,
"Arnold McDonald (AMcD)" <arnold.mcdonald@free.fr> dit:
En fait, aucun système [de vote] n'est parfait, chacun a ses
petits défauts. Le tout est de les minimiser.
Les systèmes où l'enregistrement des votes est électronique ont
un très gros défaut: une fraude massive et ne laissant pratiquement
aucune trace devient concevable; alors que contre le système
bulletin/enveloppe/urne transparente les fraudes sont typiquement
de portée limitée, et ont une bonne chance d'être détectée par
le citoyen lambda.
Considérons par exemple le cas où l'exécutable de la machine a
voter est tel que
a) si l'heure système indique que l'on est pendant le scrutin,
et après que 500 voix sur une période de 4 heures ont été
comptabilisées, il arme un indicateur rémanent et remplace
1 vote sur 5 par un vote pour le candidat placé en second
sur les 500 premiers votes, ce rétroactivement et jusqu'à
exécution de la fonction sortie des résultats ou remise
en marche su système
b) si l'heure système est après le scrutin, ou (que l'indicateur
rémanent est positionné et (que la fonction sortie des résultats
est exécutée ou que le système est remis en marche)), alors
il supprime de l'exécutable toute trace de ce qui implémente
a et b
c) sinon, il fonctionne normalement.
Cette fraude risque fort de bouleverser les résultats en faveur
du second cnadidat le mieux placé, et de ne pas être détectée
malgré les précautions éventuellement prises par les scrutateurs,
puis enquêteurs:
- vérification de bon fonctionnement avant le scrutin
(éventuellement: avec l'heure système du scrutin, mais
sur une nombre de vote ou une durée limitée; raison pour
laquelle l'attaque ne se déclenche qu'après un usage
prolongé)
- attribution aléatoire et secrète jusqu'au dernier moment
des numéros des candidats (raison pour laquelle le candidat
à favoriser est trouvé par examen des 500 premiers votes)
- examen après coup des machines utilisées.
Il est extrèmement difficile de se prémunir contre de telles
fraudes, et encore plus difficile de prouver qu'elles ont eu
lieu. Et ce particulièrement si la machine a voter est un
système complexe comme un PC: le code qui réalise a et b
(d'une taille ridicule, genre 1ko) peut être bien sur sur
le disque dur, mais aussi a plein d'encroits non triviaux,
par exemple la mémoire flash du BIOS, de la carte vidéo, du
lecteur de CD-ROM utilisé pour charger un logiciel parfaitement
intègre sur le CD...
François Grieu
[*] il existe d'autres possibilités de déclenchement de la
fraude et de sélection du candidat à favoriser, par exemple
frappe d'une séquence convenue par un électeur complice; mais
la nécessité même d'un électeur ou pire d'un opérateur complice
est un risque fort pour les organisateurs d'une fraude massive;
raison pour laquelle dans tous les pays raisonables, la
numérotation des positions de vote des candidats est faite
de manière indépendante du (et utérieure au) chargement du
logiciel de la machine, lequel est figé bien avant le scrutin.
On m'a dit que lors d'une récente élection au Brésil, il a fallu
modifier en catastrophe les heures d'ouverture des bureaux de
vote, plutôt que de corriger le logiciel qui ne tenais pas bien
compte du passage à l'heure d'été/hiver.
Dans l'article <3f26b149$0$1937$, "Arnold McDonald (AMcD)" dit:
En fait, aucun système [de vote] n'est parfait, chacun a ses petits défauts. Le tout est de les minimiser.
Les systèmes où l'enregistrement des votes est électronique ont un très gros défaut: une fraude massive et ne laissant pratiquement aucune trace devient concevable; alors que contre le système bulletin/enveloppe/urne transparente les fraudes sont typiquement de portée limitée, et ont une bonne chance d'être détectée par le citoyen lambda.
Considérons par exemple le cas où l'exécutable de la machine a voter est tel que a) si l'heure système indique que l'on est pendant le scrutin, et après que 500 voix sur une période de 4 heures ont été comptabilisées, il arme un indicateur rémanent et remplace 1 vote sur 5 par un vote pour le candidat placé en second sur les 500 premiers votes, ce rétroactivement et jusqu'à exécution de la fonction sortie des résultats ou remise en marche su système b) si l'heure système est après le scrutin, ou (que l'indicateur rémanent est positionné et (que la fonction sortie des résultats est exécutée ou que le système est remis en marche)), alors il supprime de l'exécutable toute trace de ce qui implémente a et b c) sinon, il fonctionne normalement.
