L’essor d’Internet
vers la fin des années 1990 a conduit plusieurs personnes à s’interroger sur la
possibilité d’utiliser ce support pour améliorer l’efficience, l’efficacité et
la légitimité des élections. Diverses administrations ont réalisé des études et
des expériences, avec des résultats mitigés. Il en ressort surtout que le vote
par Internet comporte de nombreux risques qui doivent être bien évalués avant d’envisager
un déploiement à grande échelle.
Pourquoi
envisager le vote par Internet?
L’avantage
le plus évident du vote par Internet est sa commodité pour l’électeur. Peu
importe à quel point les lieux de vote sont bien conçus et répartis, il ne peut
y avoir d’endroit plus commode pour voter que sa propre maison. En rendant la
participation électorale aussi facile que l’entrée sur un site Web, la
sélection de quelques cases sur un formulaire et le clic sur un bouton
« votez », le taux de participation des électeurs et donc la
légitimité des résultats pourraient sans doute être grandement améliorés. Un
tel système permettrait par ailleurs de réaliser d’importantes économies dans
la mise en place et l’exploitation de bureaux de vote, si le vote par Internet
atteignait un certain niveau. Le dénombrement des votes électroniques peut être
plus rapide et plus facile que le dépouillement traditionnel des bulletins
papier ou même les systèmes à lecture optique ou à cartes perforées.
Il existe
trois formes de vote par Internet :
- le vote par Internet à un
bureau de vote : les électeurs se servent de machines placées dans les
lieux officiels de vote. L’équipement et le logiciel sont contrôlés par
des administrateurs électoraux. L’authentification des électeurs peut se
faire par des méthodes traditionnelles;
- le vote par Internet dans un
kiosque : les électeurs votent à des machines contrôlées par l’OGE et
situées dans des endroits publics (centres commerciaux ou autres). L’environnement
physique et l’authentification ne sont pas directement contrôlés par l’OGE;
- le vote par Internet à
distance : ni les machines ni l’environnement physique ne sont
contrôlés par l’OGE.
Tandis que les deux premières formes sont potentiellement plus sûres,
elles présentent peu d’avantages par rapport aux méthodes traditionnelles de
vote. Le vote par Internet est le plus attrayant dans les systèmes où les
usagers peuvent s’authentifier et voter dans le confort de la maison, au travail
ou à des terminaux publics. Malheureusement, c’est alors que se présentent les
plus gros risques en matière de sécurité.
Implications
du vote par Internet à distance pour la sécurité
Les avantages
potentiels du vote par Internet doivent être soupesés en regard des risques.
Comme il a été souligné ailleurs, quelles que soient les méthodes de vote
choisies, chaque élection doit satisfaire aux mêmes critères : le secret
et l’anonymat du vote, l’impartialité, l’exactitude et la transparence.
Tout
système de vote, qu’il utilise le crayon et le papier, des cartes perforées, l’enregistrement électronique direct
(EED) ou toute autre méthode, doit faire en sorte que les électeurs soient
identifiés et que leur vote soit compté correctement. Dans la plupart des cas,
il faut par ailleurs qu’il n’y ait aucun moyen d’associer un vote donné à un
électeur donné. Il est aussi essentiel que les électeurs fassent confiance aux
résultats. En d’autres termes, le système doit non seulement répondre aux
exigences de base, mais il doit le faire d’une façon qui est claire et bien
comprise par tous les participants. Chaque méthode de vote doit être tout aussi
secrète, anonyme, impartiale, exacte et transparente qu’un système
papier-crayon bien géré :
De fait, le meilleur modèle pour une élection
publique est celui de commis parfaits dans un système de bulletins de vote en
papier. Une telle élection serait anonyme (évitant la collusion ou la contrainte),
secrète (tous les votes restent inconnus jusqu’à la fin de l’élection) et
pourtant exacte (tous les votes sont comptés) et honnête (personne ne vote deux
fois ou ne change le vote d’un électeur); elle peut aussi être complète (tous
les électeurs doivent soit voter, soit justifier leur absence). Dans un tel
système, si nous connaissons l’électeur (grâce à l’inscription des électeurs),
nous ne pouvons pas connaître le vote; et si nous connaissons le vote (lors du
dépouillement), nous ne pouvons pas connaître l’électeur. Après une élection,
tous les votes et tous les électeurs sont publiquement connus, mais le lien
entre eux est impossible à prouver et à connaître.
