Et a-t-il install un isoloir autour de son ordinateur, afin que sa femme
puisse voter selon ses convictions, en dehors de toute contrainte ?
Et a-t-il install un isoloir autour de son ordinateur, afin que sa femme
puisse voter selon ses convictions, en dehors de toute contrainte ?
Et a-t-il install un isoloir autour de son ordinateur, afin que sa femme
puisse voter selon ses convictions, en dehors de toute contrainte ?
Par "contrainte", je pense que M. Belin parlait du "si je vois pas ce
que tu tapes et pour qui tu votes, tu vas à l'hopital"
Par "contrainte", je pense que M. Belin parlait du "si je vois pas ce
que tu tapes et pour qui tu votes, tu vas à l'hopital"
Par "contrainte", je pense que M. Belin parlait du "si je vois pas ce
que tu tapes et pour qui tu votes, tu vas à l'hopital"
Je n'ai pas étudié ces articles ni la spéc mais (pour généraliser);
qu'une transaction soit "financière" ou "civique", je suis convaincu
qu'elle ne peut être que plus sécurisée si électronique VS manuelle
(sans compter les risques d'erreurs "naturels" )
Bien sûr la spéc doit être publique (pour éviter les "back door")
et le système certifié par un paquet de CESTI... les gars de la
DCSSI sont aussi des votants, j'ai dans l'idée qu'ils veulent
aussi que leurs votes arrivent au bon endroit.
Je n'ai pas étudié ces articles ni la spéc mais (pour généraliser);
qu'une transaction soit "financière" ou "civique", je suis convaincu
qu'elle ne peut être que plus sécurisée si électronique VS manuelle
(sans compter les risques d'erreurs "naturels" )
Bien sûr la spéc doit être publique (pour éviter les "back door")
et le système certifié par un paquet de CESTI... les gars de la
DCSSI sont aussi des votants, j'ai dans l'idée qu'ils veulent
aussi que leurs votes arrivent au bon endroit.
Je n'ai pas étudié ces articles ni la spéc mais (pour généraliser);
qu'une transaction soit "financière" ou "civique", je suis convaincu
qu'elle ne peut être que plus sécurisée si électronique VS manuelle
(sans compter les risques d'erreurs "naturels" )
Bien sûr la spéc doit être publique (pour éviter les "back door")
et le système certifié par un paquet de CESTI... les gars de la
DCSSI sont aussi des votants, j'ai dans l'idée qu'ils veulent
aussi que leurs votes arrivent au bon endroit.
Francois Grieu wrote:Cette généralisation me semble basée sur une perception incorrecte
du risque. Dans une élection présidentielle Il n'est pas du très
grave qu'un individu parvienne à ajouter 200 voix à un candidat au
détriment des autres dans le bureau de vote où il est président.
Si par contre cet individu parvient à modifier le logiciel des
machines à voter du pays, il est vraissemblable qu'il fasse basculer
le résultat sur le plan national. Il est normal, compte tenu de
l'enjeu différent, d'avoir des exigences de sécurité différentes.
Aussi, même sans fraude, il est vraissemblable que les citoyens
condamnés à se servir d'une machine produisant un résultat que
rien ne relie tangiblement à leur choix, vont se détourner des
bureaux de vote.
Je suis pas certain de comprendre.
Est-ce que la sécurité est dans la "machine à voter" aujourd'hui ?
Je visualise (surement à tord) un système de vote comme une carte
bancaire: un certificat _et_ un seul est généré par la carte du
votant (sous clef diversifiée) puis ... éventuellement décrypté
par un HSM _sous_ _clefs_ qui se chargera du decryptage (non
répudiation .... etc) - cela avec PIN, photo, holog. ... bien sûr
- vu ce que je viens de payer pour mon passeport BIO, c'est pas
le prix de la carte qui va géner.
