En lien avec un article à propos du vote électronique publié ce jour par Le Matin, nous avons saisi l’opportunité de répondre en détail à quelques questions. Voici donc l’occasion idéale de vous exposer notre point de vue sur le sujet !
En prélude
Le numérique et ses possibilités amène son lot d’émerveillement, de par les portes qu’il ouvre et les possibilités extraordinaires qu’il offre. Le vote électronique est, sur le principe, une évolution démocratique des plus enthousiasmantes.
Cependant, dans ce domaine comme dans tout autre, il s’agit d’avoir un regard critique sur les choses. Peut-être faut-il se montrer même plus critique de par la période de transition que nous traversons, pour plusieurs raisons essentielles:
La plus évidente: L’humain n’est pas équipé sensoriellement pour « percevoir » le numérique. Pas plus qu’il ne « voit » l’électricité dans un cable, il ne peut directement « ressentir » Internet. Il utilise des instrument, et passe par un apprentissage, pour en percevoir certains aspects et interagir avec ce milieu. Ces capacités ne sont pas innées.
Si certains « digital natives » (les jeunes « nés avec un smartphone dans les mains ») ont une faculté intuitive, non seulement à utiliser, mais aussi à sentir, à se prémunir ou se protéger des problématiques, détournements, effets pervers, voire des dangers liés au numérique et aux nouvelles technologies, il s’agit d’une petite minorité.
L’immense majorité des gens, y compris les générations au pouvoir, soit en ignorent tout, soit servent des intérêts ne tirant aucun bénéfice à sensibiliser ou éduquer les jeunes, et encore moins la population en général, sur ces problématiques.
A l’heure actuelle, lorsqu’un sujet numérique est abordé, on parle donc surtout des avantages, mais pas (ou trop peu) des inconvénients. Et pourtant, si les possibilités offertes par le numérique sont virtuellement infinies, les détournements le sont tout autant.
Le Parti Pirate se veut être un « contrepoids » dans ce type de situation. Il a de plus, dans le cas du e-voting, une expérience pratique concrète et des problèmes qu’il soulève, de par l’utilisation de la solution Pi-vote au sein du parti.
Pour résumer, c’est donc au croisement de l’idée excitante de vote électronique avec les défis de sa mise en pratique que nombre de questions se posent !
Le 17 juin, un peu plus de 160’000 citoyens suisses pourront voter par voie électronique. Qu’est-ce que cela vous inspire?
L’idée, le concept de vote électronique est une évolution attrayante sur le principe, de par les nombreux espoirs pratiques qu’on lui attibue. On lui prête une plus grande praticité ou facilité de vote, surtout pour des personnes à l’étranger, ainsi que des avantages dérivés, tels qu’une meilleure implication citoyenne et, selon sa mise en oeuvre, des économies de papier.
En pratique, ouvrir la porte au vote électronique, en particulier lorsqu’il est opaque, c’est accepter le risque de remplacer la démocratie du vote traditionnel par une dictature numérique.
Un des fondements de notre système de vote actuel est la compréhension de son fonctionnement. C’est une des composantes de son aspect démocratique. Toute personne avec une éducation de base est en mesure non seulement de comprendre ce fonctionnement, y compris les mécanismes assurant l’anonymat d’un vote, mais aussi de se rendre compte de la grande difficulté à le détourner. Il peut même aller vérifier son bon déroulement, et les sécurités mises en place à ces fins.
Chacun a donc la capacité de vérifier que le déroulement du vote se passe correctement.
Avec le vote électronique, plus rien de tout cela n’est possible pour le citoyen. Ce type de vote n’est simplement plus démocratique.
De plus, le processus démocratique du vote traditionnel, jusque là robuste, est grandement fragilisé par l’adjonction de ce e-voting dont la sécurité et l’inviolabilité ne peuvent être garanties.
Comme le précise Cédric Jeanneret, membre s’étant penché sur la question: A ce jour, pour le cas du vote électronique genevois, AUCUN audit n’a été publié. Or la Loi sur l’Exercice des Droits Politique (LEDP) précise qu’ils doivent être rendus public. On peut en déduire qu’il n’y a pas eu d’audit pour le moment. La seule publication s’approchant d’un audit concerne uniquement l’ergonomie et les fonctionnalités, et date de 2002. Un peu bizarre quand la LEDP précise qu’il faut au moins un audit tous les 3 ans (art. 60 al. 6).
C’est donc une voie potentiellement très dangereuse pour notre démocratie qui est empruntée actuellement, et même si elle ne concerne qu’une proportion minoritaire des électeurs, elle est déjà amplement suffisante (jusqu’à 10% au niveau fédéral, 30% pour Genève et Neuchatel) pour faire basculer l’issue d’un scrutin.