Adapté de SafeVote
Inc., Voting System Requirements, The
Bell, février 2001
Tout système
de vote purement électronique doit prendre en compte la nécessité de protéger l’exactitude
du dépouillement en l’absence d’une représentation physique du bulletin de
vote. Pour une discussion complète de cette problématique, voir le sujet Enregistrement électronique direct (EED). En plus de ces
préoccupations, le vote par Internet est exposé à d’autres risques dus à l’insécurité
inhérente de l’ordinateur de l’électeur et de la connexion réseau entre cette
machine et le serveur central.
De nos
jours, plus de 90 % des ordinateurs domestiques utilisent une version du
système d’exploitation Windows de Microsoft. Celui-ci a été conçu avant tout
pour plaire aux usagers, et non pour servir à des fins où la sécurité est
primordiale. Peu d’efforts ont été déployés pour compartimenter les
applications incontrôlables et les empêcher d’altérer de façon indésirable le
fonctionnement de tout le système. Cet environnement fondamentalement exposé,
avec la propagation de macro-langages dans des applications comme Word ou
Outlook, offre un terreau fertile pour toutes les nuisances informatiques
possibles (virus, vers, logiciels espions, chevaux de Troie, etc.). En dépit de
l’usage répandu de pare-feu et antivirus, il a été estimé que 20 % des
ordinateurs personnels sont infectés par un type quelconque de programme
malveillant (voir Your PC May Be
Less Secure Than You Think). En somme, les concepteurs des systèmes de vote
par Internet ne peuvent pas garantir que les ordinateurs domestiques des
électeurs n’ont pas été compromis de manière à mettre en doute la fiabilité du
vote.
Sécuriser
la connexion entre l’ordinateur domestique de l’électeur et le serveur central
est aussi problématique mais, dans ce domaine, l’usage adéquat du chiffrement à
clé publique peut raisonnablement assurer l’intégrité de la communication. En
particulier, les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer
Security) utilisés par les navigateurs et serveurs Internet pour créer des
canaux sécurisés (pour le commerce électronique et les services bancaires en
ligne, par exemple) ont été conçus pour empêcher l’attaque dite « de
l’intercepteur ». Dans celle-ci, une transmission réseau est détournée par
un agresseur qui a réussi à contrôler le canal à travers lequel les deux
terminaisons de l’opération communiquent. SSL utilise des clés cryptographiques
signées qui ont été vérifiées par une autorité de certification. Il est ainsi
impossible à un agresseur de modifier le contenu d’une communication sans
révéler l’attaque.
Malheureusement,
même si cette solution est utilisée adéquatement, d’autres types d’agression
restent possibles. Un déni de service survient lorsqu’un agresseur est capable
d’empêcher le bon fonctionnement d’une communication. Généralement, il le fait en
surchargeant l’une ou l’autre des terminaisons de la communication. Une
usurpation (spoofing) a lieu lorsque l’une des parties communicantes établit
sans le savoir une connexion sécurisée vers un site contrôlé par un agresseur.
L’« hameçonnage »
est une variante répandue de l’usurpation : un internaute reçoit un
courriel l’invitant à cliquer sur un lien pour accéder à un site imitant à la
perfection un site commercial légitime (p. ex. une banque). Il est appelé
à y « réinscrire » d’urgence des coordonnées personnelles
confidentielles (p. ex. numéro de carte de crédit, mots de passe). Ce type
de fraude est relié à une forme plus générale d’agression communément appelée
ingénierie sociale. Celle-ci outrepasse les mesures de sécurité en ciblant les
internautes crédules.
