Publicité

Le vote électronique en mal de confiance dans le monde

Par
Le 6 septembre 2019, les membres d'une commission électorale locale préparent un terminal électronique dans un bureau de vote en prévision de l'élection de la Douma à Moscou
Le 6 septembre 2019, les membres d'une commission électorale locale préparent un terminal électronique dans un bureau de vote en prévision de l'élection de la Douma à Moscou
© AFP - Kirill Kudryavtsev

Comment garantir la fiabilité des systèmes de vote alternatifs au bulletin papier ? Un test a lieu à Moscou alors que des démocraties s’ouvrent au vote à distance et aux machines à voter. Mais nulle technique, à ce jour, n’a résisté aux tentatives de fraude, expérimentales ou malveillantes.

A l’heure de la dématérialisation, dans les entreprises comme dans les administrations, un secteur résiste toujours à l’envahisseur numérique : au cœur de la pratique démocratique, le vote reste, dans nombre d’Etats modernes, un rituel très physique. Ce rituel est pourtant largement boudé par les électeurs dans nombre de démocraties participatives, dont la modernisation est considérée, de l’Estonie à l’Inde, comme un levier de participation. En rendant le vote plus accessible physiquement et/ou plus facile matériellement, on le rendrait plus massif. L’hypothèse justifie des expériences, plus ou moins développées, comme en Suisse ou ce dimanche à Moscou, mais elle pose aussi de nombreuses questions. A commencer par celle, centrale, de la fiabilité, de la véracité du scrutin. Même si le vote papier n'est pas forcément idéal ni sans défaut : en raison de bulletins complexes (Etats-Unis) ou à cause de bureaux de vote trop petits ou tenus par des personnes peu expérimentées (lors des primaires de la dernière présidentielle française).

De quoi parle-t-on au sujet du vote électronique ? 

Le terme englobe le vote à distance, via internet, et le vote sur des machines électroniques dans des bureaux en dur. Et aucune de ces deux pratiques, qui répondent à des besoins différents, n’est infaillible.

Publicité

Elles sont d’ailleurs, comme ce fut le cas en Suisse fin mars dernier, mises à l’épreuve des hackers, qui, moyennant de fortes primes, sont invités à en révéler les faiblesses, ou par des chercheurs qui, comme ceux du Center for Computer Security and Society de l’université du Michigan, reproduisent en laboratoire les dispositifs à éprouver. Pour le cas de Moscou, c'est un chercheur du CNRS, le cryptographe Pierrick Gaudry, qui a réussi à démontrer les failles du système.

Comment sécurise-t-on un dispositif électoral ? D’abord, en garantissant l’identité des votants et le secret du vote. Ensuite, en s’assurant du bon enregistrement de son vote. Enfin, en certifiant le décompte global des voix. Sans oublier la résistance à la coercition ou à l'achat de votes.

Identifier l'électeur

L’Estonie fut le premier pays à avoir instauré, en 2005, le vote par internet à l’échelle nationale. Aujourd’hui, plus du tiers des votes sont exprimés en ligne. Dans cette démocratie de 1,3 million d’habitants, la généralisation des cartes d’identité numériques constitue un moyen très sûr d’authentifier les votants. Elles embarquent, outre les empreintes digitales (pour les plus récentes), une signature électronique unique et cryptée. Le système de vote a donc l’assurance de la réalité de l’électeur, qui pourra s’exprimer une fois et une seule.

La Norvège, qui a expérimenté le vote à distance par internet en 2015, y a renoncé notamment parce qu’elle a constaté que certains électeurs avaient pu voter deux fois. 

Dans certains (mauvais) cas, un principe fondamental peut être compromis à grande échelle : la nature du vote est associée dans une base de données à l’identité du votant. Ce qui compromet le secret de son choix.

Un biais qui peut peser sur la diffusion de ce mode de scrutin, notamment dans les Etats où le régime pourrait persécuter ses opposants ou dans ceux ou le souvenir d’un régime autoritaire laisse planer ce risque. 

"Le lien que l'on a beaucoup de mal à couper se situe entre l'identité du votant et son bulletin chiffré", précise Pierrick Gaudry. Le cryptographe et ses collègues Stéphane Glondu et Véronique Cortier d'ajouter qu'il existe ensuite des moyens techniques de transformer l'urne pour perdre ce lien avant de déchiffrer. Une garantie (vérifiable par les électeurs) doit être apportée que cela s'est fait sans modifier le résultat.

Autre biais, indépassable, le principe même de l’isoloir, qui matérialise le secret du vote, n’est pas reproductible. Difficile aujourd'hui d'empêcher quiconque de peser sur le vote d’un électeur à distance. Mais de très sérieuses pistes académiques ont abouti à des systèmes qui
permettent à l'électeur de mentir, comme le système Civitas ou plus récemment Selene, souligne Pierrick Gaudry.

Prendre en compte le vote

Si la vérification de l’identité de l’électeur ne pose a priori pas de problème dans les bureaux de vote équipés de machines à voter, c’est à un tout autre champ de fraudes que le système est exposé. Dans les bureaux, les dispositifs de vote électronique ont plusieurs vocations : accélérer le décompte des voix, faciliter l’accès des populations les plus diverses, réduire les coûts d’organisation des élections… 

En Inde, ici à Mumbaï, l'utilisation de machines à voter électroniques est généralisée. Elle favorise l'accès du plus grand nombre, et notamment des illettrés, aux scrutins.
En Inde, ici à Mumbaï, l'utilisation de machines à voter électroniques est généralisée. Elle favorise l'accès du plus grand nombre, et notamment des illettrés, aux scrutins.
© AFP - Indranil Mukherjee

Ces vingt dernières années, l’Inde a déployé sur tout son vaste territoire plus de 1,4 million de machines à voter (EVM). Ouvrant la possibilité de s’exprimer au plus grand nombre, notamment aux illettrés ou aux électeurs isolés, elles enregistraient déjà, lors des élections générales de 2009, plus de 417 millions de votes. Un succès d’audience, mais pas vraiment de garantie démocratique, a estimé le Center for Computer Security and Society de l’université du Michigan lors de son audit du dispositif.

