Notes pour un éventuel sujet de recherche

May 2, 2007

aka Random thoughts on an electronic voting system at 2 in the morning.

Le vote, qu'il soit électronique ou non, recquiert trois impératifs :
- Il doit exprimer les intentions des votants.
- Il doit être anonyme.
- Il doit pouvoir être vérifié.

La première raison est évidente : si un scrutin n'est pas l'expression de ceux qui votent, autant ne pas faire de vote du tout. Le second point est impératif pour le respect de la démocratie. Le troisième est pratique et est un impératif à la vérification de la première condition, alors que la seconde est une contrainte. En effet, si les bulletins sont anonymes, en particulier si ils sont électroniques et donc à priori plus facilement falsifiables, comment garantir la validité de la vérification ?

Dans un billet précédent et suite à la lecture d'un papier de Bruce Schneier sur les machines à voter j'étais intervenu en faveur de l'impression papier après tout vote électronique. En effet, si les bulletins papiers sont falsifiables hypothétiquement, c'est en pratique quasiment infaisable car l'urne transparente est en permanence surveillée par les membres des équipes/partis des divers candidats. L'équilibre de sûreté est maintenu un peu comme le foulard rouge au milieu de la corde est maintenu au-dessus de la ligne de partage quand deux équipes de forces égales s'affrontent au tiré de corde. Cet équilibre ne peut évidemment à priori pas être maintenu électroniquement puisque personne n'est capable d'observer un flux d'électrons.
Cependant, la logique voudrait que, quitte à supprimer le papier, autant le supprimer complètement.
Bruce Schneier est, quant à lui, un expert en cryptographie et en sécurité informatique.

La première condition ne peut pas être simplifié. Plus exactement, elle peut l'être et c'est actuellement ce qui se passe dans le système de vote actuel : le résultat est bien souvent essentiellement statistique et le papier de Schneier cité plus haut explique ca très bien : le vote demande de nombreux intermédiaires : du votant au bulletin, du bulletin aux compteurs (qu'ils soient humains ou informatiques), du compteurs au compteur géneral. Dans tous les cas, chaque intermédiaire possède une capacité incompressible à perdre de l'information. Et dans le cas d'une élection très serrée (Schneier reprend le cas de la Floride pendant les élections américaines de 2004) c'est cette imprécision qui pose le plus de problème. Il est donc interessant de vouloir ne pas simplifier ce point.

Pour posséder un troisième point efficace, il est nécessaire de changer légèrement la définition du second point. Au lieu d'un vote parfaitement anonyme, je simplifie par "un vote nominal tel qu'il soit infaisable de déterminer l'identité du votant". Par infaisable on peut décrire tout ce qui prendrait plusieurs dizaines, voire centaines ou même milliards d'années à déterminer si il fallait essayer tous les choix possibles sans avoir recours à la torture sur un nombre grand de personnes. Et la possibilité de la torture n'est pas un argument possible contre le vote électronique car elle est possible également avec le vote papier. A propos de ce dernier argument, je milite pour la protection de la vie privée non parce qu'actuellement des gens pourraient en profiter (les mécanismes de notre démocratie fonctionnant relativement bien) mais parce que nous ne savons pas de quoi demain ou surtout après-demain sera fait et un 1984/Fahrenheit 451 est si vite arrivé... (à moins que ca ne soit de la paranoïa primaire ?). A propos de l'infaisabilité par contre, les mécanismes auxquels je pense et qui sont d'ordre mathématique ne sont éventuellement pas à l'abri d'une découverte révolutionnaire qui les rendraient obsolètes. Cela dit, dans le cas d'une découverte dans ce domaine, l'anonymat dans les scrutins électoraux sera la cadet de nos soucis si l'on considère que c'est, entre autre, la sécurité de tous les organes financiers du monde qui sera remise en question (car oui, les mécanismes auxquels je pense sont les mêmes que ceux utilisés par votre banque).
% Si je veux rendre les bulletins nominaux c'est toujours en faisant référence à Schneier qui souligne la remarque suivante de la part des non-experts en sécurité : "Pourquoi, alors que chaque semaine des milliards de dollars circulent par les distributeurs automatiques avec toute la sécurité que requièrent les banques (une banque qui ne protègerait pas son argent et serait prête à le "donner" à des bandits est totalement contre nature !) sommes-nous incapables d'avoir un système de vote performant ?". Et à juste titre il répond que dans le cas des distributeurs automatiques, les transactions sont numérotées, assignées à un compte bancaire précis qui appartient à une personne définie et qu'en cas de fraude, il est toujours simple d'annuler une transaction puisque l'on sait tout des fraudeurs et victimes puisque l'anonymat n'entre à aucun moment en jeu. En nominalisant les bulletins on rend la vérification possible.

Dans le billet précédent évoqué plus haut, je donnais une technique pour révéler que l'on avait trouvé Charlie sans révéler il se trouvait. Mon but est de développer une technique similaire consistant d'une part à ce qu'un bulletin puisse révéler le nom du candidat désigné sans révéler l'identité du votant, et d'autre part que le votant lui-même puisse vérifier que son propre bulletin a été correctement comptabilisé dans le décompte final. Pour répondre au problème de déperdition d'information, je tiens également à réduire au minimum (c'est-à-dire 1, le bulletin) le nombre d'intermédiaire entre le votant et le décompte définitif.

Sur une note complémentaire, j'ajouterais qu'un tel système basé sur l'électronique se heurtera quoi qu'il arrive à la réticence d'un public non formé aux arcanes des mathématiques, évidemment moins intuitives que de voir une enveloppe tomber dans une urne transparente. Et requiert une confiance en la science et les mathématiques. A aucun moment cependant je ne compte requérir du public une confiance en les machines qu'il va utiliser (ce qui est actuellement le cas et qui est parfaitement aberrant) ni en le gouvernement ni en personne d'autre qu'eux mêmes ou d'autres personnes en qui ils ont déja confiance (je pense ici à l'attribution de clés privées que chaque électeur devra se procurer auprès d'entreprises spécialisées). Il est possible que je fasse intervenir des scrutateurs contradictoires qui eux auront à avoir une confiance statistique en des machines qu'ils auront programmées eux-mêmes (ce qui est acceptable). Egalement, il sera interessant de considérer des techniques où la vérification est sûre, ou au moins supérieure à une fraction raisonnablement faible (il est possible que la probabilité soit inférieure à 1 sur mille milliard de milliard).
Une partie pourrait éventuellement être consacrée à l'authentification des votants, bien que cela ne soit pas une priorité absolue dans le cas où le scrutin continuerait à se dérouler dans un bureau de vote, mais qui peut devenir un questionnement interessant si le public venait à accepter l'idée d'un vote par internet.
Et évidemment, pour montrer que tout cela est sûr, j'essaierais de découvrir les failles de mon système, les moyens de les utiliser et évidemment de les colmater.

Avec un peu de chance, en 2017 on votera tous par mail...