Francois Grieu wrote:
Cette généralisation me semble basée sur une perception incorrecte
du risque. Dans une élection présidentielle Il n'est pas du très
grave qu'un individu parvienne à ajouter 200 voix à un candidat au
détriment des autres dans le bureau de vote où il est président.
Si par contre cet individu parvient à modifier le logiciel des
machines à voter du pays, il est vraissemblable qu'il fasse basculer
le résultat sur le plan national. Il est normal, compte tenu de
l'enjeu différent, d'avoir des exigences de sécurité différentes.
Aussi, même sans fraude, il est vraissemblable que les citoyens
condamnés à se servir d'une machine produisant un résultat que
rien ne relie tangiblement à leur choix, vont se détourner des
bureaux de vote.
Je suis pas certain de comprendre.
Est-ce que la sécurité est dans la "machine à voter" aujourd'hui ?
Je visualise (surement à tord) un système de vote comme une carte
bancaire: un certificat _et_ un seul est généré par la carte du
votant (sous clef diversifiée) puis ... éventuellement décrypté
par un HSM _sous_ _clefs_ qui se chargera du decryptage (non
répudiation .... etc) - cela avec PIN, photo, holog. ... bien sûr
- vu ce que je viens de payer pour mon passeport BIO, c'est pas
le prix de la carte qui va géner.
Francois Grieu wrote:Cette généralisation me semble basée sur une perception incorrecte
du risque. Dans une élection présidentielle Il n'est pas du très
grave qu'un individu parvienne à ajouter 200 voix à un candidat au
détriment des autres dans le bureau de vote où il est président.
Si par contre cet individu parvient à modifier le logiciel des
machines à voter du pays, il est vraissemblable qu'il fasse basculer
le résultat sur le plan national. Il est normal, compte tenu de
l'enjeu différent, d'avoir des exigences de sécurité différentes.
Aussi, même sans fraude, il est vraissemblable que les citoyens
condamnés à se servir d'une machine produisant un résultat que
rien ne relie tangiblement à leur choix, vont se détourner des
bureaux de vote.
Je suis pas certain de comprendre.
Est-ce que la sécurité est dans la "machine à voter" aujourd'hui ?
Je visualise (surement à tord) un système de vote comme une carte
bancaire: un certificat _et_ un seul est généré par la carte du
votant (sous clef diversifiée) puis ... éventuellement décrypté
par un HSM _sous_ _clefs_ qui se chargera du decryptage (non
répudiation .... etc) - cela avec PIN, photo, holog. ... bien sûr
- vu ce que je viens de payer pour mon passeport BIO, c'est pas
le prix de la carte qui va géner.
IMPORTANT: ce post remplace le précédent
basé sur des informations erronées quand à la date d'un document.
Dans l'article ,
Erwan David a écrit:Francois Grieu écrivait :Voir par exemple la liste des produits civils certifiés surs par les
services Français officiels en charge de la sécurité informatique:
http://www.ssi.gouv.fr/fr/confiance/certificats.htmlaucune machine à voter.
Aux dernières nouvelles la DCSSI était en train de travailler sur un
profil de protection pour ce genre de machine. C'est quand même la
moindre des choses de définir ce profil (c'est à dire la liste des
propriétés qu'on demande à une telle machine) puis de certifier les
machines utilisées.
J'ai localisé le Profil de Protection en question, estampillé
République Française, commandité et certifié par la DCSSI.
http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_04.html
En résumé, c'est essentiellement la transcription dans le language
Critère Commun des exigences légales et réglementaires, et il est
souvent proche sur le fond du "Règlement technique fixant les
conditions d'agrément des machines à voter", pour ce qui a la place
dans un profil de protection.
Une différence importante avec le "Règlement technique fixant les
conditions d'agrément des machines à voter", c'est que pour une
certification Critères Commun, il faut suivre des procédures de
certification de sécurité sous le contrôle de la DCSSI; sans être
parfait, c'est ce qui existe de moins fantaisiste en matière
d'assurance de sécurité; les procédures sont élaborées exactement
pour cela, par un processus internationalement reconnu, qui a pris
des années. Des labos spécilisés font des tests qui ont une
valeur technique certaines, avec une gradation de moyens codifiée
et un tant soit peu reproductible et rationelle.