Pour afficher ce contenu Youtube, vous devez accepter les cookies Publicité.

Ces cookies permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d'intérêt.

En étudiant ce dispositif, les chercheurs ont identifié des fraudes potentielles, sur les machines – des composants sont substitués, les machines remplacées par des copies trafiquées… - ou sur les logiciels qu’elles embarquent – modifiés par des virus ciblés, des « malwares ». Une particularité, dans ce cas, elles impliquent le plus souvent des complicités dans les bureaux de vote.

Cela peut se traduire par une présentation biaisée ou tronquée des candidatures, d’une part, mais aussi par un décompte faussé des résultats. La pratique est d’autant plus plausible qu'en Inde seules deux entreprises fournissent l’ensemble du marché, et la plupart des technologies qu’elles mobilisent sont publiques. Et elle est d’autant plus menaçante que cette technique d’expression démocratique est généralisée dans le pays. 

Mais aux Etats-Unis, où différentes machines à voter coexistent, le risque n’est pas absent. S’il reste difficile d’y substituer des clones, tant les technologies sont différentes d’un Etat à l’autre, la possibilité de les hacker est entière.

Non connectées à internet, elles sont, pour chaque élection, mises à jour avec des cartes mémoires, qui contiennent les informations relatives au scrutin. En glissant dans lesdites cartes un petit morceau de programme informatique malveillant – pas besoin de complicités, il suffit de pirater les ordinateurs de ceux qui organisent les élections -, il reste possible d’infecter les machines à voter, estime le chercheur américain Alex Halderman, et de compromettre la sincérité du scrutin.

Comment garantir à chaque électeur que son vote a bien été pris en compte ? Dans un bureau de vote, la liste d’émargement, associée au dépôt du bulletin dans l’urne, fait cet office. Mais faute de bulletin papier, la machine à voter peut laisser planer un doute. Aux Etats-Unis, 70 % seulement des votes exprimés sur une machine ont fait l’objet d’une trace papier lors de la présidentielle de 2016. Et dans le cas d’une machine piratée, rien ne dit que le vote effectif correspond à l’intention du votant. Il est toutefois possible de mettre en place des algorithmes qui permettent de se prémunir contre ce risque. Le système Scantegrity va dans cette direction, et récemment la DARPA (Agence pour les projets de recherche avancée de défense) a financé un important projet en vue de machines fonctionnant autour du protocole StarVote qui offrira ce type de garantie.

Il en va de même sur internet. Une des critiques portées au système estonien est que les votes exprimés le sont directement sur un serveur, donc peuvent être interceptés ou altérés. En Suisse, à l’automne dernier, le Chaos Computer Club a pointé ce biais sur le système de vote du canton de Genève, en mettant en œuvre une technique informatique tout à fait commune.

Le décompte peut donc être biaisé à la source, faute de garantie de transparence sur l’expression électronique – le citoyen sait avec certitude que le bulletin qu’il a glissé dans l’urne y est effectivement, le votant électronique, non. Mais des systèmes luttent contre le danger du terminal du vote (PC familial, tablette, téléphone) qui serait infecté. Encore non déployés, comme celui conçu par le canton de Genève CHVote, ou purement académiques, tel l'algorithme BeleniosVS (mis au point à Nancy).

Sécuriser le décompte

Enfin, le décompte peut être altéré lors de la diffusion des votes et/ou des résultats auprès de l’autorité chargée de les promulguer. Un peu comme si les urnes avaient été bourrées avant leur ouverture. Le risque est grand lorsque les votes sont centralisés de façon électronique, comme dans une urne unique. C’est le cas en Estonie. 

C’est une crainte qui a justifié le recul de la France, qui avait autorisé le vote à distance pour les Français de l'étranger lors des législatives de 2012 mais y a renoncé en juin 2017. La plateforme de vote faisant l’objet d’un "niveau de menace extrêmement élevé de cyberattaques", a alors justifié l'Agence nationale de la sécurité des systèmes informatiques (ANSSI).

Et justement, l’enjeu autour du décompte des votes exprimés reste crucial dans toutes les formes de vote, qu’il s’agisse de bulletins papier, de clics sur des machines à voter ou de voix internet. Lorsqu’un doute subsiste sur l’issue d’une élection, les bulletins papier peuvent être recomptés. L’histoire politique récente l’a montré : lorsque d’infimes écarts séparent les candidats, chaque voix compte. Le vote électronique n’est pas généralisé, s’il peut être hacké, ou tout simplement contesté, peut affaiblir l’issue d’un scrutin.

Faut-il pour autant en faire le deuil ? Le site de débats Political Beta, sur la plateforme StackExchange, creuse les voies d’amélioration, de sécurisation, du vote électronique sur internet. Et même si tous les enjeux soulevés ne sont pas éteints, même si le vote papier reste la panacée démocratique pour la majorité des intervenants, une conclusion s’impose : aucun système ne sera incontestable sans traçabilité papier (ou fichier) des votes et sans audit post-électoral. Dans un bureau de vote, c’est déjà possible ; sur internet, le chemin est encore long pour créer les conditions d’une confiance suffisante des électeurs et des candidats.