Le futur système genevois de vote par Internet n'empêche pas qu'un votant puisse prouver ce qu'il vote à un tiers de manière irréfutable, ceci malgré le fait que son vote est encrypté entre son ordinateur personnel et l'urne électronique. Cette faille permettrait à un groupe de citoyens corrompus de vendre leurs droits de vote au plus offrant, au mépris de la loi. Ce délit pourrait se commettre électroniquement, en un temps très court, sans qu'il soit observable par les autorités. Un système de e-voting où le citoyen vote au moyen de son ordinateur personnel peut par conséquent être abusé massivement et fausser les règles de la démocratie.
En décembre 2001 les jeunes qui n'ont pas encore 18 ans pourront tester le vote par Internet. La Chancellerie cantonale effectuera à cette occasion un essai grandeur nature du futur système de e-voting genevois dont le logiciel est actuellement développé par les sociétés Hewlett-Packard (http://www.hewlett-packard.ch/) et Wisekey (https://duckduckgo.com/?q=wisekey). Des experts ont été mandatés par l'Etat pour l'auditer et s'assurer de sa parfaite sécurité.
En tant que citoyen votant à Genève, j'ai demandé plus de précisions au Chancelier et j'ai reçu l'autorisation d'avoir un entretien avec le chef de projet.
Le cahier des charges du futur système de e-voting ainsi que la liste des 10 entreprises qui ont été invitées à répondre à l'appel d'offres ne sont pas encore publics au moment d'écrire cet article.
Pour un projet qui touche de si près l'exercice de nos droits politiques, on peut regretter ce manque de transparence. En Australie, pays très avancé dans ce domaine, les autorités de Camberra ont choisi de tout montrer. Des informations sur l'ensemble du processus étaient disponibles à l'adresse http://www.elections.act.gov.au/Elecvote.html.
https://duckduckgo.com/?q=Electronic+voting+site%3A.gov.au
En octobre 2000, la commission électrorale australienne recommandait de ne pas utiliser l'Internet pour voter depuis chez soi mais uniquement pour automatiser les plus grands bureaux de vote. Une des raisons pour ne pas voter au moyen de son ordinateur personnel était d'éviter que l'électeur puisse vendre son vote au plus offrant ("Politics of the Future: The Internet and the Electoral Process" https://www.elections.act.gov.au/__data/assets/pdf_file/0003/833097/polfut.pdf).
Contrairement au projet genevois, le projet australien est développé selon les règles des logiciels libres. En consultant https://www.elections.act.gov.au/elections_and_voting/electronic_voting_and_counting, n'importe qui peut vérifier comment le système est conçu.
La direction du projet genevois de e-voting a posé 17 questions à un groupe d'experts. Lors de mon entretien avec le chef du projet, j'ai pu en prendre connaissance.
L'une d'elle a plus particulièrement attiré mon attention:
L'électeur ne doit en aucun cas avoir la possibilité de prouver comment il a voté (protection contre l'achat ou l'extorsion de vote).
En effet, contrairement aux Landsgemeinde ou aux votes du Grand Conseil où l'on vote en général à main levée, l'expression de la volonté du Souverain à Genève se fait de manière secrète. Une attention particulière est mise, dans les procédures actuelles de vote, sur l'impossibilité d'acheter les votes d'un nombre significatif de citoyens.
Ce garde-fou a pour but, en cas de projections ou sondages relativement serrés, d'empêcher un groupe de pression d'acheter le vote d'un certain nombre de votants et d'ainsi fausser les règles de la démocratie.
L'achat de 200 à 500 votes peut influencer de manière significative une votation, et plus encore, de manière prépondérante cette fois, une élection. On peut imaginer sans trop de peine qu'une frange même très minoritaire de la population électorale soit moins scrupuleuse qu'elle ne le devrait, voir même désintéressée de la chose publique, et qu'elle pourrait accepter contre 50 à 100 francs en espèces de vendre son droit de vote, même si c'est pénalement répréhensible.
Ce risque existe déjà dans la procédure de vote par correspondance que nous connaissons à Genève. Il a été considéré comme au dessous de la limite tolérable par le législateur par rapport aux avantages que procure le vote anticipé: une augmentation significative de la participation aux nombreux scrutins qui sont le fait de notre démocratie directe.
Comme nous allons le démontrer par la suite, ce risque n'est plus négligeable avec le futur système genevois de vote par Internet, tout au contraire. D'autant plus que, grâce à la manière dont Internet fonctionne, l'Etat ne pourrait que très difficilement prouver la fraude pénale des citoyens corrompus qui accepteraient de vendre leur droit de vote.
