04/02/2020

Pour les Suisses-ses de l’Etranger : vote électronique ou envoi électronique ?

Un des (rares) arguments récurrents en faveur du vote électronique est le vote des Suisses-ses de l’Etranger. Indépendamment de la question de leur accorder ou non le droit de vote (une question qui mérite d’être discutée comme c’est le cas ici), il est vrai qu’ils ont souvent des problèmes à l’exercer. En effet, en raison des lenteurs des services postaux hors de Suisse, les documents de vote arrivent souvent trop tard. Soit à leur domicile, soit, après avoir été remplis et renvoyés, au bureau de vote en Suisse. Certains considèrent que le vote électronique pourrait être une solution, notamment l’Organisation des Suisses de l’Etranger (OSE), qui exige depuis de nombreuses années la généralisation immédiate du vote électronique, sans faire grand cas des problèmes de sécurité. Il est vrai que, depuis la décision du Conseil fédéral de mettre un terme (hélas temporaire) aux essais de vote électronique suite à d’importants problèmes de sécurité, la participation électorale des Suisses de l’Etranger a chuté. De nombreuses personnes concernées se sont notamment plaintes de n’avoir reçu les documents électoraux qu’après le scrutin.

Les documents du e-voting sont envoyés… par la poste

C’est là que l’on constate que le vote électronique n’est pas une vraie solution à la problématique du vote des Suisses établis hors des frontières. Car les documents électoraux pour voter sur Internet sont en réalité envoyés… sur papier et par la poste. Donc, si les services postaux traînent, les Suisses de l’Etranger ne pourront quand même pas voter, même si on leur met un canal électronique à disposition. Une solution pourrait être l’envoi électronique des documents électoraux, comme le propose la motion Zanetti, assez nettement acceptée en juin 2019 par le Conseil national (115 à 68). Ainsi, les électeurs établis hors de Suisse recevraient les bulletins de vote à temps. Certes, ils devraient ensuite les imprimer et les renvoyer sur papier (histoire de garantir que le dépouillement ne subisse ni bug, ni manipulation, ni attaque informatique), mais cela pourrait avoir lieu avant l’envoi des documents papier au corps électoral domicilié en Suisse. Cependant, la Commission des Institutions Politiques du Conseil des Etats (CIP-E) a décidé, le 31 janvier dernier, de proposer le rejet de cette motion à l’unanimité. Le motif est limpide : «la sécurité d’un envoi électronique ne pouvant pas être suffisamment garantie.» Cet avis rejoint celui du Conseil fédéral, qui affirme que cela engendrerait un important risque de manipulation. Il faudra toutefois qu’il explique comment il peut affirmer que le vote électronique pourrait être sûr, tout en prétendant que l’envoi électronique ne le serait pas.

Qu’en pense l’OSE ?

Et comment a réagi l’OSE ? Probablement toute obnubilée qu’elle est par le seul vote électronique, elle n’a tout simplement pas réagi au refus par la CIP-E d’une proposition pourtant favorable à ceux qu’elle prétend défendre. Peut-être se rend-elle compte que, si la sécurité de l’envoi électronique ne peut pas être garantie, c’est bien parce que ce n’est pas le cas de celle du vote électronique non plus.

 

Cela dit, lors de la même séance, la CIP-E a aussi décidé de ne pas prendre de décision à propos de l’initiative parlementaire Zanetti(Grüter) demandant un moratoire sur le vote électronique. Pour éviter un fiasco démocratique, il ne reste plus qu’à signer l’initiative populaire pour un moratoire sur le e-voting !

15/08/2019

Les algorithmes votent à la place des citoyens : un cauchemar signé avenir.suisse

Récemment, avenir.suisse, qui nous avait plutôt habitué à son mépris pour la démocratie tant directe que parlementaire, a publié un document sur la démocratie directe numérique. J’ai d’ailleurs déjà abordé leurs fadaises à propos du vote électronique. Mais une lecture attentive d’une de leurs propositions passée inaperçue fait autrement plus froid dans le dos que les grandes lignes dont ont parlé les médias. En effet, une de leurs propositions n’est rien de moins que la réalisation d’une des pires dystopies qui soit : le remplacement due la volonté populaire par celles des algorithmes. Oh, bien sûr, la boîte à idée néolibérale ne le dit pas comme ça. Mais, au détour de ses fariboles sur le vote électronique, on trouve un paragraphe inquiétant (p. 64) : la généralisation du e-voting doit permettre « d’intégrer [les] plateformes d’aide au vote dans l’architecture de vote électronique ». Et ce pour favoriser la transparence ( ?) et la simplicité ( ?). Cela ne signifie en réalité rien de moins que l’intégration des systèmes (dont j’ai déjà abondamment parlé) comme « smartvote » ou « vimentis » directement dans les bulletins de vote électronique. Et donc de faire en sorte que les électeurs votent directement comme le leur suggère smartvote et consorts, en un clic. Certes, c’est déjà possible à l’heure actuelle, à condition de recopier les suggestions de vote à la main. Mais cette étape est cruciale. Car n’en déplaise aux technoturbos, écrire quelque chose à la main force à y réfléchir à deux fois. Alors que si le système de vote lui-même permet, voire suggère de voter comme smartvote et que c’est facile, l’incitation sera forte de remplir le questionnaire, puis de se fier aveuglément à ses recommandations. Un clic et hop, devoir civique accompli !

