Vote électronique : 5 questions pour en savoir plus avec Steve Kremer

Le vote électronique rassemble deux grandes familles de types de votes : le vote sur machine en bureau de vote, et le vote à distance par Internet, depuis un smartphone ou un ordinateur.

© Inria / Photo G. Scagnelli

Il existe un grand nombre de protocoles avec des fonctionnements tout aussi divers. Prenons l’exemple du protocole Helios (qui est également la base de Belenios).

Le principe est celui, bien connu, du chiffrement à deux clés. Sur son ordinateur, le citoyen dépose son bulletin de vote, chiffré à l’aide d’une clé publique. Cette clé de chiffrement est connue de tous, tandis que la clé de déchiffrement est, elle, gardée secrète. Le bulletin est ensuite envoyé sur un serveur, qui le rend visible sur un tableau d’affichage afin de permettre au votant de vérifier que le "chiffré" de son vote a bien été pris en compte.

Une fois que tout le monde a voté, le serveur déchiffre le résultat grâce à un système dit homomorphe, c’est-à-dire qu’à partir du chiffrement de chacun des votes, il construit le chiffrement de la somme de tous les votes, soit celui du résultat. Il ne décrypte donc pas chaque vote un par un, mais uniquement le résultat final. 

Le système donne enfin une "preuve à divulgation nulle", qui permet de s’assurer que le résultat correspond à ce qui a été chiffré à l’intérieur, sans pour autant donner la clé de déchiffrement qui permettrait à une personne, si elle se la procurait, d’aller voir les votes individuellement. Pour éviter cela, la clé de déchiffrement est également "coupée en morceaux", eux-mêmes répartis entre plusieurs personnes de confiance afin que nul ne puisse, seul, déchiffrer chaque vote.

Les raisons peuvent être multiples et dépendent bien évidemment du contexte.

Les enjeux d’élections politiques, professionnelles ou associatives ne sont pas les mêmes. Une raison souvent invoquée est la volonté de faire baisser l’abstention. Malheureusement, des études menées dans d’autres pays montrent que cela ne fonctionne pas, ou alors de façon très limitée.

Certains modes de scrutins peuvent aussi être très compliqués à dépouiller : la "méthode de Condorcet" demande par exemple à l’électeur de classer les candidats par ordre de préférence, et calculer le gagnant à la main est alors loin d’être facile.

Parfois, la logistique d’un scrutin électronique peut aussi s’en trouver simplifiée : plus besoin de volontaires pour tenir des bureaux de vote. Finalement, dans certains cas, le vote électronique peut améliorer la sécurité par rapport à un vote par correspondance qui, souvent, ne donne que de très faibles garanties.

On relève aujourd’hui plusieurs questions techniques liées au vote électronique. Que se passe-t-il si mon ordinateur a été infecté par un malware qui modifie mon vote ? Comment s’assurer que le serveur n’effectue pas du bourrage d’urne en ajoutant lui-même des votes au tableau d’affichage ? Les programmes que j’exécute sur ma machine ne présentent-ils pas de bugs, notamment dans le comptage ? Et même si j’arrive à montrer qu’il n’y a pas de bugs, est-ce vraiment ce programme-là qui s’exécute sur la machine ?

Il existe aujourd’hui des solutions qui permettent de répondre à la plupart de ces problématiques, mais elles complexifient les procédures de vote et aucun système ne répond de façon satisfaisante à tous ces problèmes en même temps. Il y a de très bonnes idées dans des papiers académiques, mais qui rencontrent un véritable problème d’utilisabilité, ce qui ne les rend guère réalistes à déployer à grande échelle.

C’est particulièrement le cas pour le vote sur Internet, pour lequel l’absence d’isoloir met à mal les deux propriétés fondamentales du vote que sont le secret et l’intégrité : comment savoir que c’est bien la bonne personne qui utilise ses identifiants pour voter ? que le votant n’a pas vendu son vote ? ou encore que celui-ci ne subit pas de pression directe d’un proche au moment où il vote ?

Aucune des solutions déployées aujourd’hui n’arrive à répondre correctement à ces questions.

Cela dépend de l’utilisation que l’on souhaite en faire.

En France, remplacer un vote papier par un vote sur machine présente peu d’intérêt , dans la mesure où le système de vote papier est bien rodé, très simple à dépouiller, et transparent. Bien évidemment, la sécurité parfaite n’existe pas. Mais il est beaucoup plus difficile de tricher à l’échelle en vote papier qu’en vote électronique.

Remplacer un vote traditionnel, en présentiel dans un bureau de vote, par un vote par Internet change encore plus la donne. On passe alors d’un vote effectué dans un milieu très contrôlé à un vote sur Internet dans lequel on perd tous les éléments de sécurité.

Cela fonctionne sur des élections de moindre enjeu, comme des élections professionnelles pour lesquelles il existe aujourd’hui des solutions satisfaisantes. Mais pour une élection politique à enjeu fort nous ne sommes pas encore au point, nous n’avons pas encore de solution qui puisse répondre aux problématiques soulevées et garantir un vote entièrement sécurisé.

En revanche, le vote par Internet peut être une solution en remplacement du vote par correspondance puisque les problématiques sont comparables, et possiblement un bon compromis pour les Français de l’étranger qui doivent se déplacer dans une ambassade pour voter, parfois loin de leur logement ; mais il faut, encore une fois, être conscient que cela engendre plus de risques.

Si l’on envisage de remplacer le vote traditionnel par le vote électronique, il faut ainsi être conscient des menaces possibles et faire un choix éclairé en fonction des populations visées, des situations et des solutions qui s’offrent à nous.