Non au vote électronique

remy <remy@fctpas.fr> wrote in news:evfgl5$i2q$1@s1.news.oleane.net:

le principal argument a été se n'est pas une solution que l'on sort
de notre chapeau se sont des solutions éprouvées dans d'autres pays

Ah oui. C'est sûrement pour ça qu'elles ont été abolies aux Pays-Bas
récemment, si je me souviens bien...

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : http://www.sts67.org
BoW : http://www.bownbend.com
GPG key ID 83FF7452, 659C 2B9F 7FD5 5C25 8C30 E723 4423 F8B8 83FF 7452

On Mon Apr 09 2007 at 18:42, Francois Grieu wrote:

J'ai localisé le Profil de Protection en question, estampillé
République Française, commandité et certifié par la DCSSI.
http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_04.html

Ca commence fort:

2.2 Hypothèses
2.2.1 Contrôle visuel
H.CONTROLE_VISUEL
Lors du scrutin, la machine est constamment sous le contrôle visuel
du président du bureau de vote ou d'un de ses assesseurs. Cette
hypothèse permet de limiter tous les risques liés à d'éventuelles
tentatives de réalisation d'actions malveillantes sur la machine à
voter de type vandalisme ou intrusion physique.

Façon élégante d'éviter une évaluation physique, je suppose.
Les gens qui auront ces bêtes en main sont supposés de confiance.
Il est bien connu que ce sont les électeurs qui bourrent les urnes. <grin>

2.2.4 Isoloir
H.ISOLOIR
Les machines à voter disposent d'un mécanisme assurant la
confidentialité du vote au moment du vote. Pour les machines ne
disposant pas d'un tel mécanisme, la confidentialité du vote est
assurée par un isoloir.

Les hypothèses sont contradictoires. Ce Profil de Protection n'aurait
même pas dû être "certifié".
J'ai vu pire, mais l'enjeu était moins important.

--
http://www.bigfoot.com/~arboi http://ma75.blogspot.com/
PGP key ID : 0x0BBABA91 - 0x1320924F0BBABA91
Fingerprint: 1048 B09B EEAF 20AA F645 2E1A 1320 924F 0BBA BA91

Le 12 avr, 20:01, Michel Arboi <mic...@omniphobe.info> écrit:

On Mon Apr 09 2007 at 18:42, Francois Grieu wrote:

J'ai localisé le Profil de Protection en question, estampillé
République Française, commandité et certifié par la DCSSI.
http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_04.html

Ca commence fort:

2.2 Hypothèses
2.2.1 Contrôle visuel
H.CONTROLE_VISUEL
Lors du scrutin, la machine est constamment sous le contrôle visuel
du président du bureau de vote ou d'un de ses assesseurs. Cette
hypothèse permet de limiter tous les risques liés à d'éventuell es
tentatives de réalisation d'actions malveillantes sur la machine à
voter de type vandalisme ou intrusion physique.

Façon élégante d'éviter une évaluation physique, je suppose.
Les gens qui auront ces bêtes en main sont supposés de confiance.
Il est bien connu que ce sont les électeurs qui bourrent les urnes. <gr in>

Une des choses à craindre est précisément que le président du
bureau ou un assesseur essaye d'altérer le résultat du vote, surtout
dans une élection locale. Et c'est aussi un électeur.
Aussi, cette personne va bien devoir partir aux toilettes.

Même si on ne considère que la menace venant de l'électeur,
l'hypothèse est complètement fausse: par principe le président
ne peut pas voir l'électeur interragissant avec la machine à voter,
et tout est à craindre comme vandalisme à ce moment.

Pour le vandalisme visible (grafitti, autocollant) le problème est
considérable car les conséquences d'un autocollant sur la machine
sont beaucoup plus grandes que sur la tablette d'un isoloir:
Concrètement la machine peut être inutisisable, ou utilisable
seulement en supportant un message grossièrement militant.
Mais ou peut au moins penser que l'auteur prend un certain
risque dêtre puni par l'effet de l'articcle L116
http://www.legifrance.gouv.fr/WAspad/UnArticleDeCode?commun=CELECT&art= L116
Encore que si le vandale colle l'autocollant discrètement
et sans laisser de traces grossière, et affirme mordicus qu'il
étatit là avant, avec un complice (peut-être l'électeur précéde nt)
qui en témoigne, ça va pas être simple à réprimer.

