Revue
DossierLes enjeux du vote électronique
Le vote électronique est-il suffisamment fiable par rapport au vote traditionnel ? Quels sont les préalables à son utilisation et les bonnes propriétés du vote électronique ? Décryptage.
Résumé
Le vote papier est souvent présenté comme un idéal, aussi bien en termes de simplicité que de sécurité. Préciser ce que l’on entend par « sécurité » est nécessaire afin d’évaluer ce qui disparait et ce qui est préservé lorsque l’on vote par Internet.
L’isoloir et l’urne transparente combinent les propriétés, a priori antagonistes, que sont le secret du vote et la garantie de la sincérité du scrutin. Obtenir des propriétés équivalentes en vote électronique n’est pas évident. Au premier abord, cela semble même impossible, sauf à offrir une confiance aveugle au prestataire qui organise l’élection et administre les serveurs impliqués. Cela n’est pourtant pas le cas. Des solutions techniques existent et permettent aux électeurs de s’assurer que leur vote a bien été pris en compte. Tous les problèmes n’ont pas encore été résolus, mais il est possible d’avoir des garanties similaires, voire bien meilleures, que le vote par correspondance, par exemple.
Cependant, à l’heure actuelle, le vote électronique offre une sécurité bien moindre que le vote à l’urne, tel qu’il est effectué en France pour les élections politiques. Si l’on doit tout de même utiliser du vote électronique, il ne faut pas se laisser dicter les conditions par les technologies disponibles actuellement : décidons d’abord ce que l’on considère comme un niveau de sécurité acceptable suivant les différents enjeux. Si les connaissances actuelles permettent d’atteindre le niveau désiré, alors on peut utiliser le vote électronique. À défaut, cela permet de pousser le développement de solutions plus sûres. Par ailleurs, contrairement à des domaines comme la défense, la sécurité d’un système de vote passe nécessairement par un maximum de transparence. Pour un haut niveau de sécurité, rendre public le fonctionnement du système utilisé est plus qu’une exigence : cela devrait être une évidence.
Idéalement, le vote électronique devrait offrir les mêmes garanties que le vote traditionnel à l’urne, tel qu’il est réalisé en France pour des élections politiques comme la présidentielle.
Chacun connaît le mode de fonctionnement des élections organisées pour la présidentielle, les législatives ou les municipales. C’est un système bien rodé, où l’électeur dispose d’un isoloir pour glisser son bulletin dans une enveloppe. L’urne est transparente et constamment surveillée, par les membres du bureau de vote, mais aussi par les électeurs présents. L’électeur s’identifie grâce à une pièce d’identité et sa carte d’électeur. Enfin, le dépouillement est public, chacun peut s’assurer que le décompte des voix est conforme.
De nombreuses élections « papier » présentent cependant un fonctionnement bien moins satisfaisant. Ainsi, lors des primaires des partis politiques, il est difficile de mettre en place des bureaux de vote avec suffisamment de représentants de chaque candidat. Lorsqu’il s’agit de primaires ouvertes, des électeurs peuvent parfois voter plusieurs fois, dans différents bureaux. En dehors des élections politiques, il existe de nombreux scrutins où l’urne est bien souvent laissée sous la responsabilité d’une seule personne, voire est transportée avant d’être dépouillée. Il est très difficile dans ce cas de s’assurer qu’aucun bulletin n’a été ajouté discrètement, en modifiant la liste d’émargement de façon cohérente.
Toujours basé sur le papier, le vote par correspondance est un cas encore bien différent. L’électeur n’a plus aucune assurance que son vote sera compté. Depuis les mains de l’électeur jusqu’à l’urne, le bulletin de vote passe par de nombreux intermédiaires. Il arrive même que des élus candidats à leur propre succession effectuent eux-mêmes la livraison finale des bulletins ! Une personne malveillante pourrait tout simplement éliminer un sac d’enveloppes provenant d’une région réputée pour voter pour un certain candidat que l’on souhaite désavantager. Cette personne pourrait aller plus loin et y substituer des bulletins pour d’autres candidats. D’autre part, les aléas du courrier peuvent tout simplement égarer certains bulletins. Des fraudes peuvent également venir de l’extérieur : en général, il est facile de reconstituer le matériel électoral et donc d’envoyer de faux bulletins. Que dire du secret du vote ? Là encore, l’électeur doit faire une confiance aveugle au système. La personne qui réceptionnera son bulletin et mettra à jour la liste d’émargement ne devra pas, au passage, jeter un œil au vote de l’électeur.
