L’essor d’Internet vers la fin des années 1990 a conduit plusieurs personnes à s’interroger sur la possibilité d’utiliser ce support pour améliorer l’efficience, l’efficacité et la légitimité des élections. Diverses administrations ont réalisé des études et des expériences, avec des résultats mitigés. Il en ressort surtout que le vote par Internet comporte de nombreux risques qui doivent être bien évalués avant d’envisager un déploiement à grande échelle.

Pourquoi envisager le vote par Internet?

L’avantage le plus évident du vote par Internet est sa commodité pour l’électeur. Peu importe à quel point les lieux de vote sont bien conçus et répartis, il ne peut y avoir d’endroit plus commode pour voter que sa propre maison. En rendant la participation électorale aussi facile que l’entrée sur un site Web, la sélection de quelques cases sur un formulaire et le clic sur un bouton « votez », le taux de participation des électeurs et donc la légitimité des résultats pourraient sans doute être grandement améliorés. Un tel système permettrait par ailleurs de réaliser d’importantes économies dans la mise en place et l’exploitation de bureaux de vote, si le vote par Internet atteignait un certain niveau. Le dénombrement des votes électroniques peut être plus rapide et plus facile que le dépouillement traditionnel des bulletins papier ou même les systèmes à lecture optique ou à cartes perforées.

Il existe trois formes de vote par Internet :

• le vote par Internet à un bureau de vote : les électeurs se servent de machines placées dans les lieux officiels de vote. L’équipement et le logiciel sont contrôlés par des administrateurs électoraux. L’authentification des électeurs peut se faire par des méthodes traditionnelles;
• le vote par Internet dans un kiosque : les électeurs votent à des machines contrôlées par l’OGE et situées dans des endroits publics (centres commerciaux ou autres). L’environnement physique et l’authentification ne sont pas directement contrôlés par l’OGE;
• le vote par Internet à distance : ni les machines ni l’environnement physique ne sont contrôlés par l’OGE.

Tandis que les deux premières formes sont potentiellement plus sûres, elles présentent peu d’avantages par rapport aux méthodes traditionnelles de vote. Le vote par Internet est le plus attrayant dans les systèmes où les usagers peuvent s’authentifier et voter dans le confort de la maison, au travail ou à des terminaux publics. Malheureusement, c’est alors que se présentent les plus gros risques en matière de sécurité.

Implications du vote par Internet à distance pour la sécurité

Les avantages potentiels du vote par Internet doivent être soupesés en regard des risques. Comme il a été souligné ailleurs, quelles que soient les méthodes de vote choisies, chaque élection doit satisfaire aux mêmes critères : le secret et l’anonymat du vote, l’impartialité, l’exactitude et la transparence.

Tout système de vote, qu’il utilise le crayon et le papier, des cartes perforées, l’enregistrement électronique direct (EED) ou toute autre méthode, doit faire en sorte que les électeurs soient identifiés et que leur vote soit compté correctement. Dans la plupart des cas, il faut par ailleurs qu’il n’y ait aucun moyen d’associer un vote donné à un électeur donné. Il est aussi essentiel que les électeurs fassent confiance aux résultats. En d’autres termes, le système doit non seulement répondre aux exigences de base, mais il doit le faire d’une façon qui est claire et bien comprise par tous les participants. Chaque méthode de vote doit être tout aussi secrète, anonyme, impartiale, exacte et transparente qu’un système papier-crayon bien géré :

De fait, le meilleur modèle pour une élection publique est celui de commis parfaits dans un système de bulletins de vote en papier. Une telle élection serait anonyme (évitant la collusion ou la contrainte), secrète (tous les votes restent inconnus jusqu’à la fin de l’élection) et pourtant exacte (tous les votes sont comptés) et honnête (personne ne vote deux fois ou ne change le vote d’un électeur); elle peut aussi être complète (tous les électeurs doivent soit voter, soit justifier leur absence). Dans un tel système, si nous connaissons l’électeur (grâce à l’inscription des électeurs), nous ne pouvons pas connaître le vote; et si nous connaissons le vote (lors du dépouillement), nous ne pouvons pas connaître l’électeur. Après une élection, tous les votes et tous les électeurs sont publiquement connus, mais le lien entre eux est impossible à prouver et à connaître.

Adapté de SafeVote Inc., Voting System Requirements, The Bell, février 2001

Tout système de vote purement électronique doit prendre en compte la nécessité de protéger l’exactitude du dépouillement en l’absence d’une représentation physique du bulletin de vote. Pour une discussion complète de cette problématique, voir le sujet Enregistrement électronique direct (EED). En plus de ces préoccupations, le vote par Internet est exposé à d’autres risques dus à l’insécurité inhérente de l’ordinateur de l’électeur et de la connexion réseau entre cette machine et le serveur central.