Et le vandalisme ne laissant pas de trace est encore plus
difficile à réprimer. En particulier on peut craindre la décharge
électrostatique par "tazer gun", briquet piezo, voire simple effet
de friction, ou un fort champ électromagnétique ou électrique
généré par un machin perturbateur habillé en téléphone portable.
Les tests de conformités aux perurbations correspondant aux
normes permettant le marquage CE, même faits de façon
rigoureuse, ne sont là que pour des perturbations non intentionelles,
genre frottement par un pull en laine et présence d'un vrai
téléphone portable.

J'aurrais bien des réserves à faire sur ce PP, en particulier sur
la menace d'altération de la machine pendant son stockage.
Je rapelle aussi que ce PP n'est PAS obligatoire ni appliqué.

François Grieu

Et le vandalisme ne laissant pas de trace est encore plus
difficile à réprimer. En particulier on peut craindre la décharge
électrostatique par "tazer gun", briquet piezo, voire simple effet
de friction, ou un fort champ électromagnétique ou électrique
généré par un machin perturbateur habillé en téléphone portable.
Les tests de conformités aux perurbations correspondant aux
normes permettant le marquage CE, même faits de façon
rigoureuse, ne sont là que pour des perturbations non intentionelles,
genre frottement par un pull en laine et présence d'un vrai
téléphone portable.

D'autant plus que les exigences devraient être bien supérieures à la
norme CEM classique. Ne serait-ce que pour garantir la confidentialité.

je redonne ce lien (l'autre semble ne plus fonctionner)
http://2006.hack.lu/index.php/Image:Nedap-hacklu.pdf

Je me repète mais on voit bien que c'est du matériel qui n'a pas été
conçu à la base pour être sûr et qui AMHA a été couvert de "rustine"
pour passer la norme aux forceps (PCB sans plan de masse, blindage
ajouté sur les nappes, torons balladeurs, ferrites à tout les bouts...)
Incroyable pour un système destiné à cette utilisation.

Pour être un peu moins HS, B.Schneier dans "Protocoles ésotériques"
énnonce pour des élections sûres 6 caractéristiques minimum:

1) Seules les personnes autorisées à voter peuvent voter.
2) Personne ne peut voter plus d'une fois.
3) Personne ne peut déterminer pour qui quelqu'un d'autre a voter.
4) Personne ne peut dupliquer le vote de quelqu'un d'autre.
5) Personne ne peut modifier le vote de quelqu'un d'autre sans être
découvert.
6) Tout les votants peuvent vérifier que leur vote a bien été pris en
compte dans le décompte final

Dans cet exemple, seuls les deux premiers points sont satisfaits (et
indépendamment de la machine).

J'ai bien du mal à comprendre comment ce genre de machine a pu être mis
en place.

--
bus.error

J'ai lu dans les info qu'a Issy-Les-Moulineaux
ca a été l'émeute a propos du temps d'attente de 40 minutes avant de
voter...

un délire...

à bry sur marne, sur deux bureau de votes que j'ai vu, il y a des files
d'attente de dingue dans le même style...

ce qui m'énerve c'est qu'on av encore accuser les techniciens alors que
là c'est encore come dans la plupart des projets informatiques du
domaine public, c'est l'incurie des maîtrises d'ouvrage (les mairies)
qui ne savent pas faire des tests avec des vrais utilisateurs et faire
des calculs de file d'attente...
Ils ont jamais appris "la loi de Little" qui donen la longeur d'une file
d'attente...
d'ailleurs pas besoin de ca, rien qu'un temps de service moyen avec

une telle INCOMPETENCE c'est criminel car plein de gens ne sont pas venu
voter a cause de ca...
moi j'attend, mais je suis passé 3 fois...

