Tandhruil a écrit :



Choix 3)

Je dispose d’une certaine expertise dans la conception de solutions dédiées à la certification de l’intégrité de données collectées.

Et effectivement ça nécessite de concevoir une chaine de mise en oeuvre un peu complexe nécessitant de la rigueur dans le respect des procédures, surtout en phase d’intégration et de maintenance.



Mais bon tu es si affirmatif dans ta réponse que je ne penses pas que nous pourrons converger. Je dois donc faire parti des conspirationnistes/trolls





Et si tu prenais un peu de recul sur ton boulot, tu te rendrais compte rapidement que pour certifier l’intégrité des données collectés, tu dois connaitre le contenu des données collectés (perte d’anonymat) pour valider que ce que tu stock est bien égal à ce qui a été collecté. (sachant en plus que dans le cadre de l’intégrité par hash/certificat, on a déjà prouvé que c’était fiable jusqu’à une certaine mesure, puisque des collusions existent ou deux textes/certificats différents ont le même hash : FBI, CIA Snowden tout ça…)



CQFD.



Pour le reste comme tu le dis, c’est une chaine de confiance, mais dans tous les cas, quelqu’un ou un groupe plus ou moins important aura accès à la correspondance personne <-> vote, ce qui brise l’anonymat du vote.

Même si tu penses que blablabla on sépare les BDD entre plusieurs entités indépendante blablabla et les ID pour éviter les JOIN entre les BDD en masquant les données identification blablabla lorsque tu publies la base jusqu’à ce que…et tout se retrouve en ligne, où qu’un politique trop zélé arrive au pouvoir et se serve de la base pour traquer des opposants…



On peut ne rien en penser, mais ça reste une régression (très) importante par rapport à la sécurité du vote papier, avec des perspectives de fraude sans commune mesure, potentiellement indétectable, avec une chaine de confiance qui vaut ce qu’elle vaut même sans connexion internet (constructeur -> technicien -> Acheteur -> transporteur  -> Technicien -> Mairie -> Technicien -> Stockage -> Technicien -> bureau de Vote) et des coûts mirobolants pour en assurer la certification (beaucoup trop d’intervenants et de machines à vérifier/contrôler).



Et faut bien te dire que des gens sont morts jusqu’à ce qu’on arrive à l’anonymat du vote, ça n’a pas été instauré “pour rien” ni “par hasard”. Ça a été fait car des pressions très importantes (“consigne de vote”) sont données par des gens au pouvoir/avec du pouvoir (musculaire, financier, politique etc.).

Tandhruil a écrit :



Je ne comprends pas ton obstination à vouloir absolument associer électeur et vote. La seule raison serait de partir du principe que la solution mise en œuvre, dès sa conception est déjà corrompue.

Si c’est le cas ce n’est effectivement pas la peine d’aller plus loin.



Au delà de cet aspect il faut donc garantir l’intégrité du vote réalisé pendant la durée du scrutin et l’intégrité de l’application pendant la durée de vie de la machine.

Compte tenu de la simplicité du processus de vote on peut considérer que l’application IHM comprise peut tenir sur une EPROM.

Il faut donc interdire l’accès physique à l’EPROM (cadenas+scellé) si un doute existe, remplacement de l’EPROM par une personne habilité.

Il faut interdire l’accès logique à l’EPROM en bridant l’IHM aux seuls interactions nécessaires pour voter (import/export de données texte, purge des bases, action de vote)

Quels sont les données externes :

Listes électorales du bureau de vote, listes des candidats, liste des votant, liste des bulletins exprtimés.

Aucune de ces données ne sont confidentielles. Elle peuvent être certifiées par un checksum le tout en ASCII afin de limiter la possibilité d’intégration de code externe.



Maintenant si effectivement il existe quelqu’un capable de reprogrammer une EPROM sans accès physique à travers une interface bridée ou en injectant du code autoexecutable en ASCII, il faut vraiment s’inquiéter parce que ça compromet un nombre important d’automates associé à la sécurité (militaire, nucléaire,…)





Oui, des gens en sont capables, et ça se fait sans arrêts en informatique :

-On va planquer des virus dans le BIOS / UEFI de ton PC et aucun antivirus/formatage/détection ne va le voir sauf à aller vérifier exactement où il se trouve.

-Les constructeurs/transporteurs placent des backdoors dans les équipements avant de les envoyer aux entreprises finales (Voir Cisco/HP avec Snowden et le FBI/CIA qui remplacent les firmware par des vérolé des équipements réseau à destination de l’Europe)

-La CIA a virusé à distance les infrastructure Nucléaire de l’IRAN en faisant du hop de  clé usb en clé usb (alors que ce sont des infra vital hors réseau hein, pas l’infra du coin).