Ce profil de protection est pour l'instant lettre morte: il n'est
ni obligatoire, ni appliqué, les machines à voter ne sont PAS
certifiées en fonction de ce document, voir
http://www.ssi.gouv.fr/fr/confiance/certificats.html
où les machines à voter brillent par leur absence.
Néanmoins, mes commentaires techniques:
Ce profil de protection est réalisé sans se poser de question de fond
sur le problème de la vérification de l'intégrité de la machine,
ni de la confiance que peut avoir l'utilisateur dans le dispositif,
et c'est le pricipal reproche que je formule à son égard. A décharge
du rédacteur, le législateur est coupable d'avoir fixé un cadre qui
n'explicite pas cette exigence première.
Autre problème: le niveau de sécurité exigé est EAL2+; à titre de
comparaison, pour enregistrer les temps de conduite du chauffeur
d'un camion, la loi exige un niveau ITSEC E3 fort, équivalent à
EAL4+; pour être reconnue comme légalement valable, une signature
électronique doit être réalisée par un dipositif certifié EAL4+;
les cartes à puce récentes sont souvent certifiées EAL5+.
Bref, le niveau d'assurance de sécurité est très en dessous de
l'état de l'art (en matière civile), tout en étant, à mon avis,
très au dessus des machines actuellement homologuées, pour ce que
l'on en sait.
Indépendemment de la rigueur méthodologique d'une évaluation
Critères Commun, les exigences du Profil de Protection tendent
parfois à être plus sévères que celles du règlement. Par exemple
il est demandé une autonomie de 12 heures dans le PP, et de
2 heures dans le Règlement.
En résumé, la Direction Centrale de la Sécurité des Systèmes
d'Information a commandité un profil de protection des machines
à voter, mais il n'est ni satisfaisant, ni appliqué, ni obligatoire;
ce qui s'appliqué est un dispositif antérieur, moins exigeant,
contrôlé par un organisme privé, désigné par le Ministère de
l'Intérieur, et non sous le contrôle de la DCSSI, services du
Premier Ministre explicitement en charge de la sécurité des
systèmes d'information essentiels de l'Etat, et dont la compétence
en la matière est généralement reconnue.
Plus je creuse ce sujet, plus je vois qu'il faut réagir;
trop tard :-(
IMPORTANT: ce post remplace le précédent
<fgrieu-67693F.17511609042007@news-1.proxad.net>
basé sur des informations erronées quand à la date d'un document.
Dans l'article <87lkh5u267.fsf@nez-casse.depot.rail.eu.org>,
Erwan David <erwan@rail.eu.org> a écrit:
Francois Grieu <fgrieu@gmail.com> écrivait :
Voir par exemple la liste des produits civils certifiés surs par les
services Français officiels en charge de la sécurité informatique:
http://www.ssi.gouv.fr/fr/confiance/certificats.html
aucune machine à voter.
Aux dernières nouvelles la DCSSI était en train de travailler sur un
profil de protection pour ce genre de machine. C'est quand même la
moindre des choses de définir ce profil (c'est à dire la liste des
propriétés qu'on demande à une telle machine) puis de certifier les
machines utilisées.
J'ai localisé le Profil de Protection en question, estampillé
République Française, commandité et certifié par la DCSSI.
http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_04.html
En résumé, c'est essentiellement la transcription dans le language
Critère Commun des exigences légales et réglementaires, et il est
souvent proche sur le fond du "Règlement technique fixant les
conditions d'agrément des machines à voter", pour ce qui a la place
dans un profil de protection.