Ainsi, même si l’on se cantonne au vote « papier », les garanties offertes sont très variables suivant le système utilisé (par correspondance ou non) et sa mise en œuvre effective.
Les bonnes propriétés du vote électronique
Idéalement, le vote électronique devrait offrir les mêmes garanties que le vote traditionnel à l’urne, tel qu’il est réalisé en France pour des élections politiques comme la présidentielle.
Une des premières garanties de l’urne électorale est le secret du vote. Grâce à l’isoloir, l’enveloppe et le mélange des bulletins avant dépouillement, nul ne peut apprendre comment un électeur a voté. Dans le vote électronique, c’est le chiffrement du vote qui va jouer le rôle protecteur de l’enveloppe. L’ordinateur de l’électeur (ou son smartphone) chiffre son vote avec une clé publique, dédiée à l’élection. Il est important de se demander qui détient la clé de déchiffrement. Normalement, aucune autorité ne détient seule la clé. Comme dans les banques où il faut trois personnes pour ouvrir le coffre, les clés de déchiffrement sont réparties entre plusieurs autorités, choisies par le bureau électoral. Pour éviter la situation fâcheuse où une autorité perdrait sa clé ou refuserait de coopérer (parce que les sondages sortis des urnes lui seraient défavorables, par exemple), on a souvent recours à un système de chiffrement à seuil : trois autorités parmi cinq suffisent pour déchiffrer, ou toute autre combinaison. Les électeurs peuvent ainsi demander quelles sont les autorités en charge des clés.
Si on reprend le cas du vote à l’urne, non seulement l’électeur est assuré que son vote reste secret, mais le système le protège également contre l’achat de vote ou la coercition. En effet, un électeur ne peut pas prouver pour qui il vote ni céder son droit de vote. C’est pour cette raison qu’il doit prendre plusieurs bulletins à l’entrée du bureau de vote. Une poubelle lui permet de se débarrasser des bulletins avant de sortir du bulletin. Il n’est donc pas possible de lui demander de vider ses poches à la sortie : elles sont déjà vides ! Dans le contexte du vote électronique, on parle alors de système sans reçu ou résistant à la coercition. Si quelques propositions académiques existent, ces garanties sont difficiles à obtenir en pratique. Ainsi, dans la plupart des systèmes utilisés à l’heure actuelle, un électeur peut tout simplement vendre le matériel de vote (identifiant et mot de passe) qu’il a reçu pour voter.
Le secret du vote ne doit pas faire oublier un autre pilier d’une élection : la transparence du scrutin, garante de la confiance des électeurs dans le résultat. Dans le vote à l’urne, ce sont l’urne transparente, laissée à la vue de tous, et le décompte public qui garantissent aux électeurs que le résultat est bien le reflet leur intention. Dans le contexte du vote électronique, on introduit le concept de « vérifiabilité », qui s’articule en quatre étapes à l’image du processus de vote à l’urne. La vérifiabilité de l’intention doit permettre à l’électeur de s’assurer que son bulletin chiffré contient bien son intention de vote. En effet, lorsque l’électeur sélectionne le candidat A en « cliquant » sur le nom correspondant à l’écran, comment s’assurer que son ordinateur chiffre bien A et non B, le candidat concurrent ? En Suisse, cette propriété est assurée à l’aide de codes de retour. Avant le début de l’élection, chaque électeur reçoit par la poste une fiche avec un code de retour pour chaque candidat. Lors du vote, l’électeur vérifie à l’écran de son ordinateur que le code de retour correspond bien au candidat de son choix. Même un ordinateur malveillant (infecté par un virus, par exemple) ne peut deviner le bon code de retour. Les éléments cryptographiques utilisés assurent qu’un code de retour puisse être calculé sans révéler le vote à quiconque. Cela reste cependant une technique coûteuse à mettre en place, et peu d’alternatives ont été mises au point pour le moment.
Certains pays, comme l’Estonie, s’appuient sur une carte d’identité numérique, qui permet de signer électroniquement les bulletins de vote et d’assurer un meilleur niveau d’authentification.
La vérifiabilité individuelle est l’étape suivante : l’électeur s’assure que son bulletin chiffré, formé par son ordinateur, est bien présent dans l’urne virtuelle. Dans le cas du vote à l’urne traditionnel, c’est facile : l’électeur glisse lui-même le bulletin dans l’urne et il pourrait rester devant l’urne toute la journée pour s’assurer qu’elle n’est pas vidée. Électroniquement, il faut également rendre l’urne publique, par exemple, sous la forme d’une page web accessible de tous. L’électeur peut alors vérifier que son bulletin chiffré est présent et des observateurs peuvent s’assurer en permanence qu’aucun bulletin n’est retiré.