Pour une
discussion informée sur la fausse sensation de sécurité créée par le
déploiement à grande échelle des protocoles SSL/TLS, voir The Maginot Web.
Malgré l’usage
répandu d’Internet pour des transactions financières, son application au
processus électoral est difficile pour deux raisons principales. Premièrement,
dans la plupart des systèmes électoraux, aucun lien ne peut être créé entre l’électeur
et son vote : les fonctions d’enregistrement et d’audit qui sont la norme
dans le monde financier sont inapplicables aux systèmes de vote en ligne.
Deuxièmement, les anomalies de transmission ou d’enregistrement des votes ne
peuvent pas être corrigées par la suite. Au mieux, les votes en cause sont
invalidés; au pire, toute l’élection est annulée. Un tel résultat pourrait
miner la confiance du public dans l’ensemble du processus électoral.
Pour une
discussion plus complète des implications du vote par Internet pour la sécurité
en général, voir l’article Security
Considerations for Remote Electronic Voting over the Internet rédigé par
Avi Rubin de l’Université Johns Hopkins.
Exemples
réels du vote par Internet
Le canton
de Genève en Suisse est peut-être le premier régime électoral au monde à utiliser
le vote par Internet sur une grande échelle. Depuis 2003, les citoyens du canton
ont l’option d’exprimer leur suffrage en ligne. Les motivations de ce
déploiement et les stratégies élaborées pour surmonter les problèmes de
sécurité décrits ci-dessus sont du moins en partie reliées à la spécificité de
Genève, ce qui limite l’applicabilité de cette expérience à d’autres régimes
électoraux.
Genève a
ceci de particulier que ses citoyens sont appelés à voter très souvent (quatre
à six fois par an plutôt qu’une fois toutes les quelques années comme c’est le
cas ailleurs). La raison en est que dans ce canton, tout vote parlementaire est
sujet à l’approbation de la population. En conséquence, les autorités
genevoises sont exposées à de fortes pressions en vue de simplifier le
processus électoral. C’est ainsi qu’en 1995, les administrateurs électoraux de
Genève ont mis en œuvre un système de vote postal. Celui-ci a rapidement été
adopté par la population, augmentant le taux de participation des électeurs de 20 %.
L’acceptation
du vote postal a eu pour effet de réduire quelque peu les exigences en matière
de sécurité et d’adhésion du public applicables à d’autres formes de vote à
distance. Tout nouveau système ne doit assurer que le même niveau de sécurité
et d’adhésion que le vote postal. Ainsi, les électeurs inscrits à Genève
reçoivent des cartes de vote par la poste. Celles-ci contiennent les informations
leur permettant d’exprimer leur suffrage par retour du courrier. Le vote par
Internet est simplement perçu comme étant une extension de ce service bien
établi. Les concepteurs du système n’ont pas prévu des façons de contrer toute
possibilité de fraude. Ils font confiance aux normes socioculturelles du canton
de Genève et aux mécanismes déjà prévus par la loi.
Pour une
vue d’ensemble de l’expérience genevoise du vote par Internet, voir le site Web
sur le vote électronique
du canton de Genève. Pour une description détaillée des risques et des
contre-mesures élaborées par les réalisateurs du système de vote par Internet
de Genève, voir le
rapport sur le traitement du problème de la sécurité des plates-formes pour le
vote par Internet à Genève.
Une autre
expérience importante de vote par Internet a été menée par l’armée américaine
sur ses bases d’outre-mer, mais avec un résultat encore plus décevant. Un
projet pilote initial a été mené pendant l’élection générale de novembre 2000, mais
malgré un coût de plus de 6,2 millions de dollars américains, seuls 84 militaires
ont voté en ligne. De plus, ce projet a été généralement perçu comme n’ayant
pas su répondre à des questions cruciales de sécurité (voir Internet Voting
Project Cost Pentagon $73,809 Per Vote).