A l’heure actuelle ou de grandes puissances ne se cachent plus de mener des guerres numériques contre d’autres pays, faire perdurer des « tests » ayant un impact réel sur le résultat des scrutins relève d’une ignorance, d’un aveuglement ou d’une inconscience pure et simple.
Par ailleurs, l’actualité récente fournit quelques éclairages intéressant à confronter aux illusions d’inviolabilité de systèmes informatiques:
- Visa et MasterCard, dont une importante proportion du business repose sur la sécurité informatique, ont récemment accusé une fuite initialement estimée à 10, puis revue à 1.5 millions de données de cartes bancaires, à cause d’un de ses gros prestataires.
- Suite à une faille de l’environnement Java, plus d’un demi-million de Macs ont été infectés par un cheval de troie.
Sans qu’il y ait de parallèle direct à faire avec l’utilisation de Java dans la solution de vote électronique genevoise, l’exemple montre que cette technologie n’est pas plus inviolable, ou pas moins détournable qu’une autre.
La chancellerie fédérale assure que le 11 mars, il n’y a pas eu de faute, mais un bug. Ca vous rassure sur la fiabilité du système?
Non, cette déclaration a précisément l’effet inverse. Une faute, sous-entendu une erreur humaine de manipulation ou de traitement, quoique potentiellement tout aussi problématique suivant son impact, ne remet pas en cause le système, l’outil. Le bug, lui, met en lumière un dysfonctionnement du système, qui ne fait pas correctement ce qui lui est demandé.
Par analogie, dans le cas d’une voiture enfonçant la façade d’un magasin, on tiendra le pilote pour responsable, qu’il l’ait fait à dessein ou suite à une innatention.
Si l’accident est dû à une défaillance de la direction et du système de freins, on cherchera le fautif du côté du constructeur, ou de la chaine d’entretien/de vérification.
Garantir, et surtout prouver l’absence totale d’anomalie de fonctionnement ou de faille de sécurité dans un système informatisé est tout simplement impossible.
Utiliser un système de e-voting informatisé, à terme potentiellement pour tous les électeurs, ouvre donc la possibilité, aussi importants soient les efforts de sécurisation, de voir l’ensemble des voitures d’un canton démarrer et s’encastrer dans un mur à l’occasion d’un scrutin.
Pour aborder spécifiquement le cas de Genève en question pour cette défaillance, la communication de la Confédération était extrêmement confuse.
Hormis le fait à peine croyable d’annoncer un dysfonctionnement pur et simple en le faisant passer pour un succès, celui-ci était énoncé comme suit:
« Un électeur/une électrice Suisse de l’étranger, inscrit(e) dans le canton de Lucerne, a pu voter deux fois avec une même carte de vote sur la plateforme genevoise de vote électronique. »
Sans connaissances particulières, on pouvait donc se demander: Un Lucernois, en votant électroniquement, aurait donc pu voter à double (!), avec une carte mono-utilisation (!!), participant au scrutin d’un Canton n’étant pas le sien (!!!) ?
Au final, la personne avait certes voté à double, mais pas au sein du scrutin genevois. Lucerne ayant en partie abandonné la souveraineté de son système de vote à Genève, le Canton avait son scrutin séparé sur la plateforme technique genevoise.
Deux problèmes majeurs subsistent: le vote à double, et la « correction » de cette erreur.
Le problème du double vote est évident, il ne devrait simplement pas se produire. Celui de la « correction » soulève des questions sur l’anonymat des votes, en particulier la possibilité technique de sa violation. Il a été assuré que ce secret n’avait pas été violé.
Il n’y a pas d’autre choix que de faire confiance, les éléments constituant le système en fonction n’étant pas divulgués au « simple citoyen ».
N’est-ce pas une chance pour la démocratie que les Suisses de l’étranger, notamment, puissent voter plus facilement?
Sur le principe, oui, ce serait une grande avancée. En pratique, dans l’état actuel, on fragilise (voire compromet) avec certitude notre système de vote par la mise en place d’un service à l’utilisation hypothétiquement plus grande que son équivalent traditionnel.
Outre les considérations techniques pour le vote électronique, c’est aussi son aspect centralisé qui le rend vulnérable. Si le système est compromis, l’entier du scrutin peut être compromis.
Une solution nettement moins dangereuse au vote dans son ensemble consisterait à permettre aux Suisses de l’étranger de désigner une personne (de confiance, en toute logique) en tant que représentant auprès des autorités en matière de vote. En cas de scrutin, des instructions de vote seraient communiquées à ce représentant par l’électeur à l’étranger, et ce représentant voterait en son nom.