Vient ensuite l’étape du dépouillement. La vérifiabilité universelle assure que le résultat correspond aux bulletins chiffrés. Pour ce faire, les autorités qui procèdent au déchiffrement vont prouver qu’elles ont correctement déchiffré, à l’aide de techniques cryptographiques appelées preuves à divulgation nulle de connaissance. Ainsi, tout observateur extérieur (muni d’un logiciel adéquat) peut vérifier que le résultat proclamé est conforme aux bulletins des électeurs. Contrairement au vote à l’urne, il est crucial que les autorités ne déchiffrent pas directement les bulletins un à un, car le secret du vote pourrait être compromis. En effet, si quelqu’un a réussi à faire le lien entre un électeur et son bulletin, il connaît immédiatement le vote de l’électeur. Or, ce lien entre électeur et bulletin est présent à différentes étapes. Le prestataire de l’élection y a accès sans conteste puisqu’il doit à la fois authentifier l’électeur et enregistrer son bulletin. Suivant le mode de communication utilisé par l’électeur, par exemple, s’il vote depuis son entreprise, d’autres acteurs sont en mesure d’associer un bulletin à son électeur. Enfin, si l’urne est publique, il est possible d’observer à quel moment un électeur vote et y associer ainsi le bulletin qui apparaît alors dans l’urne. Ce sont à nouveau des techniques cryptographiques qui permettent de déchiffrer le résultat de l’élection, sans déchiffrer individuellement les bulletins originaux des électeurs, préservant ainsi le secret de l’élection.
Enfin, il faut s’assurer que les bulletins proviennent tous d’électeurs légitimes, c’est-à-dire qui ont le droit de voter. Il s’agit de la vérifiabilité de la légitimité. L’objectif est d’éviter le bourrage d’urne ou les faux électeurs. La vérifiabilité de la légitimité dépend beaucoup des moyens d’authentification des électeurs. Si, comme souvent, les électeurs s’identifient seulement grâce à un mot de passe auprès du serveur de vote, l’ordinateur en charge de la collecte des bulletins, alors ce serveur a les moyens techniques d’ajouter des bulletins, sans que cela puisse être contrôlé par des observateurs extérieurs. On touche ici à l’un des points encore mal résolus du vote électronique, à savoir l’authentification de l’électeur. L’authentification à l’aide d’identifiants reçus par mail ou par courrier donne de faibles garanties sur le fait que c’est bien l’électeur qui vote. Il lui est facile de céder ses identifiants à un tiers, que ce soit par facilité (un ami vote pour moi), contre rétribution, ou en raison du vol des identifiants (courrier intercepté par le facteur ou un membre de la famille). Certains pays, comme l’Estonie, s’appuient sur une carte d’identité numérique, qui permet de signer électroniquement les bulletins de vote et d’assurer un meilleur niveau d’authentification.
Quelles propriétés doit satisfaire le vote électronique ?
Secret du vote : nul ne doit savoir comment j’ai voté. Pour cette raison, le vote est chiffré dès le poste de l’électeur et la clé de déchiffrement est répartie entre plusieurs autorités de confiance. Personne, pas même le prestataire de vote, ne doit être en mesure de reconstruire la clé.
Sans reçu/résistance à la coercition : un électeur ne doit pas pouvoir prouver pour qui il a voté ni pouvoir céder son matériel de vote. L’objectif est de résister à l’achat de vote ou la coercition.
Vérifiabilité de l’intention : l’électeur doit pouvoir vérifier que son bulletin chiffré contient bien son intention de vote.
Vérifiabilité individuelle : l’électeur doit pouvoir s’assurer que son bulletin est bien présent dans l’urne. Souvent, cette propriété est rendue possible par la publication des bulletins chiffrés ou de leurs empreintes.
Vérifiabilité universelle : chacun doit pouvoir contrôler que le résultat proclamé correspond aux bulletins dans l’urne. Ce sont en général des fonctions cryptographiques avancées qui permettent de telles vérifications, sans compromettre le secret du vote.
Vérifiabilité de la légitimité : chacun doit pouvoir vérifier que les bulletins proviennent uniquement d’électeurs légitimes. L’objectif est de prévenir le bourrage d’urne.
Spécifications publiques : le fonctionnement du système doit être public. Des documentations précises doivent être mises à disposition, d’une part à destination des électeurs et du grand public et d’autre part à destination d’experts du domaine, de manière à pourvoir mettre en œuvre les différentes étapes de la vérifiabilité.