De nos jours, plus de 90 % des ordinateurs domestiques utilisent une version du système d’exploitation Windows de Microsoft. Celui-ci a été conçu avant tout pour plaire aux usagers, et non pour servir à des fins où la sécurité est primordiale. Peu d’efforts ont été déployés pour compartimenter les applications incontrôlables et les empêcher d’altérer de façon indésirable le fonctionnement de tout le système. Cet environnement fondamentalement exposé, avec la propagation de macro-langages dans des applications comme Word ou Outlook, offre un terreau fertile pour toutes les nuisances informatiques possibles (virus, vers, logiciels espions, chevaux de Troie, etc.). En dépit de l’usage répandu de pare-feu et antivirus, il a été estimé que 20 % des ordinateurs personnels sont infectés par un type quelconque de programme malveillant (voir Your PC May Be Less Secure Than You Think). En somme, les concepteurs des systèmes de vote par Internet ne peuvent pas garantir que les ordinateurs domestiques des électeurs n’ont pas été compromis de manière à mettre en doute la fiabilité du vote.

Sécuriser la connexion entre l’ordinateur domestique de l’électeur et le serveur central est aussi problématique mais, dans ce domaine, l’usage adéquat du chiffrement à clé publique peut raisonnablement assurer l’intégrité de la communication. En particulier, les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) utilisés par les navigateurs et serveurs Internet pour créer des canaux sécurisés (pour le commerce électronique et les services bancaires en ligne, par exemple) ont été conçus pour empêcher l’attaque dite « de l’intercepteur ». Dans celle-ci, une transmission réseau est détournée par un agresseur qui a réussi à contrôler le canal à travers lequel les deux terminaisons de l’opération communiquent. SSL utilise des clés cryptographiques signées qui ont été vérifiées par une autorité de certification. Il est ainsi impossible à un agresseur de modifier le contenu d’une communication sans révéler l’attaque.

Malheureusement, même si cette solution est utilisée adéquatement, d’autres types d’agression restent possibles. Un déni de service survient lorsqu’un agresseur est capable d’empêcher le bon fonctionnement d’une communication. Généralement, il le fait en surchargeant l’une ou l’autre des terminaisons de la communication. Une usurpation (spoofing) a lieu lorsque l’une des parties communicantes établit sans le savoir une connexion sécurisée vers un site contrôlé par un agresseur.

L’« hameçonnage » est une variante répandue de l’usurpation : un internaute reçoit un courriel l’invitant à cliquer sur un lien pour accéder à un site imitant à la perfection un site commercial légitime (p. ex. une banque). Il est appelé à y « réinscrire » d’urgence des coordonnées personnelles confidentielles (p. ex. numéro de carte de crédit, mots de passe). Ce type de fraude est relié à une forme plus générale d’agression communément appelée ingénierie sociale. Celle-ci outrepasse les mesures de sécurité en ciblant les internautes crédules.

Pour une discussion informée sur la fausse sensation de sécurité créée par le déploiement à grande échelle des protocoles SSL/TLS, voir The Maginot Web.

Malgré l’usage répandu d’Internet pour des transactions financières, son application au processus électoral est difficile pour deux raisons principales. Premièrement, dans la plupart des systèmes électoraux, aucun lien ne peut être créé entre l’électeur et son vote : les fonctions d’enregistrement et d’audit qui sont la norme dans le monde financier sont inapplicables aux systèmes de vote en ligne. Deuxièmement, les anomalies de transmission ou d’enregistrement des votes ne peuvent pas être corrigées par la suite. Au mieux, les votes en cause sont invalidés; au pire, toute l’élection est annulée. Un tel résultat pourrait miner la confiance du public dans l’ensemble du processus électoral.

Pour une discussion plus complète des implications du vote par Internet pour la sécurité en général, voir l’article Security Considerations for Remote Electronic Voting over the Internet rédigé par Avi Rubin de l’Université Johns Hopkins.

Exemples réels du vote par Internet

Le canton de Genève en Suisse est peut-être le premier régime électoral au monde à utiliser le vote par Internet sur une grande échelle. Depuis 2003, les citoyens du canton ont l’option d’exprimer leur suffrage en ligne. Les motivations de ce déploiement et les stratégies élaborées pour surmonter les problèmes de sécurité décrits ci-dessus sont du moins en partie reliées à la spécificité de Genève, ce qui limite l’applicabilité de cette expérience à d’autres régimes électoraux.

Genève a ceci de particulier que ses citoyens sont appelés à voter très souvent (quatre à six fois par an plutôt qu’une fois toutes les quelques années comme c’est le cas ailleurs). La raison en est que dans ce canton, tout vote parlementaire est sujet à l’approbation de la population. En conséquence, les autorités genevoises sont exposées à de fortes pressions en vue de simplifier le processus électoral. C’est ainsi qu’en 1995, les administrateurs électoraux de Genève ont mis en œuvre un système de vote postal. Celui-ci a rapidement été adopté par la population, augmentant le taux de participation des électeurs de 20 %.