Alors, tu as le droit de croire que des dizaines de milliers de machines à voter répartis dans des milliers de site divers et variés avec des milliers d’intervenants sont ultra-sécurisables, mais clairement, clairement, c’est le niveau 0 de la sécurité, et c’est juste impossible de garantir quoi que ce soit vu ces contraintes.



La sécurité informatique, c’est simple : Il faut rendre le “coût” du piratage supérieur au gain du dit-piratage avec des éléments de sécurité associé. Et quand il s’agit d’élections politiques importantes (ie : président de la république d’un pays) le gain potentiel pour un groupe extérieur de placer son “pion” est énorme, et le coût pour assurer une sécurité minimale sur des milliers d’automate et de personnes est gigantesque voire impossible.

Ie : Tu auras une sécurité pourri et des gains potentiel énorme de truquer une élection.



Et ça ne change toujours rien à la perte de l’anonymisation, car si tu anonymise, tu n’as plus AUCUN moyen de détecter la fraude. Ce qui est inacceptable. Et si tu accepte de dire à ton patron : “Vos données sont fiables et certifiés conforme mais je n’ai aucun moyen de vérifier”, moi pas. 

Tandhruil a écrit :



Relie le point 2) de mon texte. Il existe des processus qui permettent de s’assurer que des données n’ont pas été altérées.

Bien sur qu’il n’existe pas de processus qui empêche à100% de les altérer.

Comme je l’explique, c’est le principe du scellé sur l’urne.



Et comme je l’expliquais plus haut rien n’impose que les système de vote soient connectés ou que les coordonnées des votants soient stockées en claire.

Et comme je l’expliquais plus haut, si on est capable de fournir un système informatique fiable pour piloter un avion de ligne, je ne vois pas pourquoi on ne pourrait pas fournir un système informatique fiable pour voter (qui est un processus beaucoup moins complexe que piloter un avion de ligne).





Encore une fois, je ne peux pas reprendre à 0 un sujet aussi technique (d’autant que je ne suis pas expert en intégrité de données non plus). Dans ce genre de cas tu as 2 solutions :



Choix 1)

-Accepter la vérité du consensus des experts qui te dit que le vote électronique, tu sacrifies soit l’anonymat, soit la fiabilité du vote (donc tu sacrifie l’anonymat pour conserver la fiabilité), et encore, valable uniquement si l’ensemble (ou la majorité) des citoyens vérifient que leur vote à posteriori correspond bien à ce qu’ils ont voté, sinon ça sert à rien, or tu as 1% des votants qui vont le faire. Et puis tu fais quoi si plein de monde te dit que ce qui est affiché en base ne correspond pas à ce qu’ils ont voté ? Tu vérifies comment qu’ils ne mentent pas ?



Choix 2)

-Te palucher l’ensemble des concepts informatiques et logiciels et des aspects de validation de données pour comprendre ce que tu devrais accepter au point 1 si tu n’as pas confiance dans les experts.



Après je n’ai rien contre faire des votes électroniques/par internet, mais il faut accepter de perdre l’anonymat (voire la fiabilité), sur des votes réguliers “peu important” et des polling en ligne, pourquoi pas, mais si les votes sont peu importants, pourquoi les faire en premier lieu ?

 

Le reste c’est un choix personnel :

Si tu ne fais pas confiance aux experts, auquel cas il faut accepter que tu ne peux pas tout savoir et prendre (et avoir) le temps de faire les recherches nécessaires à la compréhension.

 

Soit tu es conspirationniste/troll, c’est dommage et tu es alors même niveau que les platistes/Antivax (bon, pas au même niveau quand même, ici on peut avoir du mal à comprendre toutes les contraintes techniques et à force d’entendre que l’informatique peut “tout faire”, forcément dès qu’on vient dire “en fait non” forcément ça passe mal).

Parce que comme déjà dit : Il n’existe aucun système électronique fiable contre le hacking. Point. Et tu auras beau garantir que tes donnés n’ont pas été altérés, rien ne te garanti que ce qui y est enregistré correspond à ce que le votant a voté (sauf si perte d’anonymat), et rien non plus ne te garantira que le système qui va relire ces données ne va pas altérer le résultat global (donc l’ensemble de la base doit être partagé pour que tout le monde puisse vérifier le résultat global, sans anonymat donc).

Tandhruil a écrit :



Ca ne me semble quand même pas très compliqué de sécuriser le vote électronique.

Effectivement le maintien de l’émargement manuscrit est essentiel, mais pour le reste :

Création d’autorités validant les listes électorales et les listes de candidats avec pourquoi pas des autorités croisées (Sénatoriale/Exécutive/Municipale)

Émission d’un checksum sur la base de certificats (issus des différentes autorités) pour valider la non altération des données injectées.