Un tel système, avec quelques garde-fous (représentation d’une personne au maximum, confirmation de l’acte de vote par internet), éviterait de prêter le flanc à une compromission intégrale de notre système de vote. Le « prix » de ce compromis serait l’abandon de l’anonymat du vote entre l’électeur de l’étranger et son représentant.
On sait que le vote traditionnel est un processus qui n’est pas fiable à 100%. N’est-ce pas faire un faux procès au vote électronique que de le pointer du doigt comme risqué?
La réponse est évidemment « Non », pour 2 raisons essentielles:
D’une part, si la finalité des votes traditionnels et électroniques sont les mêmes, certains grands principes de fonctionnement, au delà même de la technique, sont différents.
Le vote traditionnel, y compris pour le vote par correspondance, est distribué sur de multiples bureaux, alors que le vote électronique est centralisé. Genève regroupe même plusieurs Cantons sur une seule plateforme, dont notamment Lucerne et Berne.
Si l’on veut détourner le vote traditionnel, il s’agit de compromettre, dans l’exemple du canton de Vaud, une bonne portion de presque 360 bureaux de votes. Pour le vote électronique, il suffit de comprommettre une seule plateforme. Si la plateforme est compromise en toute discrétion, et les résultats modifiés avec un peu de subtilité, des scrutins pourraient être manipulés à l’insu de tous.
Cédric Jeanneret nous précise: Dans le cas de Genève, pour une « attaque » sous l’angle humain, à priori 2 personnes corrompues, 3 maximum, suffisent pour compromettre l’entier du système. Il suffit de compromettre un notaire, un « officier de sécurité », et à la rigueur le représentent du SVE (Service des Votations et Élections).
Ce dernier possède l’ordinateur d’administration du système de vote électronique. Le notaire possède les mots de passe permettant de déchiffrer la clef privée possédée par l’officier de sécurité.
Cette clef permet de déchiffrer les votes, et donc d’accéder à toutes les informations sur les votants, ainsi que manipuler les votes contenus dans l’urne.
D’autre part, le risque n’est ni le seul, ni même le plus gros problème soulevé par le vote électronique, car il en va surtout de sa légitimité. Pour rester démocratique, un système, une méthode de vote doit pouvoir être non seulement comprise, mais aussi vérifiable par l’électeur.
A moins d’une bonne trentaine de révolutions dans l’efficacité des méthodes d’apprentissage, jamais une population dans son ensemble ne sera en mesure de vérifier ne serait-ce que les grandes lignes du fonctionnement d’un système de vote électronique raisonnablement inviolable et assurant l’anonymat du vote.
Même en admettant que ce soit le cas, une solution telle que celle de Genève resterait non-démocratique, car les « simples » électeurs n’ont pas accès au système ni aux composants de programmes qui le constituent. Cet aspect est précisé dans la LEDP, art 60 al 8.
En l’état, dans le cadre d’un processus de vote dit démocratique, le citoyen ne peut rationnellement (donc ne devrait pas…) considérer un système de vote électronique comme autre chose qu’une boite à suggestion ou un puits à souhaits, car sa capacité à s’assurer de son bon fonctionnement est similaire, à savoir nulle.
A ce sujet, et sur le thème général du manque de légitimité du vote électronique, lire aussi cet article de Burninghat.
Que manque-t-il, de l’avis du Parti Pirate, dans les systèmes actuels de vote électronique?
Il manque une prise de conscience doublée d’une reconnaissance des manquements (démocratiques) et des risques (techniques) que fait peser une solution de e-voting quelle qu’elle soit sur le vote démocratique. Il manque donc par extension une décision d’arrêter les tests ayant un impact sur les résultats, doublée au minimum d’un moratoire sur la mise en place de systèmes de vote électronique en situation réelle.
Si une majorité de citoyens suisses devait se prononcer, en connaissance de cause (donc en acceptant les risques évoqués précédemment), en faveur de la mise en place d’un système de vote électronique, celui-ci devrait au moins être entièrement transparent et vérifiable.
Il s’agirait en particulier d’ouvrir totalement les sources (le code) des programmes utilisés, ainsi que toutes les indications techniques utiles, afin de permettre à toute personne intéressée de vérifier et d’éprouver le système. Il faudrait aussi pouvoir prouver que le système en fonctionnement correspond à ces sources.
Très bonne contribution, comme dit, il serait bien que nous organisions un débat/conférence/journée sur ce thème en invitant le maximum d’acteurs possibles. La transparence doit être de mise pour un tel enjeu.
« Le problème du double vote est évident, il ne devrait simplement pas se produire. Celui de la « correction » soulève des questions sur l’anonymat des votes, en particulier la possibilité technique de sa violation. Il a été assuré que ce secret n’avait pas été violé. »
Un problème de plus… si cette correction est possible… corriger la moitié des votes est aussi possible, le « correcteur » à l’initiative…