Une différence importante avec le "Règlement technique fixant les
conditions d'agrément des machines à voter", c'est que pour une
certification Critères Commun, il faut suivre des procédures de
certification de sécurité sous le contrôle de la DCSSI; sans être
parfait, c'est ce qui existe de moins fantaisiste en matière
d'assurance de sécurité; les procédures sont élaborées exactement
pour cela, par un processus internationalement reconnu, qui a pris
des années. Des labos spécilisés font des tests qui ont une
valeur technique certaines, avec une gradation de moyens codifiée
et un tant soit peu reproductible et rationelle.
Ce profil de protection est pour l'instant lettre morte: il n'est
ni obligatoire, ni appliqué, les machines à voter ne sont PAS
certifiées en fonction de ce document, voir
http://www.ssi.gouv.fr/fr/confiance/certificats.html
où les machines à voter brillent par leur absence.
Néanmoins, mes commentaires techniques:
Ce profil de protection est réalisé sans se poser de question de fond
sur le problème de la vérification de l'intégrité de la machine,
ni de la confiance que peut avoir l'utilisateur dans le dispositif,
et c'est le pricipal reproche que je formule à son égard. A décharge
du rédacteur, le législateur est coupable d'avoir fixé un cadre qui
n'explicite pas cette exigence première.
Autre problème: le niveau de sécurité exigé est EAL2+; à titre de
comparaison, pour enregistrer les temps de conduite du chauffeur
d'un camion, la loi exige un niveau ITSEC E3 fort, équivalent à
EAL4+; pour être reconnue comme légalement valable, une signature
électronique doit être réalisée par un dipositif certifié EAL4+;
les cartes à puce récentes sont souvent certifiées EAL5+.
Bref, le niveau d'assurance de sécurité est très en dessous de
l'état de l'art (en matière civile), tout en étant, à mon avis,
très au dessus des machines actuellement homologuées, pour ce que
l'on en sait.
Indépendemment de la rigueur méthodologique d'une évaluation
Critères Commun, les exigences du Profil de Protection tendent
parfois à être plus sévères que celles du règlement. Par exemple
il est demandé une autonomie de 12 heures dans le PP, et de
2 heures dans le Règlement.
En résumé, la Direction Centrale de la Sécurité des Systèmes
d'Information a commandité un profil de protection des machines
à voter, mais il n'est ni satisfaisant, ni appliqué, ni obligatoire;
ce qui s'appliqué est un dispositif antérieur, moins exigeant,
contrôlé par un organisme privé, désigné par le Ministère de
l'Intérieur, et non sous le contrôle de la DCSSI, services du
Premier Ministre explicitement en charge de la sécurité des
systèmes d'information essentiels de l'Etat, et dont la compétence
en la matière est généralement reconnue.
Plus je creuse ce sujet, plus je vois qu'il faut réagir;
trop tard :-(
IMPORTANT: ce post remplace le précédent
basé sur des informations erronées quand à la date d'un document.
Dans l'article ,
Erwan David a écrit:Francois Grieu écrivait :Voir par exemple la liste des produits civils certifiés surs par les
services Français officiels en charge de la sécurité informatique:
http://www.ssi.gouv.fr/fr/confiance/certificats.htmlaucune machine à voter.
Aux dernières nouvelles la DCSSI était en train de travailler sur un
profil de protection pour ce genre de machine. C'est quand même la
moindre des choses de définir ce profil (c'est à dire la liste des
propriétés qu'on demande à une telle machine) puis de certifier les
machines utilisées.
J'ai localisé le Profil de Protection en question, estampillé
République Française, commandité et certifié par la DCSSI.
http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_04.html
En résumé, c'est essentiellement la transcription dans le language
Critère Commun des exigences légales et réglementaires, et il est
souvent proche sur le fond du "Règlement technique fixant les
conditions d'agrément des machines à voter", pour ce qui a la place
dans un profil de protection.