Malgré
tout, le projet s’est poursuivi dans le cadre du Programme d’assistance fédérale
au vote (FVAP), sous le nom d’Expérience d’inscription et de vote électroniques
sécurisés (SERVE), pour un déploiement à plus vaste échelle lors de l’élection
générale de novembre 2004. Auparavant, un groupe d’experts en sécurité
informatique avait produit une étude détaillée du système et était arrivé à
cette conclusion :
« L’obstacle réel au succès n’est pas un
manque de vision, de compétences, de ressources ou de volonté. C’est le fait qu’étant
donné la technologie actuelle d’Internet, la sécurité des ordinateurs et l’objectif
d’un système de vote à distance tout électronique et sûr, le FVAP a entrepris
une tâche essentiellement impossible. Il n’y a vraiment aucune bonne façon de
construire un tel système de vote sans un changement radical dans l’architecture
générale d’Internet et de l’ordinateur personnel ou sans percées
révolutionnaires en matière de sécurité. Le projet SERVE est donc trop en
avance sur son temps et il ne devrait pas être réexaminé avant qu’il n’y ait
une infrastructure sécuritaire améliorée servant de fondation. »
A Security Analysis of the Secure
Electronic Registration and Voting Experiment (SERVE)
À la
suite de ce rapport, le sous-secrétaire à la Défense des États-Unis Paul
Wolfowitz a annoncé l’annulation du projet en février 2004, au motif de
problèmes de sécurité non résolus (voir Pentagon
halts Internet voting system).
Conclusions
Il est
probable (voire inévitable) que le scrutin par Internet sera un jour très
répandu. D’ici là, les concepteurs et les réalisateurs de ce type de système
devront surmonter beaucoup d’obstacles. Le plus important est le fait que de
nombreux éléments essentiels échappent au contrôle de l’administration
électorale. Il sera ainsi difficile d’arriver à faire confiance à de tels
systèmes de vote tant que l’architecture aussi bien des ordinateurs personnels
que d’Internet n’aura pas sensiblement évolué.
Un des
auteurs du rapport sur le projet américain SERVE, David Jefferson, des
Laboratoires nationaux Lawrence Livermore à Berkeley (Californie), a écrit ce
qui suit :
« Les systèmes de vote par Internet sont
vulnérables aux agressions de déni de service et d’usurpation, au code
malveillant, aux logiciels espions, à la gestion à distance et à la vente
automatisée des votes. Ces attaques sont assez puissantes pour compromettre un
grand nombre de votes, que ce soit en excluant des électeurs, en espionnant
leurs suffrages, en les modifiant ou en les achetant. Ces tentatives peuvent
souvent réussir et possiblement modifier les résultats d’une élection, tout en
passant inaperçues. Elles peuvent être menées par n’importe qui et depuis n’importe
où sur la planète; les agresseurs potentiels peuvent être aussi bien des
adolescents perturbés que des gouvernements étrangers.
Ces vulnérabilités sont fondamentales. Elles
ne peuvent pas être contournées ou corrigées avec le matériel, les logiciels et
les protocoles Internet actuels. Tant que l’architecture des moyens de sécurité
d’Internet et des ordinateurs personnels ne sera pas complètement reconsidérée
et que les nouveaux concepts ne seront pas largement déployés, ce qui exigera
sans doute au moins dix ans, le vote par Internet dans les élections publiques
doit demeurer hors de question. »
David Jefferson, The Inherent Security Vulnerabilities with
Internet Voting (résumé)
Dans ce
même contexte américain, Bruce Schneier (expert américain en sécurité
informatique et en cryptographie) a émis un avis similaire :
« La construction d’un système sécurisé
de scrutin basé sur Internet est un problème très difficile, plus difficile que
tous les autres problèmes de sécurité informatique auxquels nous nous sommes
attaqués sans succès. Je crois que les risques pour la démocratie sont trop
grands pour l’essayer. »
Bruce Schneier, Crypto-Gram, le 15
février 2001