L’acceptation du vote postal a eu pour effet de réduire quelque peu les exigences en matière de sécurité et d’adhésion du public applicables à d’autres formes de vote à distance. Tout nouveau système ne doit assurer que le même niveau de sécurité et d’adhésion que le vote postal. Ainsi, les électeurs inscrits à Genève reçoivent des cartes de vote par la poste. Celles-ci contiennent les informations leur permettant d’exprimer leur suffrage par retour du courrier. Le vote par Internet est simplement perçu comme étant une extension de ce service bien établi. Les concepteurs du système n’ont pas prévu des façons de contrer toute possibilité de fraude. Ils font confiance aux normes socioculturelles du canton de Genève et aux mécanismes déjà prévus par la loi.

Pour une vue d’ensemble de l’expérience genevoise du vote par Internet, voir le site Web sur le vote électronique du canton de Genève. Pour une description détaillée des risques et des contre-mesures élaborées par les réalisateurs du système de vote par Internet de Genève, voir le rapport sur le traitement du problème de la sécurité des plates-formes pour le vote par Internet à Genève.

Une autre expérience importante de vote par Internet a été menée par l’armée américaine sur ses bases d’outre-mer, mais avec un résultat encore plus décevant. Un projet pilote initial a été mené pendant l’élection générale de novembre 2000, mais malgré un coût de plus de 6,2 millions de dollars américains, seuls 84 militaires ont voté en ligne. De plus, ce projet a été généralement perçu comme n’ayant pas su répondre à des questions cruciales de sécurité (voir Internet Voting Project Cost Pentagon $73,809 Per Vote).

Malgré tout, le projet s’est poursuivi dans le cadre du Programme d’assistance fédérale au vote (FVAP), sous le nom d’Expérience d’inscription et de vote électroniques sécurisés (SERVE), pour un déploiement à plus vaste échelle lors de l’élection générale de novembre 2004. Auparavant, un groupe d’experts en sécurité informatique avait produit une étude détaillée du système et était arrivé à cette conclusion :

« L’obstacle réel au succès n’est pas un manque de vision, de compétences, de ressources ou de volonté. C’est le fait qu’étant donné la technologie actuelle d’Internet, la sécurité des ordinateurs et l’objectif d’un système de vote à distance tout électronique et sûr, le FVAP a entrepris une tâche essentiellement impossible. Il n’y a vraiment aucune bonne façon de construire un tel système de vote sans un changement radical dans l’architecture générale d’Internet et de l’ordinateur personnel ou sans percées révolutionnaires en matière de sécurité. Le projet SERVE est donc trop en avance sur son temps et il ne devrait pas être réexaminé avant qu’il n’y ait une infrastructure sécuritaire améliorée servant de fondation. »

A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE)

À la suite de ce rapport, le sous-secrétaire à la Défense des États-Unis Paul Wolfowitz a annoncé l’annulation du projet en février 2004, au motif de problèmes de sécurité non résolus (voir Pentagon halts Internet voting system).

Conclusions

Il est probable (voire inévitable) que le scrutin par Internet sera un jour très répandu. D’ici là, les concepteurs et les réalisateurs de ce type de système devront surmonter beaucoup d’obstacles. Le plus important est le fait que de nombreux éléments essentiels échappent au contrôle de l’administration électorale. Il sera ainsi difficile d’arriver à faire confiance à de tels systèmes de vote tant que l’architecture aussi bien des ordinateurs personnels que d’Internet n’aura pas sensiblement évolué.

Un des auteurs du rapport sur le projet américain SERVE, David Jefferson, des Laboratoires nationaux Lawrence Livermore à Berkeley (Californie), a écrit ce qui suit :

« Les systèmes de vote par Internet sont vulnérables aux agressions de déni de service et d’usurpation, au code malveillant, aux logiciels espions, à la gestion à distance et à la vente automatisée des votes. Ces attaques sont assez puissantes pour compromettre un grand nombre de votes, que ce soit en excluant des électeurs, en espionnant leurs suffrages, en les modifiant ou en les achetant. Ces tentatives peuvent souvent réussir et possiblement modifier les résultats d’une élection, tout en passant inaperçues. Elles peuvent être menées par n’importe qui et depuis n’importe où sur la planète; les agresseurs potentiels peuvent être aussi bien des adolescents perturbés que des gouvernements étrangers.

Ces vulnérabilités sont fondamentales. Elles ne peuvent pas être contournées ou corrigées avec le matériel, les logiciels et les protocoles Internet actuels. Tant que l’architecture des moyens de sécurité d’Internet et des ordinateurs personnels ne sera pas complètement reconsidérée et que les nouveaux concepts ne seront pas largement déployés, ce qui exigera sans doute au moins dix ans, le vote par Internet dans les élections publiques doit demeurer hors de question. »

David Jefferson, The Inherent Security Vulnerabilities with Internet Voting (résumé)

Dans ce même contexte américain, Bruce Schneier (expert américain en sécurité informatique et en cryptographie) a émis un avis similaire :

« La construction d’un système sécurisé de scrutin basé sur Internet est un problème très difficile, plus difficile que tous les autres problèmes de sécurité informatique auxquels nous nous sommes attaqués sans succès. Je crois que les risques pour la démocratie sont trop grands pour l’essayer. »

Bruce Schneier, Crypto-Gram, le 15 février 2001