ebanking, evoting: les différences

ajouté le 10.04.2012 dans Suisse • par SwissTenguCommentaires (1)
Tags: evotefail ebanking chvote ppsfr

Ce petit billet pour répondre à pas mal de remarques paraissant de manière assez régulière dès qu'on tape sur le système de vote électronique : « vous faites confiance à l'e-banking, l'e-vote c'est pareil ! »

Et bien non, ce n'est pas pareil. Ce billet va tenter, dans un langage si possible pas trop technique, de faire la lumière sur « pourquoi c'est pas pareil ».

Ce billet sera séparé en plusieurs parties : le e-banking et la sécurité, le e-voting et la sécurité, comparaison des deux qui servira aussi de conclusion. Il se veut en outre très simplifié - pardonnez-moi les quelques raccourcis pris ;).

Prêt ? Alors on y va !


L'e-banking et la sécurité
Tout d'abord, je vais mettre les choses au clair : NON, je ne fais pas confiance dans le e-banking. Vous verrez pourquoi plus bas.

Les besoins en sécurité du e-banking sont les suivants :
- il faut s'assurer que la personne faisant une transaction en ligne est bien celle qu'elle prétend être
- il faut s'assurer que les transactions effectuées sont traçables (pour le fisc, par exemple)
- il faut s'assurer que la connexion entre le client et la banque est chiffrée (protocole SSL – le https dans la barre d'adresse de votre navigateur préféré).
- le client doit pouvoir s'assurer qu'il est bien sur le site de sa banque

Voilà les besoins basiques. Après, bien entendu, il faut que les données bancaires soient hébergées de manière sécurisées, que les codes d'accès personnels soient aussi quelque peu en sûreté, cela va de soi.

Pour satisfaire les différents points décrits ci-dessus, on a mis en place, de manière générale, une authentification en deux étapes, comportant un nom d'utilisateur, un mot de passe et un « token », sous la forme d'un SMS reçu contenant un code à usage unique, une liste à biffer ou encore une de ces calculatrice comportant une carte à puce (elle-même vous demandant un code personnel de sécurité).
Avec cela, on a moyen de s'assurer de manière relativement fiable que c'est vous. J'insiste sur le « relativement ».

Ensuite, la banque enregistre tout : quel ordinateur s'est connecté à quelle heure, quelles ont été les actions effectuées, les montants, les comptes de destination... bref, tout est enregistré (on va parler de « log » dans le milieu).
Avec ça, on a la traçabilité, ce qui permet d'offrir au client un moyen de contestation en cas d'utilisation frauduleuse de son compte (i.e. mobile contenant les identifiants bancaires volé ou encore carte de crédit dérobée).

Et pour la partie chiffrement, on fait confiance au bon vieux SSL, vous demandant de contrôler que la barre d'adresse comporte bien « https://ma.banque.en.ligne.com », et que le petit cadenas est bien fermé... Bref, le classique.

Pour ce qui est de s'assurer qu'on est bel et bien sur le site visé, ça peut devenir coton: il y a certes le contrôle du certificat SSL, mais je doute que beaucoup de personnes prennent la peine de le faire. Sans compter qu'on peut jouer avec ça ;).

Concernant les infrastructures contenant vos données, il faut juste imaginer que c'est un truc « légèrement » sécurisé, avec une armada d'administrateurs réseaux et systèmes derrière contrôlant que tout se passe bien, 24h/7j, prêts à pallier à la moindre défaillance, à la moindre attaque informatique.

Ce qu'il faut principalement retenir ici, c'est qu'avec le e-banking, il y a une traçabilité à tous les niveaux.
Et aussi que les banques n'ont absolument aucun intérêt à tricher. L'argent, elles le possèdent déjà, donc vouloir faire des magouilles ne leur sert absolument à rien.


L'e-voting et la sécurité
Concernant le vote, électronique ou pas, il convient de rappeler deux choses :
Celui qui recueille, remplit ou modifie systématiquement des bulletins de vote ou qui distribue des bulletins ainsi remplis ou modifiés sera puni d’une amende.