Les préalables à l’utilisation du vote électronique
Une grande difficulté du vote électronique est sa complexité. À l’heure actuelle, nous sommes très loin d’atteindre la transparence du vote à l’urne. Un préalable à toute forme de transparence dans le contexte du vote électronique est la publication des spécifications. Les notions de vérifiabilité évoquées n’ont pas de sens sans spécifications publiques : on ne sait pas ce qu’on vérifie ! Des informations précises et compréhensibles doivent être données au grand public : qui fabrique les clés de déchiffrement ? Où sont stockés les bulletins ? Comment vérifier que son vote est bien pris en compte ? Comment fonctionne le dépouillement ? Les spécifications doivent également renseigner les personnes plus expertes sur le mode de chiffrement utilisé, le format des bulletins et l’utilisation des autres fonctions cryptographiques. Dans le domaine de la sécurité informatique, rendre public le système utilisé est une pratique courante qui renforce la sécurité du système. Ainsi, le protocole TLS, colonne vertébrale de la sécurité des communications sur Internet, est entièrement public. Il est examiné en permanence par des experts de compétences et d’horizons variés. Il n’est pas acceptable que des électeurs se fassent opposer « le besoin d’en connaître » lorsqu’ils demandent des informations sur le système de vote qu’ils utilisent. C’est pourtant le cas en France, où la plupart des entreprises refusent de communiquer le système qu’elles proposent, arguant du secret industriel. D’autres pays comme la Suisse ou la Norvège ont au contraire exigé la publication de la description du système, ainsi que de tout le code source utilisé.
Dans un avis, la Commission nationale de l’informatique et des libertés (CNIL) recommande de ne pas utiliser le vote électronique pour les élections politiques.
Un deuxième point nécessaire au vote électronique est la mise au point d’une réglementation précise et rigoureuse. Celle-ci doit cependant pouvoir s’adapter aux besoins de sécurité variables suivant les élections, et il faut prendre en compte l’éventuelle difficulté à organiser un scrutin à l’urne, par exemple, dans le cas des élections des Français de l’étranger. La Commission nationale de l’informatique et des libertés (CNIL) effectue depuis plus de vingt ans un travail de fond en ce sens. Leurs dernières recommandations de 2019 définissent trois niveaux de sécurité, suivant l’enjeu de l’élection. Le niveau 3, le plus élevé, correspond aux élections de représentants du personnel dans de grandes entreprises, avec possiblement des relations conflictuelles. Et pour les élections politiques, dont l’enjeu est a priori plus fort ? Dans son avis, la CNIL recommande de ne pas utiliser le vote électronique pour ce type d’élections.
Selon nous, ce travail de réglementation demande à être poursuivi selon deux axes. D’une part, les propriétés attendues doivent être clarifiées pour chaque niveau : à qui accepte-t-on de faire confiance ? Le prestataire peut-il être en mesure de connaître les votes ? De modifier le résultat ? Fait-on confiance en la solidité des ordinateurs des électeurs ? D’autre part, des niveaux supérieurs doivent être définis pour des élections à plus forts enjeux que les élections en entreprise. Pour les élections politiques, en particulier, il est nécessaire de décider à l’avance, de façon transparente, ce qui est acceptable et ce qui ne l’est pas, plutôt que de s’accommoder de ce qu’on sait faire, faute de mieux. On pourrait ainsi s’inspirer de la Chancellerie fédérale suisse qui a formulé des exigences précises et très poussées pour l’organisation de ses élections. Il faut s’autoriser à déterminer la sécurité voulue pour chaque niveau d’élection, même si certains niveaux ne sont pas atteignables à l’heure actuelle.
Sans une réglementation poussée et des spécifications publiques, ni la France ni la technique ne seront prêtes pour un vote électronique sûr et transparent.
- Véronique Cortier et Pierrick Gaudry travaillent respectivement dans le domaine des méthodes formelles et de la sécurité et celui de la cryptographie. Un de leurs thèmes de recherche est la sécurité du vote électronique. Ils sont en particulier les concepteurs et développeurs, avec Stéphane Glondu (ingénieur de recherche INRIA), de la plateforme de vote Belenios (https://www.belenios.org/). Cette plateforme, libre et gratuite, permet à chacun d’organiser une élection. En 2021, elle a été utilisée pour mettre en place plus de 2 000 élections. Véronique Cortier et Pierrick Gaudry sont auteurs d’un livre sur le vote électronique, à paraître au printemps 2022 chez Odile Jacob.