Chaque machine équipée de son propre certificat pour signer le résultat.

Comparaison par les bureau de vote des émargements électroniques avec les émargements manuels…



Le tout pouvant être réalisé totalement hors ligne.





Ce n’est pas compliqué le vote électronique, c’est parfaitement faisable.

 Le sujet n’est pas là, c’est que si tu veux un vote fiable, il doit être vérifiable (car l’électronique ça se pirate, et 99.90% des gens sont incapables de voir/comprendre le piratage) donc tu perds l’anonymat du vote.



Donc soit :

-> Perte d’anonymat du vote (que ce soit par une entité indépendante ou pas, on s’en fou, perte d’anonymat du vote où chaque citoyen est rattaché à son vote). Ce qui pose d’énorme problème de fiabilité du vote : Menace au vote, paiement au vote, risque de rétorsion (et c’est pas les exemples qui manque dans les dictatures ou certaines familles où l’on t’oblige à voter pour untel ou untel en t’attendant à la sortie, l’anonymat du vote papier empêche ça, personne ne pourra jamais connaître ton vote, on sait juste que tu as voté).

 Et je n’imagine même pas si la base des votes précédents est piraté et se retrouve sur le net, t’imagine même pas les scandales qui suivront quand tu vas savoir que ton ami/frère/père à voter pour X alors qu’il te dit qu’il vote pour Y quand vous discutez, ou les rétorsions des personnes qui avaient exigés que tu votes pour Y, et les meurtres/violences qui vont suivre,  et tu peux être sûr que ça arrivera !

 

Ou

-> Perte de fiabilité du vote (tu conserves l’anonymat mais tu perds le contrôle du nombre de vote par candidat). Dans ce cas de figure, tu ne peux pas vérifier à posteriori la véracité des votes car tu n’as pas de correspondance électeurs <-> Vote, donc un piratage est invérifiable, si la machine à compter 2 votes pour un candidat et 1 votes pour un autre en gardant le total d’électeurs correct, tu n’as plus aucun moyen de vérifier.

Et PERSONNE ne peut garantir qu’une machine est fiable, on peut la pirater à plein de niveau différent, dans plein de moment différent sur des volumes démentiels (des dizaines voire des centaines de milliers de vote par machine dans les grandes villes).



C’est tout, y’a pas d’autres choix, quelque soit la technologie choisie. Alors la peste ou le choléra ?



Sinon tu gardes le vote papier qui garanti les deux : L’anonymat du vote et la fiabilité (et est contrôlable/vérifiable par le premier Péquenaud venu).

Tandhruil a écrit :



…





C’est plus un automate de décompte qu’un vote électronique alors :



-Tu as juste une machine qui décompte des numéros appuyés (1-2-3-4) et à chaque élection on attribue un numéro à un candidat donc la machine ne doit pas être mise à jour ? (donc pas d’enregistrement des électeurs, de suivi et d’affichage des noms des candidats qui doivent être affiché à côté de la machine).

 

-Ca ne remplace pas l’émargement (car la machine n’a pas la liste des électeurs et ne les identifie pas)

-Ca va faire faire des erreurs aux votants (qui vont appuyer sur le mauvais bouton car ils choisissent un numéro et pas un nom)



Et puis surtout : Comment tu t’assures que la personne dans l’isoloir ne vote qu’une seule fois si il n’y a pas d’authentification des électeurs ? Il y a un employé de mairie qui doit appuyer sur un bouton pour autoriser le vote suivant dans l’isoloir ? Ça revient au même que l’employé de mairie qui ouvre l’urne pour glisser l’enveloppe, en terme de personnel c’est kif-kif. 



Tu auras juste les résultats “plus vite” en regardant le décompte de chaque numéro à la fermeture du bureau de vote, mais tu auras toujours le même nombre de personnel et même plus de risque de fraude car appuyer 2-3-4 fois à chaque passage est nettement plus aisé que glisser 2-3-4 enveloppe dans l’urne.

 

Et si il y a un écart entre la feuille d’émargement et le décompte de l’automate ? Tu l’as littéralement dans le C*l car comme dit plus haut, plus aucun moyen de vérifier (Anonymat), donc tu dois refaire toute l’élection…



  





Rowin a écrit :



En fait pour moi le problème est plus large que de savoir si il est techniquement faisable de mettre en place un système de vote électronique fiable. Admettons que ça soit possible. Mais ça ne pourra l’être qu’à l’aide de solutions techniques complexes, compréhensibles uniquement par des experts ou au moins des gens du métier et non auditables par le citoyen lambda.