JE SUIS FURAX...

les discussion de théorie du complot sur les fraudes c'est de la
rigolade a coté... là il y a vraiment biais électoral car des dizaines
de milliers de votants ont été éjectés des bureau de vote par la file
d'attente décourageante

attention on parle de système qui n'ont pas le même niveau de compexité.
EAL2+ est le maximum réaliste pour un logiciel un tant soit peu complexe
(le genre sur un ordinateur normal)

EAL4+ c'est quand on a une preuve formelle et ca suppose qu'on travaille
au niveau électronique comme avec une carte a puce ou un macin simple
qui compte le temps...


ce qu'il faudrait pour le vote électronique ce serait des dispositifs
dont la sécurité n'est pas basée sur la qualité du logiciel, mais sur
des mathématiques.

un protocole sans confiance dans les intervenants.

l'idée classique c'est que chaque acteur quand il communique avec un
autre acteur... genre le votant avec le bureau de vote... écrit sur un
canal public...
si quelqu'un conteste, il n'a qu'a refaire les calculs.

par exemple imaginons que le gouvernement mette au point un vrai
protocole de vote .

comme ils sont sérieux il font ca en logiciel libre, et comme ils sont
radins ils font ca sur des PC, ou des playstation1.

par contre une partie est effectuée par une carte d'électeur
électronique développée tantot par la mafia russe, le club informatique
de clichy sous bois, et schlumberger... on s'en fout puisque le
protocole protège...

j'arrive sur l'isoloir électronique. il me donne un message qu'il
imprime... ma carte l'enregistre aussi pour pouvoir vérifier après...
la carte vérifie que c'est bien une urne, elle répond ...
l'urne vérifie que la carte respecte le protocole... si oui,
elle enregistre le vote, et imprime son calcul... la carte mémorise sa
réponse et pourra vérifier après que son vote a été pris en compte (sans
le connaître)...
le protocole assurera que le vote sera totalisé, sans pour autant que
l'urne ne connaisse plus que le total en fin de journée...

avec la carte et ses journaux on pourra vérifier que la carte est
valide, que le vote a été légal, et que l'urne l'a bien enregistré.

certains protocole fonctionnement même si une énorme proportion des
votants et des bureau de votes tente de frauder.

si un parti soupconne une fraude il n'a qu'a refaire les calculs avec un
programme de sa confection et vérifier...

comme c'est le protocole qui protège, on n'a pas a payer de
certification logicielle... le soft qui fera une erreur déclenchera une
réaction du soft d'en face qui criera à la fraude.


néanmoins je trouve que le système avec une imprimante ou tu vérifie
visuellement le bulletin avant que ca parte dans une urne scellée, ca a
l'avantage d'être plus facilement compréhensible par des électeurs moyen
qui croient plus en l'astrologie qu'en la théorie des nombres.

en tout cas ce qui me fait hurler quand je vois la sécurité de certains
produit grand public, c'est de voir combien c'est bidon et combien ca
ignore les connaissances actuelles en cryptographie en en sécurité...

les machines a voter actuelle ne sont que des caisses enregistreuses.

IMPORTANT: ce post remplace le précédent

Autre problème: le niveau de sécurité exigé est EAL2+; à titre de
comparaison, pour enregistrer les temps de conduite du chauffeur
d'un camion, la loi exige un niveau ITSEC E3 fort, équivalent à
EAL4+; pour être reconnue comme légalement valable, une signature
électronique doit être réalisée par un dipositif certifié EAL4+;
les cartes à puce récentes sont souvent certifiées EAL5+.
Bref, le niveau d'assurance de sécurité est très en dessous de
l'état de l'art (en matière civile), tout en étant, à mon avis,
très au dessus des machines actuellement homologuées, pour ce que
l'on en sait.

Alain wrote on 24/04/2007 21:45:

EAL4+ c'est quand on a une preuve formelle [...]

non jusqu'à niveau 4+, la preuve est semi-formelle donc argumentée
à partir de 5, elle est formelle donc mathématique.

par exemple imaginons que le gouvernement mette au point un vrai
protocole de vote .

comme ils sont sérieux il font ca en logiciel libre, et comme ils sont
radins ils font ca sur des PC, ou des playstation1.

?? (private joke ?)

par contre une partie est effectuée par une carte d'électeur
électronique développée tantot par la mafia russe, le club informatique
de clichy sous bois, et schlumberger... on s'en fout puisque le
protocole protège...

l'électeur ne me parait pas un élément constituant de la sécurité - ou
alors on créé justement un point d'attaque.

par contre il pourrait faire sens que la "machine à voter" ne soit qu'un
simple truc à boutons et que les compteurs soient (bien sur) dans une
puce certifiée, externe au fabriquant de la machine, générant les
certificats d'acquittement (preuve de vote, une bête signature digitale
à imprimer pourquoi pas sous forme de code barre 2D), ne communiquant
qu'avec une autorité pré-entendue (président de bureau qui aura
enregistré sa clé de chiffrement), etc, un cahier des charges
raisonnable ne parait pas sorcier à définir; la vrai interrogation
demeure sur les motivations de son absence (sérieuse) actuelle.