Cette fraude risque fort de bouleverser les résultats en faveur du second cnadidat le mieux placé, et de ne pas être détectée malgré les précautions éventuellement prises par les scrutateurs, puis enquêteurs: - vérification de bon fonctionnement avant le scrutin (éventuellement: avec l'heure système du scrutin, mais sur une nombre de vote ou une durée limitée; raison pour laquelle l'attaque ne se déclenche qu'après un usage prolongé) - attribution aléatoire et secrète jusqu'au dernier moment des numéros des candidats (raison pour laquelle le candidat à favoriser est trouvé par examen des 500 premiers votes) - examen après coup des machines utilisées.
Il est extrèmement difficile de se prémunir contre de telles fraudes, et encore plus difficile de prouver qu'elles ont eu lieu. Et ce particulièrement si la machine a voter est un système complexe comme un PC: le code qui réalise a et b (d'une taille ridicule, genre 1ko) peut être bien sur sur le disque dur, mais aussi a plein d'encroits non triviaux, par exemple la mémoire flash du BIOS, de la carte vidéo, du lecteur de CD-ROM utilisé pour charger un logiciel parfaitement intègre sur le CD...
François Grieu
[*] il existe d'autres possibilités de déclenchement de la fraude et de sélection du candidat à favoriser, par exemple frappe d'une séquence convenue par un électeur complice; mais la nécessité même d'un électeur ou pire d'un opérateur complice est un risque fort pour les organisateurs d'une fraude massive; raison pour laquelle dans tous les pays raisonables, la numérotation des positions de vote des candidats est faite de manière indépendante du (et utérieure au) chargement du logiciel de la machine, lequel est figé bien avant le scrutin. On m'a dit que lors d'une récente élection au Brésil, il a fallu modifier en catastrophe les heures d'ouverture des bureaux de vote, plutôt que de corriger le logiciel qui ne tenais pas bien compte du passage à l'heure d'été/hiver.
Vincent Bernat
OoO En ce début d'après-midi nuageux du mardi 29 juillet 2003, vers 14:09, Xavier Roche disait:
Des solutions du côté de la crypto?
<URL:http://www.counterpane.com/applied.html>
Tout un chapitre sur le sujet. -- SHERRI DOES NOT "GOT BACK" SHERRI DOES NOT "GOT BACK" SHERRI DOES NOT "GOT BACK" -+- Bart Simpson on chalkboard in episode AABF07
OoO En ce début d'après-midi nuageux du mardi 29 juillet 2003, vers
14:09, Xavier Roche <xroche@free.fr.NOSPAM.invalid> disait:
Des solutions du côté de la crypto?
<URL:http://www.counterpane.com/applied.html>
Tout un chapitre sur le sujet.
--
SHERRI DOES NOT "GOT BACK"
SHERRI DOES NOT "GOT BACK"
SHERRI DOES NOT "GOT BACK"
-+- Bart Simpson on chalkboard in episode AABF07
OoO En ce début d'après-midi nuageux du mardi 29 juillet 2003, vers 14:09, Xavier Roche disait:
Des solutions du côté de la crypto?
<URL:http://www.counterpane.com/applied.html>
Tout un chapitre sur le sujet. -- SHERRI DOES NOT "GOT BACK" SHERRI DOES NOT "GOT BACK" SHERRI DOES NOT "GOT BACK" -+- Bart Simpson on chalkboard in episode AABF07
pornin
According to Xavier Roche :
Oui, oui, je l'ai lu. La conclusion c'est qu'il n'y a pas de recette miracle : on retrouve toujours un gros défaut dans chaque protocole (sécurité, ou anonymat, ou vérification, ou commerce des votes, ou oubli (volontaire ou non) d'un vote ..)
Attention : c'est un sujet de recherche très active, et il y a eu pas mal de trouvailles ces dernières années, à des dates plus récentes que la dernière parution du bouquin de Schneier. Le problème est complexe (notamment parce qu'on veut beaucoup de propriétés différentes en même temps) mais il n'est pas définitivement enterré ; au contraire, il devient de plus en plus viable avec le temps.
Le vrai problème fondamental de ces systèmes de vote électronique, c'est que pour qu'un électeur ait confiance en un système de vote, il faut qu'il comprenne comment ce système marche. Pour un système avec de la crypto, ce n'est pas gagné.