Une différence importante avec le "Règlement technique fixant les
conditions d'agrément des machines à voter", c'est que pour une
certification Critères Commun, il faut suivre des procédures de
certification de sécurité sous le contrôle de la DCSSI; sans être
parfait, c'est ce qui existe de moins fantaisiste en matière
d'assurance de sécurité; les procédures sont élaborées exactement
pour cela, par un processus internationalement reconnu, qui a pris
des années. Des labos spécilisés font des tests qui ont une
valeur technique certaines, avec une gradation de moyens codifiée
et un tant soit peu reproductible et rationelle.
Ce profil de protection est pour l'instant lettre morte: il n'est
ni obligatoire, ni appliqué, les machines à voter ne sont PAS
certifiées en fonction de ce document, voir
http://www.ssi.gouv.fr/fr/confiance/certificats.html
où les machines à voter brillent par leur absence.
Néanmoins, mes commentaires techniques:
Ce profil de protection est réalisé sans se poser de question de fond
sur le problème de la vérification de l'intégrité de la machine,
ni de la confiance que peut avoir l'utilisateur dans le dispositif,
et c'est le pricipal reproche que je formule à son égard. A décharge
du rédacteur, le législateur est coupable d'avoir fixé un cadre qui
n'explicite pas cette exigence première.
Autre problème: le niveau de sécurité exigé est EAL2+; à titre de
comparaison, pour enregistrer les temps de conduite du chauffeur
d'un camion, la loi exige un niveau ITSEC E3 fort, équivalent à
EAL4+; pour être reconnue comme légalement valable, une signature
électronique doit être réalisée par un dipositif certifié EAL4+;
les cartes à puce récentes sont souvent certifiées EAL5+.
Bref, le niveau d'assurance de sécurité est très en dessous de
l'état de l'art (en matière civile), tout en étant, à mon avis,
très au dessus des machines actuellement homologuées, pour ce que
l'on en sait.
Indépendemment de la rigueur méthodologique d'une évaluation
Critères Commun, les exigences du Profil de Protection tendent
parfois à être plus sévères que celles du règlement. Par exemple
il est demandé une autonomie de 12 heures dans le PP, et de
2 heures dans le Règlement.
En résumé, la Direction Centrale de la Sécurité des Systèmes
d'Information a commandité un profil de protection des machines
à voter, mais il n'est ni satisfaisant, ni appliqué, ni obligatoire;
ce qui s'appliqué est un dispositif antérieur, moins exigeant,
contrôlé par un organisme privé, désigné par le Ministère de
l'Intérieur, et non sous le contrôle de la DCSSI, services du
Premier Ministre explicitement en charge de la sécurité des
systèmes d'information essentiels de l'Etat, et dont la compétence
en la matière est généralement reconnue.
Plus je creuse ce sujet, plus je vois qu'il faut réagir;
trop tard :-(
Consternant, mais oh combien plausible.
Consternant, mais oh combien plausible.
Consternant, mais oh combien plausible.
Je ne comprends pas comment on peut mettre de tels procÚdÚs en place. Sans
aller jusqu'Ó une thÚorie du complot, on met quand mÛme Ó disposition de qui
le veut bien les moyens de truander. IncomprÚhensible.
Je ne comprends pas comment on peut mettre de tels procÚdÚs en place. Sans
aller jusqu'Ó une thÚorie du complot, on met quand mÛme Ó disposition de qui
le veut bien les moyens de truander. IncomprÚhensible.
Je ne comprends pas comment on peut mettre de tels procÚdÚs en place. Sans
aller jusqu'Ó une thÚorie du complot, on met quand mÛme Ó disposition de qui
le veut bien les moyens de truander. IncomprÚhensible.
Par "contrainte", je pense que M. Belin parlait du "si je vois pas ce
que tu tapes et pour qui tu votes, tu vas à l'hopital"
Par "contrainte", je pense que M. Belin parlait du "si je vois pas ce
que tu tapes et pour qui tu votes, tu vas à l'hopital"
Par "contrainte", je pense que M. Belin parlait du "si je vois pas ce
que tu tapes et pour qui tu votes, tu vas à l'hopital"