[...]
avec la carte et ses journaux on pourra vérifier que la carte est
valide, que le vote a été légal, et que l'urne l'a bien enregistré.

la carte du votant ??
le souci n'est pas d'apporter au votant honnête la preuve que sa carte
est bonne - reçoit-on une preuve de la validité de sa carte bancaire ?
il me semble que la remise en main propre ou le courrier
d'accompagnement suffit.

certains protocole fonctionnement même si une énorme proportion des
votants et des bureau de votes tente de frauder.

et certains protocoles ne fonctionnent que si il y a une faible
proportion de fraudeur ???

comme c'est le protocole qui protège, on n'a pas a payer de
certification logicielle... le soft qui fera une erreur déclenchera une
réaction du soft d'en face qui criera à la fraude.

si "protocole" désigne le processus complet, je doute que ce simple
remplacement sémantique ne change quoique ce soit.
si "protocole" désigne l'échange des informations, il ne couvrira que
les garanties sur leur intégrité et confidentialité; cela n'adresse pas
l'authenticité du votant qui devra être prouvée, ni l'honnêteté (pour
dire le moins) de la machine comptabilisatrice.

néanmoins je trouve que le système avec une imprimante ou tu vérifie
visuellement le bulletin avant que ca parte dans une urne scellée, ca a
l'avantage d'être plus facilement compréhensible par des électeurs moyen
qui croient plus en l'astrologie qu'en la théorie des nombres.

dans ce sens, il y a aussi la petite imprimante à ruban qui imprimerait
le bulletin ... à glisser dans l'urne ;)

Sylvain.

Dans l'article <462e5e58$0$27413$ba4acef3@news.orange.fr>,
Alain <alain@no.ne.org> a écrit:

attention on parle de système qui n'ont pas le même niveau de compexité.
EAL2+ est le maximum réaliste pour un logiciel un tant soit peu complexe
(le genre sur un ordinateur normal)

Les machines à voter Françaises ne sont pas vraiment (et heureusement)
un "ordinateur normal": en particulier il n'y a pas de disque dur, et
tout le programme est enregistré en mémoire inaltérable.
Le principal vendeur Français en tire argument au point 6 de sa FAQ
http://www.france-election.fr/FAQ.pdf
(l'inaltérabilité est une fiction: sur une machine le code est en EPROM
sur support; et il faudrait analyser toute cette mémoire, et tout le
hardware, pour tenter de se convaincre qu'il n'y a pas de code ailleurs)

Un appareil comparable est le tachygraphe électronique des camions,
dont voici un exemple
http://www.ssi.gouv.fr/fr/confiance/certificats/certificat2005_01.html
qui au terme d'une exigence européenne doit ête certifié ITSEC E3 fort
ou équivalent; les instances de certification ont déterminé ce que celà
veut dire en terme de Critères Commun, et conclu que c'est EAL4+, ou à
tout le moins une analyse des vulnérabilités contre un adversaire de
potentiel élevé, au niveau AVA_VLA.4
http://www.ssi.gouv.fr/site_documents/JIL/JIL-Security_eval_and_certif_of_digital_tacho_v1-12.pdf

EAL4+ c'est quand on a une preuve formelle

Je ne crois pas. Autant que je comprenne les Critère Commun (c'est
à dire pas complètement) l'exigence d'une preuve formelle ou
semi-formelle (de certains éléments de la conception) intervient
pour les niveaux 6 et 7. Je vous laisse confirmer ou infirmer
sur la base des documents disponibles sur
http://www.ssi.gouv.fr/fr/confiance/methodologie.html

et ca suppose qu'on travaille au niveau électronique comme avec
une carte a puce ou un machin simple qui compte le temps...