Or le système électoral étant à la base de notre système démocratique (puisque c’est lui qui permet de désigner les gens qui in fine désigneront les experts chargés d’auditer le système), il faut que chaque citoyen puisse avoir un contrôle et une confiance absolue dans le système et ça n’est possible que si chaque citoyen peut comprendre et vérifier la sincérité du scrutin.

Comme dit plus haut, on peut retrouver informatiquement l’équivalent du concept du scellé physique de l’urne. La différence c’est qu’un scellé physique c’est un concept que chacun peut appréhender, pas tout un protocole à base de signature et de certificats.





En partant dans la philosophie, on pourrait même remettre en cause le système démocratique dans son ensemble :

-D’après des études que j’ai lu, une (grande) partie des électeurs votent pour la gueule du candidat plutôt que ses compétences/programmes. D’ailleurs les électeurs connaissant le programme (même en grosse maille) du candidat pour qui ils votent représente un % ridicule de la base électorale.



Ce n’est pas un hasard si la taille/gabarie/tête des Présidents sont en moyenne supérieur au reste de la population.

Ce n’était pas forcément le cas avant, mais si aujourd’hui on me demandait qu’elle serait le meilleure système, je serai presque à penser préférer mettre une IA/Regroupement d’expers comme président que le système actuel (au moins un PC c’est froid, binaire, sans sentiment et ça se base sur les faits, et des experts instruits, ça sait plus facilement passer outre nos biais cognitifs et prendre des décisions rationnelles), façon WASTON (IBM) pour la médecine. Ou encore tirer au sort.



Dans ce genre de cas, plus besoin d’élections/vote, on se base sur “les experts” pour prendre les décisions, et on se rapproche d’une oligarchie…mais on s’évite l’ensemble des biais humains qui font prendre des décisions irrationnelles que 95% de la population n’est pas capable d’éviter (parce qu’ils n’en ont pas conscience, sachant que même en les connaissant, on continu à se faire avoir, c’est dire).



(Remarque, avec le vote électronique, ça reviendrait au même, sauf que plutôt que d’avoir choisi le groupe d’expert, c’est le le groupe qui aura le mieux hack les bornes : Il faut regarder les documentaires sur le “marketing” des présidents US et comment le profiling des électeurs leur ont fait gagner les élections, en envoyant au cas par cas les arguments/propagande qu’attendent les electeurs, ça fait froid dans le dos…)

 

Mais je digresse ;)

Tandhruil a écrit :



Non c’est un automate de vote

Tu rentres la listes des électeurs inscrits, la listes des candidats, tu sors la liste des votants (tu peux contrôler le double vote en interdisant les doublons dans la liste des votants) et la liste des votes.

C’est un processus câblé et scellé.

Pour valider l’automate, tu en prends 1 sur 100/500/1000 de façon aléatoire sur la chaine de fabrication et tu le fais voter 1 millions de fois devant huissier.

Si tes 1 millions de vote sont valides, la machine est certifiée.



Pour le processus de vote en lui même il y a des aménagement à faire et de toute façon, en cas de doute les urnes sont toujours là en backup.



Pour les résultats, par exemple mais je n’ai pas étudié à fond le sujet, tu sors 3 copies identiques signées par l’automate, une pour le bureau de vote, une sous scellé pour le conseil constitutionnel ou qui tu veux et une sous scellé à un huissier.

S’il y a un doute sur une source il suffit de la comparer avec une des 2 autres.

EDIT :



Pour le coup tu as une vision archaïque des automates, ils sont capable de faire voler un avion ou arrêter automatiquement une centrale nucléaire.





Non, je reprenais ta prémisse d’une machine qui soit non-modifiable facilement, juste “câblé” avec un “processeur” scéllé et simple de structure.



Ce que tu explique là (rentrer la liste des electeurs, des candidats) n’a rien à voir avec un fonctionnement ROM (Read-Only Memory), qui est modifiable, et on retombe dans mes arguments précédents : Impossible à sécuriser.



Ta vision est incohérente, pour rester poli, tu veux le beurre et l’argent du beurre ou les avantages du “read only” sans les inconvénients. La technique ne marche pas comme cela. La politique oui par contre.



Et peu importe qu’il y ait 3 copies, puisque la modification sera effectué par l’automate : Si tu veux vérifier, il faut la correspondance electeurs <-> Vote = Perte d’anonymat.

Tu pourras chercher longtemps, les connaisseurs du sujet le savent depuis perpette :  Le vote électronique ne respecte pas les 2 règles du vote démocratique, tu peux en choisir 1 mais pas les deux :

-Vérifiable/fiable

-Anonyme.