--Thomas Pornin
According to Xavier Roche <xroche@free.fr.NOSPAM.invalid>:
Oui, oui, je l'ai lu. La conclusion c'est qu'il n'y a pas de recette
miracle : on retrouve toujours un gros défaut dans chaque protocole
(sécurité, ou anonymat, ou vérification, ou commerce des votes, ou
oubli (volontaire ou non) d'un vote ..)
Attention : c'est un sujet de recherche très active, et il y a eu pas
mal de trouvailles ces dernières années, à des dates plus récentes que
la dernière parution du bouquin de Schneier. Le problème est complexe
(notamment parce qu'on veut beaucoup de propriétés différentes en même
temps) mais il n'est pas définitivement enterré ; au contraire, il
devient de plus en plus viable avec le temps.
Le vrai problème fondamental de ces systèmes de vote électronique, c'est
que pour qu'un électeur ait confiance en un système de vote, il faut
qu'il comprenne comment ce système marche. Pour un système avec de la
crypto, ce n'est pas gagné.
Oui, oui, je l'ai lu. La conclusion c'est qu'il n'y a pas de recette miracle : on retrouve toujours un gros défaut dans chaque protocole (sécurité, ou anonymat, ou vérification, ou commerce des votes, ou oubli (volontaire ou non) d'un vote ..)
Attention : c'est un sujet de recherche très active, et il y a eu pas mal de trouvailles ces dernières années, à des dates plus récentes que la dernière parution du bouquin de Schneier. Le problème est complexe (notamment parce qu'on veut beaucoup de propriétés différentes en même temps) mais il n'est pas définitivement enterré ; au contraire, il devient de plus en plus viable avec le temps.
Le vrai problème fondamental de ces systèmes de vote électronique, c'est que pour qu'un électeur ait confiance en un système de vote, il faut qu'il comprenne comment ce système marche. Pour un système avec de la crypto, ce n'est pas gagné.
--Thomas Pornin
Erwan David
(Thomas Pornin) écrivait :
Le vrai problème fondamental de ces systèmes de vote électronique, c'est que pour qu'un électeur ait confiance en un système de vote, il faut qu'il comprenne comment ce système marche. Pour un système avec de la crypto, ce n'est pas gagné.
Enfin on n'ets pas obligé de *tout* faire de manière électronique. L'émargement peut tout à fait rester manuel avec une signature dans le registre : ça ne prends pas de temps et permet de controler que ne votent que des électeurs inscrits et inscrits une seule fois. On peut aussi imaginer un système en 2 temps : controle du droit à voter manuel (avec des listes d'électeurs en clair consultables par tous ce qui limite la fraude par tenue des listes) puis vote proprement dit, l'opération de vote retirant le droit à voter pour le même scrutin
-- Monde de merde
pornin@nerim.net (Thomas Pornin) écrivait :
Le vrai problème fondamental de ces systèmes de vote électronique, c'est
que pour qu'un électeur ait confiance en un système de vote, il faut
qu'il comprenne comment ce système marche. Pour un système avec de la
crypto, ce n'est pas gagné.
Enfin on n'ets pas obligé de *tout* faire de manière
électronique. L'émargement peut tout à fait rester manuel avec une
signature dans le registre : ça ne prends pas de temps et permet de
controler que ne votent que des électeurs inscrits et inscrits une
seule fois. On peut aussi imaginer un système en 2 temps : controle du
droit à voter manuel (avec des listes d'électeurs en clair
consultables par tous ce qui limite la fraude par tenue des listes)
puis vote proprement dit, l'opération de vote retirant le droit à
voter pour le même scrutin
Le vrai problème fondamental de ces systèmes de vote électronique, c'est que pour qu'un électeur ait confiance en un système de vote, il faut qu'il comprenne comment ce système marche. Pour un système avec de la crypto, ce n'est pas gagné.
Enfin on n'ets pas obligé de *tout* faire de manière électronique. L'émargement peut tout à fait rester manuel avec une signature dans le registre : ça ne prends pas de temps et permet de controler que ne votent que des électeurs inscrits et inscrits une seule fois. On peut aussi imaginer un système en 2 temps : controle du droit à voter manuel (avec des listes d'électeurs en clair consultables par tous ce qui limite la fraude par tenue des listes) puis vote proprement dit, l'opération de vote retirant le droit à voter pour le même scrutin