Dans cet exemple purement fictif, une somme de CHF 10'000.- à 50'000.- en liquide serait suffisante pour imposer une nouvelle loi ou pour siéger dans les instances du canton, ce qui serait probablement moins coûteux mais surtout moins hasardeux que la publicité traditionnelle.
Trois cas sont à évaluer dans cette optique:
Vote dans le local de vote le dimanche matin: la corruption du citoyen s'avère difficile car on est en principe seul dans l'isoloir.
Vote anticipé par correspondance: pour 200 à 500 corruptions, il faudrait démarcher les citoyens indélicats et s'assurer que leur vote soit dans la direction choisie en leur faisant fermer l'enveloppe sous contrôle, ou acheter leur carte de vote dûment remplie et signée. Cette hypothèse demeure peu crédible car la récolte de ces votes corrompus est très voyante. Il faudrait par exemple que 200 à 500 personnes passent par un "local" de vote clandestin, ou démarcher directement un nombre nettement plus élevé de votants pour espérer réussir son forfait.
Vote anticipé par l'Internet: nous allons développer ce cas ci-après.
Le futur système de e-voting genevois est simple. Chaque citoyen reçoit 3 semaines à l'avance son matériel de vote. Avec sa carte de vote personnelle, il peut voter par anticipation par la poste ou par Internet, ou voter de manière traditionnelle le jour du scrutin. La date limite pour voter de manière anticipée est fixée à midi du jour précédent le scrutin.
Fig 1. Vote anticipé par Internet |
Pour voter par Internet. Il faut pointer son navigateur sur le site du service des votations (connextion sécurisée SSLv3, clé de chiffrement à 128 bits) et remplir le formulaire web qui simule un bulletin de vote papier. Dans un second temps, il faut prouver au moyen d'un deuxième formulaire web que l'on est bien habilité à voter. Pour ce faire, on donne le numéro d'identification que l'on trouve sur sa carte de vote, sa date de naissance, la réponse à une autre question personnelle, et finalement le numéro de code personnel que l'on doit découvrir par grattage de sa carte de vote. Une carte de vote grattée ne peut plus être utilisée pour voter par d'autres moyens (par correspondance ou devant l'urne).
Nous allons démontrer que, si l'on vote au moyen de son ordinateur personnel, on ne peut absolument pas garantir que la règle suivante soit respectée:
L'électeur ne doit en aucun cas avoir la possibilité de prouver comment il a voté (protection contre l'achat ou l'extorsion de vote).
A première vue, c'est impossible. Mon vote est encrypté depuis mon ordinateur jusqu'au serveur du service des votations. Pour que mon vote soit intercepté, il faudrait casser la clé d'encryption pendant son transit.
En fait, il existe au moins trois méthodes pour détourner ce que l'algorithme de cryptage essaye vainement d'empêcher.
Acheter la carte de vote d'un citoyen corrompu qui aura l'obligeance d'indiquer sa date de naissance et la réponse aux questions que le système pourra bien lui poser. Ça ne nécessite aucune technologie particulière, ni même une signature.
Passer par un serveur intermédiaire qui pourra observer tous les votes qui transiteront par lui avant de les relayer et de les transmettre au serveur du service des votations. Ce serveur peut également "corriger" les votes qui ne lui plaisent pas. C'est l'objet du chapitre 5.
Voter au moyen d'un navigateur modifié qui copie les données entrées par l'utilisateur et les informations reçues du site du service des votations et les renvoie sur un deuxième serveur, à la manière d'un message électronique envoyé à deux personnes différentes. Cette méthode un peu plus pointue à mettre en oeuvre mais nettement plus discrète est développée dans le chapitre 6.
Surfer sur le Web n'est pas anonyme. Le serveur qui me fournit la page sait quelle adresse IP, quel système et quel type de navigateur j'utilise.
C'est une des raisons pour lesquelles ont été développés des serveurs intermédiaires appelés "proxy" dans le jargon des informaticiens. Ils relayent les requêtes HTTP vers le serveur final tout en cachant leur origine. Une liste de ce type de serveur vous sera fournie en tapant "anonymous proxy" dans votre moteur de recherche préféré.
Ces serveurs "proxy" peuvent également faire des requêtes sécurisées vers le serveur du service des votations, et au prix de modifications mineures, enregistrer et modifier les votes.
Fig. 2 Vote au moyen d'un proxy |
On peut très facilement imaginer que, volontairement, un groupe de votants corrompus utilise le serveur mis en place par une organisation qui est chargée d'acheter illégalement leurs votes. Il n'est même pas nécessaire que ce serveur se trouve dans notre pays.