(RS 311.0 "Code Pénal Suisse", art 282bis).
Celui qui, par des procédés illicites, aura réussi à découvrir dans quel sens un ou plusieurs électeurs usent de leur droit de vote sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

(RS 311.0 "Code Pénal Suisse", art 283).

En outre, dans le cas du vote électronique, on peut aussi trouver ceci :
Toutes les mesures doivent être prises pour qu’aucun lien ne puisse être établi entre un bulletin de vote déposé dans l’urne électronique et le votant.

(RS 161.11 "Ordonnance sur le droit politique", art 27g).

Le système de vote doit donc garantir (et ce indépendamment du fait qu'il soit électronique ou traditionnel) :
- que ce soit la bonne personne qui vote et qu'elle ait bien le droit de vote
- que son anonymat est bien préservé à tous les niveaux de la chaîne de vote
- qu'elle ne peut pas voter plus d'une fois
- que son vote enregistré dans l'urne est bien le vote qu'elle a émis
- le système doit être compréhensible par le commun des mortels, et mieux, ce dernier doit pouvoir participer de manière active au vote, en prenant part au dépouillement par exemple.

Ceci étant mis à plat, faisons une rapide comparaison entre ce que fournit les votes traditionnels et par correspondance d'une part, et le vote électronique d'autre part.


·Vote traditionnel et par correspondance
Dans le cas où vous allez au bureau de vote, on va vérifier votre identité (carte d'identité/passeport/etc), vérifier que vous avez bien le droit de vote (carte d'électeur), vérifier que vous n'avez pas déjà voté (carte d'électeur à nouveau), puis vous indiquer l'isoloir dans lequel vous allez pouvoir voter de manière secrète. Vous en ressortirez avec vos bulletins de vote dans une enveloppe anonyme, que vous irez porter vous-même dans une urne scellée.

Dans le cas du vote par correspondance, c'est un peu plus délicat : vous avez une carte d'électeur que vous devez compléter et signer. Vos bulletins de votes sont dans une enveloppe séparée, de manière à préserver l'anonymat de votre vote. Ensuite, deux solutions : ou vous allez la poster, ou vous allez la porter dans la boîte spécialement prévue pour à la maison de commune.

Dans un cas comme un autre, il est vrai que quelqu'un pourrait être tenté de briser le secret du vote (« tiens lui je le connais, que vote-t-il ? »), voire d'influencer le résultat en magouillant les votes.
Seulement voilà, il y a deux choses à prendre en compte :
- se trouver dans une situation permettant de faire cela, que ce soit à la maison de commune ou à la poste, est assez compliqué : il faut être seul, ou alors entouré de personnes ayant les mêmes motivations que vous
- même si vous le faites, vous ne pourrez influencer que quelques votes locaux – arriver à un résultat utile au niveau cantonal est illusoire.


Au tour du vote électronique maintenant (et sortez le pop-corn, conseil d'ami ;) ).

Pour s'assurer que c'est bien la bonne personne qui vote, on se heurte aux mêmes problèmes que le vote par correspondance : les informations demandées ne sont pas grandement différentes, on peut très bien offrir une bière à un pote et il votera ce que vous voudrez, ou mieux vous donnera sa carte de vote avec ses informations d'authentification. À ce niveau donc, pas de miracle, il en va de la responsabilité personnelle.

S'assurer que la personne a bien le droit de vote ne présente en soi aucune difficulté non plus : soit elle a un compte sur le système de vote, soit elle n'en a pas. Simple.

S'assurer que la personne ne vote qu'une seule et unique fois ne devrait pas présenter de problème non plus. Enfin, on peut demander à Genève. Implémenter un système de session un rien subtile et malin ne devrait pas poser de problème pour éviter ce genre de pépins. Encore faut-il y penser. Les carottes sont cuites.

L'anonymat est quant à lui censé être préservé par une séparation claire des lieux de stockages : d'un côté vos informations personnelles, de l'autre votre scrutin. Censé oui, parce que là, on ne peut que faire confiance à un vague papier fourni par les concepteurs du système. Si ça se trouve, c'est bien dans deux tables séparées, mais dans la même base de données, sur le même serveur (comprendre : dans deux tiroirs séparés du même bureau)... On ne sait pas. Faut faire confiance au système ;). Vous ne sentez pas une légère odeur de brûlé ?