La fonction assignée à une machine à voter n'est pas très complexe,
et définie ainsi par le législateur:

 Les machines à voter doivent être d'un modèle agréé par arrêté
du ministre de l'Intérieur et satisfaire aux conditions suivantes :
   - comporter un dispositif qui soustrait l'électeur aux regards
pendant le vote ;
   - permettre aux électeurs handicapés de voter de façon autonome,
quel que soit leur handicap ;
   - permettre plusieurs élections de type différent le même jour ;
   - permettre l'enregistrement d'un vote blanc ;
   - ne pas permettre l'enregistrement de plus d'un seul suffrage
par électeur et par scrutin ;
   - totaliser le nombre des votants sur un compteur qui peut être
lu pendant les opérations de vote ;
   - totaliser les suffrages obtenus par chaque liste ou chaque
candidat ainsi que les votes blancs, sur des compteurs qui
ne peuvent être lus qu'après la clôture du scrutin ;
   - ne pouvoir être utilisées qu'à l'aide de deux clefs différentes,
de telle manière que, pendant la durée du scrutin, l'une reste
entre les mains du président du bureau de vote et l'autre entre
les mains de l'assesseur tiré au sort parmi l'ensemble des
assesseurs.
http://www.legifrance.gouv.fr/WAspad/UnArticleDeCode?communÎLECT&art=L57-1

Le bureau de vote s'assure publiquement, avant le commencement
du scrutin, que la machine fonctionne normalement et que tous
les compteurs sont à la graduation zéro.
http://www.legifrance.gouv.fr/WAspad/UnArticleDeCode?communÎLECT&art=L63

Une machines mécanique ou à la rigueur électromécanique peut
remplir ces fonctions, et être raisonablement vérifiable par le
bureau. D'ailleurs il a existé de telles machines.
Ma lecture de l'article L63 est qu'il disqualifie tout dispositif
uniquement informatique sans trace matérielle intelligible par le
commun des mortels.


François Grieu

Francois Grieu wrote:

EAL4+ c'est quand on a une preuve formelle

Je ne crois pas. Autant que je comprenne les Critère Commun (c'est
à dire pas complètement) l'exigence d'une preuve formelle ou
semi-formelle (de certains éléments de la conception) intervient
pour les niveaux 6 et 7. Je vous laisse confirmer ou infirmer
sur la base des documents disponibles sur
http://www.ssi.gouv.fr/fr/confiance/methodologie.html

Je ne pense pas dire de bétises: l'EAL4+ est donc l'EAL4 + une contrainte de
l'EAL5 (j'ai oublié laquelle) et est sorti des tiroirs quand B0 est passé
en B0' après le simple DES aie été craqué

hg

Le 25 avr, 07:48, hg <h...@nospam.org> écrit:

Francois Grieu wrote:

EAL4+ c'est quand on a une preuve formelle

Je ne crois pas. Autant que je comprenne les Critère Commun (c'est
à dire pas complètement) l'exigence d'une preuve formelle ou
semi-formelle (de certains éléments de la conception) intervient
pour les niveaux 6 et 7. Je vous laisse confirmer ou infirmer
sur la base des documents disponibles sur
http://www.ssi.gouv.fr/fr/confiance/methodologie.html

Je ne pense pas dire de bétises: l'EAL4+ est donc l'EAL4 + une contrain te de
l'EAL5 (j'ai oublié laquelle) et est sorti des tiroirs quand B0 est pas sé
en B0' après le simple DES aie été craqué

Oui, l'apellation EAL4+ (qu'il faudrait prononcer E A L quatre
augmenté) est un racourci pour EAL 4 augmenté d'exigences
supplémentaires, en genral (toujours ?) prises d'un niveau suérieur.
Par exemple: EAL4 augmenté (ALC_DVS.2 : Caractère suffisant des
mesures de sécurité, ADV_IMP.2 Implémentation de la TSF, AVA_VLA.4 :
Résistance élevée des fonctions de sécurité).

Je suis donc d'accord qu'un EAL4+ donne une assurance supérieure à
EAL4, mais je récuse le terme "fpreuve formelle", car
- on ne sait faire de preuve formelle que de certains aspects de la
conception, genre que la logique de l'évolution des états d'un machin
satisfait aux objectifs de sécurité énoncés; mais on ne sait pas fa ire
la preuve formelle qu'il résite à une attaque physique
- lesdites preuves formelles ne sont, à ma conaissance, exigées que
pour le niveau 7, et semi-formelle au niveau 6 (je peux me tromper, en
particulier d'un niveau, et le reconaitrais volontier si on me pointe
l'exigence en question)

Francois Grieu