Messagepar flct » ven. 15 juin 2012, 01:09
Pour ma part, il ne me semble pas que le rejet du vote électronique dans les conditions actuelles de la technologie et dans les conditions actuelles d'emploi de cette technologie soit rétrograde. Je pense que c'est d'ailleurs très réaliste d'admettre, même pour les plus informatisés d'entre nous que le vote électronique ne peut pas garantir l'exacte condition du vote à bulletin secret tel que nous le connaissons car il pose plus de problème qu'il n'en résouts. Voici mes arguments, technique pour l'occasion afin d'appuyer la rhétorique de Pers :
- Le facteur logiciel : Le code source doit être disponible. Cela signifie que tout électeur :
1) soit en mesure de le comprendre,
2) soit en mesure d'obtenir une preuve que le code source lu soit le code source compilé ET éxécuté lors de l'utilisation
3) soit en mesure d'obtenir une preuve que le code est sans faille.
Le point 1 est clairement une limite et un simple avis d'expert ou groupe d'expert ou tiers homologué n'est pas acceptable.
Le point 2 serait moins discutable. Techniquement nous avons les moyens de prouver à l'aide d'un programme simple produisant un hash du code compilé et déployé sur la machine par rapport à une référence. Toutefois, cela est tout aussi illusoire. Le compilateur produisant l'étalon peut modifier le code source à la compilation. Il produit alors un étalon valable mais d'un programme modifié. Si le programme compilé est distribué en l'état, le point 2 n'est pas respecté. Il faudrait alors compiler le code au déploiement d'une machine. Si le même compilateur est utilisé, la contre mesure est nulle. Si un autre compilateur (comprendre autre logiciel de compilation) est utilisé, l’exécutable produit ne sera pas identique. La contre mesure est nulle. Le programme sensé produire le hash du programme sain binaire peut être modifié ... bref, il faudrait obtenir les mêmes critères de fiabilité pour tous les logiciels mis en oeuvre, ce qui est impossible ou hors de propos. Pour la petite histoire, et pour montrer une possibilité. Il y a un certain temps, un petit malin avait créé un virus et l'avait injecté dans les logiciels d'une entreprise. Lorsque ce virus a été trouvé, l'entreprise a recompilé ses logiciels mais le virus a encore été détecté. Le compilateur avait été modifié pour injecter le virus à la compilation. L'entreprise décide alors de corriger le code du compilateur et de le compiler. Le virus a encore été détecté. Le compilateur avait été aussi modifié pour injecté le virus quand il compile une version de son propre code.
Le point 3 est improbable, d'expérience.
Admettons que nous réussissions à trouver une solution au facteur logiciel.
- le facteur matériel Les spécifications techniques de la machine doivent être disponible. Cela signifie que tout électeur :
1) soit en mesure de les comprendre,
2) soit en mesure d'obtenir une preuve que la machine est conforme aux spécifications techniques
3) soit en mesure d'obtenir une preuve que le fonctionnement est sans faille.
Le point 1 est clairement une limite et un simple avis d'expert ou groupe d'expert ou tiers homologué n'est pas acceptable.
Le point 2 est aussi une limite. Il faut avoir l'assurance que chaque composant est conforme aux spécifications et qu'il n'y a pas eu modification à la construction/distribution. Une solution serait d'avoir une infrastructure industrielle dédiée à la fabrication de tous les composants d'une machine. Je doute alors sur l'impact économique.
Le point 3 est improbable, d'expérience.
Tout ceci considérant que la machine n'est pas connecté à un réseau, dans une salle sécurisée etc. etc. ... ce qui n'est pas le cas avec l'ordinateur de madame/monsieur tout le monde. Certains diront que c'est du pessimisme, je répondrais que c'est du réalisme car le jeu en vaut largement la chandelle. En sécurité, on ne cherche pas à prévoir l'impossible, on cherche juste à prévoir les menaces probables qui présentent un intérêts pour un attaquant identifiable. Je pense qu'il n'est pas utile de préciser l'enjeu hautement crucial d'une élection présidentielle d'un pays comme la France, soit pour des intérêts interne ou externe à la nation.
Juste en passant, le système de vote des législatives pour les français de l'étranger était faillible. L'attaquant a juste utilisé le mode de fonctionnement normal du système, sans aller chercher des petites bêtes.
Concernant le mythe de l'algorithme de cryptage : Le seul algorithme sûr est le chiffre de Vernam Il est théorisé depuis le début du siècle dernier, toujours utilisé mais très lourd d'emploi. Comme le dit charlyisidore , le seul critère de fiabilité d'une autre algorithme est le temps de résolution du problème en fonction du niveau de confidentialité de l'information. Dans le plupart des cas, il est préférable de s'attaquer à l'implémentation ( = transposition de la théorie à la pratique, ce qui appuie la limite du facteur logiciel et matériel) et sans oublier la prise en compte du progrès technologique qui tends à rendre obsolète demain les procédés considérés fiables aujourd'hui. Même une attaque simple comme le "brute force", à priori coûteuse en temps hier, temps à devenir plus abordable aujourd'hui avec le développement des unités GPGPU (calcul à l'aide processeurs graphiques). Pour se données une idée, une machine standard en 2012 est aussi puissante en capacité de calcul qu'un super ordinateur construit il y a 25 ans. Sans parler des possibilités de louer de l'unité de calcul à base GPGPU à un coût raisonnable. Mes propres tests me donnent des performances de +1400% entre du calcul CPU et GPGPU sur un algorithme simple.
J'avoue, l'idée est séduisante à de multiples niveaux et je suis quasiment d'accord avec les arguments logistiques, sauf que techniquement du point de vue de la confiance, ce n'est en l'état pas acceptable. D'ailleurs, si un système était massivement introduit et qu'il venait à être mis en doute après 5 années de fonctionnement, que fait-on ? Devrait-on abroger les lois, invalider les élections ? Quand on sait que même le conseil constitutionnel n'a pas voulu invalider certains comptes de campagnes en 1995 par peur de devoir annuler l'élection et a préféré se ranger au concept de l'égalité dans la fraude ....
Ce n'est donc pas rétrograde, c'est réaliste. Toutefois, l'introduction du feedback électronique en tant que prise de tendance est intéressant tant que la décision s'en remet à un système fiable.
Dernière édition par
flct le sam. 16 juin 2012, 15:24, édité 1 fois.
N'avions-nous pas trop pris l'habitude de nous contenter de connaissances incomplètes et d'idées insuffisamment lucides ? Notre système de gouvernement se fondait sur la participation des masses. Or, ce peuple auquel on remettait ainsi ses propres destinées et qui n'était pas incapable de choisir les voies droites, qu'avons-nous fait pour lui fournir ce minimum de renseignements nets et sûrs, sans lesquels aucune conduite rationnelle n'est possible ? Rien en vérité. Telle fut la grande faiblesse de notre système, prétendument démocratique, tel fut le pire crime de nos prétendus démocrates.
. Je n'ai rien de plus à ajouter (pour le moment mais quelque chose me dit que ça sera pas durable).