L'assurance que le scrutin enregistré dans l'urne est bien ce que vous avez voté est une partie tout aussi obscure et sympathique, surtout quand on sait que, dans le cas du système genevois, votre scrutin est déchiffré à l'arrivée sur le serveur (en passant, à ce moment-là vos données sont aussi présentes en même temps, et on peut sans autre les lier à votre bulletin de vote - mais c'est pas grave, le contrôle "ne laisse aucune trace" à ce qu'ils disent). Le déchiffrement est, d'après la documentation, uniquement pour permettre de renvoyer une validation à l'électeur. Selon la documentation fournie par le prestataire. Là encore, il faut faire une confiance aveugle au système. Vous la sentez cette douce odeur de cramé ?

Quant à la partie « pouvoir participer au dépouillement », je vous laisse apprendre à développer dans un langage quelconque, à priori Java, en vous basant sur des spécifications inexistantes voire sur un listing de code imprimé sur papier rouge. Le citoyen lambda ne peut simplement plus participer à la démocratie et exercer son droit de citoyen au niveau du comptage. Il est donc réduit à être un simple électeur. Plus un citoyen.
Quant à contester le résultat, ça va devenir coton aussi du fait qu'il n'y a rien de physique – tout n'est que données enregistrées dans une base quelconque, qui avec un peu de chance peut se corrompre pour un oui ou un non (sans jeu de mot).

Je voudrais aussi juste attirer votre attention sur un petit bout de loi relatif au vote électronique :
Si le résultat d’une votation ou d’une élection est contesté, il doit aussi être possible d’établir la plausibilité du résultat électronique. Il s’agit pour cela de rendre possible la prise des mesures suivantes, dans le respect permanent du secret du vote:
a. vérifier les suffrages-test qui ont été exprimés par des contrôleurs et consignés dans un procès-verbal;
b. comparer les pourcentages de oui et de non ou les pourcentages de voix exprimées entre le vote par correspondance, le vote électronique et le vote aux urnes;
c. comparer les suffrages électroniques décomptés avec les fichiers journaux du serveur des votations et élections.

(RS 161.11 "Ordonnance sur les droits politiques", art 27n bis)

Les « fichiers journaux » sont nos fameux logs. Je ne sais pas trop comment comprendre la chose, mais à voir, il y a moyen, par ce biais, de relier un électeur à son vote – c'est d'ailleurs ce qui a été fait pour effacer(!) le vote doublon(!!) effectué par un lucernois sur le système genevois(!!!).... Secret du vote préservé, disent-ils ? Je voudrais bien voir la tête de leurs logs.


Comparaison rapide et conclusion tout aussi rapide

Là où la sécurité du e-banking repose sur des logs, la traçabilité des transactions, le e-vote repose sur l'anonymat complet des personnes, du moins pour la partie la plus importante : le scrutin lui-même.
En gros, pour le premier, on vous suit à la trace dès l'instant où vous vous connectez au site. Le second, on vous reconnaît lors de la connexion et de l'identification, mais au final le reste doit être un trou noir – secret du vote oblige.
De là, on ne peut simplement pas comparer l'e-banking et l'e-voting, les deux technologies sont complètement différentes.

Désolé de démonter de la sorte l'argument massue des pro-evoting, aveuglés par "c'est trop kikoool de clicouiller pour voter!" sans penser plus loin. La massue vient de se transformer en fétu de paille. Attention au vent ;).

Il ne faut pas aussi oublier un léger détail: là où un problème de sécurité au niveau du e-banking ne touchera que des particuliers, voire un seul particulier, un problème de sécurité au niveau du vote électronique touchera une ville, un canton voire un pays en entier. Ce n'est, là encore, vraiment pas pareil, et encore moins comparable. Là où des intérêts privés peuvent être mis en jeux, on veut nous faire croire que des intérêts collectifs sont au même niveau.
Ce n'est pas trop le cas. Du moins j'ose espérer.


T.

PS: merci à burninghat, die_s_man et RyuunoAelia pour la relecture ;)