Les personnes versées dans la technique rétorqueront qu'il suffit de bloquer les adresses IP de ce type de serveur. Il n'existe malheureusement pas d'autres possibilités que la saisie physique du serveur par la police sur mandat d'un juge d'instruction pour s'assurer que, en cas de soupçons fondés, il s'agisse effectivement d'une machine chargée d'acheter des votes. Sans compter qu'il existe des techniques plus subtiles, que nous ne présenterons pas ici, pour mélanger et masquer les adresses d'origine des requêtes Web.
Rappelons encore que ce proxy peut être localisé à l'étranger et que dans ce cas, une saisie du serveur serait très difficile, pour ne pas dire impossible.
Il est possible de modifier un navigateur Web pour qu'il envoie toutes les données entrées par l'utilisateur et celles reçues du serveur consulté à un deuxième endroit.
Fig. 3 Vote au moyen d'un navigateur modifié |
Pour prendre un exemple concret, un développeur chevronné peut modifier aisément la librairie WWW développée en son temps par le CERN et utilisée entre autre par le navigateur lynx (https://lynx.invisible-island.net) pour gérer les connexions avec les sites Web.
Une estimation rapide permet d'affirmer que la modification à effectuer concerne une centaine de lignes de code environ, notamment dans la fonction HTLoadHTTP() du fichier HTTP.c que l'on peut consulter à l'adresse https://lynx.invisible-island.net/release/breakout/WWW/Library/Implementation/HTTP.c.
Il suffit ensuite proposer ce navigateur modifié aux citoyens qui seraient tentés de gagner quelques sous en ne respectant pas la loi.
Dans ce qui précède, nous avons démontré qu'il était possible d'abuser un système de vote par Internet qui permettrait de voter au moyen de son ordinateur personnel.
En conséquence, il est illusoire de penser que voter par Internet chez soi n'apporte finalement pas plus de risques. Les dangers d'une fraude même minime (200 à 500 votes) liés au manque de traçabilité et à la difficulté d'établir des preuves dans le contexte de l'Internet milite en défaveur du e-voting.
Il serait souhaitable qu'un débat de fond soit lancé car l'utilisation d'Internet pour l'expression du pouvoir populaire peut fausser les règles de la démocratie. Il serait intéressant d'entendre des spécialistes du droit constitutionnel, ainsi que des élus à ce sujet.
Les politiciens qui mènent une campagne de promotion en faveur du e-voting ont pour argument principal que cela augmentera la participation des jeunes aux scrutins, car ils sont passionnées par l'Internet et les nouvelles technologies. Ceux qui sont pour le e-voting devront prendre leurs responsabilités face aux risques potentiels engendrés par ce nouveau moyen d'exercer la démocratie.
Ils devraient également savoir que se sont de jeunes et talentueux petits génies de l'informatique qui exploitent les failles des systèmes, certains sont de vraies passoires, pour prouver à leurs copains et au monde entier qu'ils sont les plus forts. Les récentes attaques dues au virus NIMDA démontrent une fois de plus que se connecter à l'Internet n'est pas sans danger (voir https://fr.wikipedia.org/wiki/Nimda).
En l'état actuel de la technique, nous ne pensons pas qu'il soit possible de réaliser un système de vote par Internet qui offre les mêmes garanties que les manières plus traditionnelles d'exercer le pouvoir démocratique.
Recherche "E-Gouvernement" sur le site de la Confédération: https://duckduckgo.com/?q=e-gouvernement+site%3A.admin.ch
La décision de la Chancellerie de la Confédération instituant un groupe de travail e-voting:
http://e-gov.admin.ch/dok/einsetzungsverfugung_evoting_fr.pdf
https://www.admin.ch/cp/d/39b64765_1@fwsrvg.bfi.admin.ch.html
Recherche "E-voting" sur le site de la Confédération: https://duckduckgo.com/?q=e-voting+site%3A.admin.ch
L'opinion de Bruce Schneier, un expert reconnu en sécurité informatique au sujet du vote électronique: https://www.schneier.com/crypto-gram/archives/2000/1215.html#1
La page de Rebecca Mercuri, qui a écrit une thèse de doctorat à l'université de Pennsylvanie sur le sujet: http://www.notablesoftware.com/evote.html
La page du Groupement des utilisateurs Linux du Léman et environs sur l'e-voting: http://www.linux-gull.ch/evote/index.html
Je tiens à remercier mes collègues Arnaud Bresson, Lic. HEI, et Francis Baud, président de la Société suisse des informaticiens section romande (http://www.sisr.ch), pour avoir participé à la rédaction de cet article.
© Copyright 2001 Mathias Schmocker, Genève. Tous droits réservés.