Vote en ligne : la cryptographie à la rescousse

Pour Steve Kremer, 2015 restera sans nul doute une année charnière. « En effet, en l'espace de quelques mois, j'ai été amené à devenir responsable d’une nouvelle équipe au sein du centre de recherche Inria Nancy Grand-Est (Pesto) et à lancer les travaux du projet SPOOC sélectionné par l’ERC l'année précédente, explique le chercheur. C'était une période très excitante et avec le recul je pense que c'était un "alignement de planètes" idéal : c'est toujours plus facile de fédérer une nouvelle équipe autour d'un projet débutant ! » Le centre d'intérêt de PESTO, qui compte aujourd'hui 10 membres permanentes et permanents est le développement de méthodes et techniques pour l'analyse et la conception de protocoles de sécurité. 
« Aujourd'hui, ces protocoles cryptographiques occupent une place très importante dans nos usages d'Internet et plus largement dans nos vies quotidiennes. Ce sont des éléments clés de la confiance que nous plaçons dans nos messageries, dans les sites d'e-commerce, de banque en ligne. Les protocoles de sécurité sont aussi la clé du développement du vote par Internet, et c'est ce dernier volet qui figure au cœur du projet SPOOC (Automated Security Proofs of Cryptographic Protocols: Privacy, Untrusted Platforms and Applications to E-voting Protocols). »

© Inria / Photo G. Scagnelli

Mieux sécuriser le vote par Internet 

Déjà assez largement utilisé pour les élections professionnelles, le vote par Internet tend à se développer dans la sphère publique – en Estonie, pays pionnier de l'e-voting , en Australie, en Suisse… Mais c'est loin d'être la déferlante qu'on aurait pu supposer. Plusieurs pays dont la Norvège ont ainsi stoppé leurs efforts après de premières expérimentations. L'État français, quant à lui, a été plus loin, proposant le vote par Internet aux Français et Françaises de l'étranger pour les législatives de 2012… avant de faire machine arrière pour celles de 2017. Les raisons de cette volte-face tiennent essentiellement aux questions de sécurité.

Lors de la première campagne électorale un ingénieur français avait ainsi démontré qu'il était possible d'utiliser un logiciel malveillant pour divulguer les votes et en plus en changer le contenu en remplaçant le choix de l'électeur ou l'électrice par un autre au moment du vote. Cette mésaventure pointe du doigt la complexité de la sécurisation du e-vote qui se révèle tributaire non seulement de la fiabilité intrinsèque des protocoles de sécurité, mais aussi de la capacité des systèmes de vote à résister à des agressions extérieures.

L'anonymat en première ligne

Dans le cadre de la bourse ERC Consolidator , Steve Kremer a choisi de concentrer les travaux sur l'un des paramètres essentiels de la sécurité d'un vote : l'anonymat.
« En clair : à l'issue d'une élection il doit être impossible de savoir comment une personne particulière a voté. On doit garantir la non-traçabilité. »
Le premier volet de SPOOC porte donc sur la conception d'outils de vérification de protocoles spécifiques à la problématique de l'anonymat, sachant que c'est un terrain de jeu nouveau pour la vérification formelle qui s'est jusqu'à présent essentiellement penchée sur les domaines de l'authentification et du secret. « Nous avons déjà considérablement avancé sur cette facette du projet avec la mise au point d'un premier outil. Baptisé DEEPSEC (pour Deciding Equivalence Properties in Security Protocol), ce dernier a d'ailleurs fait l'objet d'un papier récompensé lors du dernier symposium de l'IEEE sur la sécurité et la confidentialité. »

Quelle sécurité sur les plates-formes compromises ?

Un deuxième volet du projet porte sur l'étude des techniques permettant d'exécuter des protocoles de sécurité sur des plates-formes compromises.
« Jusqu'à ces dernières années, on avait tendance à considérer que les agressions ciblaient les réseaux mais que les ordinateurs en eux-mêmes demeuraient des plates-formes sûres. Mais aujourd'hui la multiplication des malwares nous amène à admettre que les attaquantes et attaquants peuvent également prendre le contrôle d'une partie des machines elles-mêmes. »
L'objectif de SPOOC est ici d'envisager le recours à des mécanismes de sécurité supplémentaires qui permettraient de pallier la perte de confiance vis-à-vis de l'ordinateur.

Deux pistes sont actuellement étudiées.
La première concerne le recours à du hardware dédié pour la manipulation des données sensibles (clés cryptographiques, clés USB).
La seconde porte sur les méthodes multifacteur avec l'usage d'un objet extérieur, non connecté à l'ordinateur pour confirmer l'authentification à l'instar des codes de confirmation envoyés par SMS pour valider des achats en ligne. « Pour l'heure nos travaux se concentrent sur l'étude de protocoles intégrant un deuxième facteur d'authentification utilisés par les géants du Net et sur leurs capacités de résistances aux attaques extérieures. »

Première collaboration industrielle

Synthèse des deux volets précédents, la troisième partie du projet SPOOC s'ouvre actuellement.

« Notre objectif est d'utiliser les outils et les techniques développés par ailleurs pour les appliquer à la problématique spécifique du vote électronique » , poursuit Steve Kremer. « Il s'agira ici non seulement de concevoir de nouvelles techniques de vérifications formelles dédiées aux protocoles cryptographiques assurant la sécurité du vote, sur le plan de l'anonymat comme sur celui de la vérifiabilité (mon choix est bien celui qui a été enregistré), mais aussi de fiabiliser le processus par l'intégration d'un hardware externe dans la boucle de sécurisation afin de contourner les risques liés à une machine qui pourrait avoir été compromise par une attaque extérieure. Les premiers travaux engagés sur ce volet nous amènent à réfléchir à la description formelle du concept de "secret du vote" car pour l'heure il nous est difficile de nous appuyer sur une définition claire… Par ailleurs des membres de l’équipe PESTO ont engagé une collaboration avec la société espagnole Scytl pour une vérification formelle des propriétés d'anonymat et de vérifiabilité d'un système de vote en vue d’un déploiement dans le Canton de Neuchâtel en Suisse. »

Bourse ERC : une reconnaissance et un accélérateur

Trois ans après les débuts de SPOOC , Steve Kremer porte un regard enthousiaste sur l'aventure ERC.
« Être lauréat ERC c'est avant tout une reconnaissance internationale très appréciable. Mais c'est aussi un moyen d’obtenir des conditions de travail et de réalisation de ses travaux de recherche optimales. Avec le recul je pense que la bourse nous a fait gagner un temps considérable. En effet elle nous a permis de financer rapidement des recrutements sans avoir à aller "à la pèche aux ressources". Concrètement grâce à elle nous avons pu intégrer à notre équipe deux jeunes chercheurs de talent. À l'heure qu'il est ils seraient sans doute ailleurs si nous avions dû trouver le budget nécessaire à leur recrutement par les canaux habituels ! »