Mais où est le problème, me direz-vous ? Ne devrais-je pas faire confiance au libre arbitre des citoyens comme au savoir-faire de smartvote et laisser les gens voter comme bon leur semble (et tant pis si c’est un algorithme qui décide à leur place) ? Et bien non, et ce pour deux raisons.

Smartvote = fadaises

La première raison est le manque de sérieux de smartvote, vimentis et consorts. Comme j’ai déjà eu l’occasion de l’expliquer dans de nombreux billets, les questions posées par ces plateformes d’aide au vote sont tout sauf sérieuses. Souvent, elles mélangent les sujets ou ne donnent un aperçu que très partiels de dossiers très complexes. Souvent, elles sont contradictoires. Souvent ce ne sont que des généralités à des lieues des nuances que recèle tout choix politique. Bref, voter en se fiant à smartvote revient à tirer au sort une poignée de candidats dans une liste ou à jouer son oui ou son non à pile ou face (éventuellement s’abstenir si la pièce reste sur la tranche). Par ailleurs, un algorithme de recommandation de vote n’est rien d’autre qu’une escroquerie, car il prétend objectiviser un choix qui est forcément subjectif. Et qui est par ailleurs si complexe qu’il est tout bonnement impossible à résumer en une seule question à laquelle il faut répondre par oui, non ou plutôt oui/non. Certes, au final, lors d’une votation, il faut toujours répondre par oui, non ou abstention. Mais la question ne fait jamais deux lignes. Un projet soumis au vote des élus et du peuple peut compter plusieurs dizaines, voire centaines de pages. Et si l’on hésite, il n’est pas possible de répondre par « plutôt » comme chez smartvote.

Pas de décisions algorithmiques !

Mais c’est surtout la deuxième raison qui est la plus cruciale. En se fiant aux recommandations de smartvote et consorts, l’électeur ne décide plus rien. Il obéit à un algorithme. Un algorithme dont il ne sait rien. Ni de sa conception, ni de son fonctionnement. Et d’ailleurs, les lui expliquerait-on qu’il n’y comprendrait rien (j'avoue être dans ce cas). Il est en outre impossible de savoir si l’algorithme « de recommandation de vote » ne favorise pas un parti politique ou un certain type de candidats plutôt que d’autres, par exemple en posant plus de questions sur un thème en particulier que sur d’autres thèmes certes cruciaux pour l'avenir du pays, mais plus difficiles à résumer en petites questions à la mode smartvote. Ainsi, un questionnaire qui contiendrait beaucoup de questions sur la protection de l’environnement favoriserait nettement certains partis. Et d’autres si ces questions portent majoritairement sur l’immigration ou l’intégration européenne. Et même si le questionnaire est équilibré au niveau des thèmes, rien n’indique qu’un de ses concepteurs n’a pas falsifié l’algorithme pour qu’il favorise les candidats du bord politique qui a sa préférence en les faisant remonter dans le classement, peu importe leurs réponses. Ou qu’une erreur de programmation ne n'entraîne la même conséquence. Dans tous les cas, il est impossible d’en avoir le cœur net, les algorithmes de smartvote et consorts n’étant pas publics.

Quoi qu’il en soit, cette proposition d’avenir.suisse ouvre la porte au remplacement par des algorithmes de la libre décision des électeurs, donc à la mort pure et simple de la démocratie. Cette proposition est dans la droite ligne de ses précédentes propositions anti-démocratiques comme son soutien au frein à l’endettement (un algorithme qui décide à la place des élus et du peuple), le remplacement des décisions politiques (donc des élus et du peuple) par des décisions « d’experts » ou des mécanismes automatiques d’augmentation de l’âge de la retraite ou de baisse des rentes (encore des algorithmes). Derrière ces propositions se cache en réalité une volonté de priver les gens de leur libre-arbitre, en tout cas de restreindre les sujets sur lesquels ils peuvent donner leur avis. Et même si telle n’est pas la volonté d’avenir.suisse (laissons leur le bénéfice du doute), c’est en tout cas la conséquence de leurs propositions. Bref, tout cela est fort peu libéral.

*  *  *

J’aurai, comme lors des dernières élections, l’occasion de revenir sur les questions de smartvote et consorts. Mais pour cela, il faudra que je remplisse ces questionnaires d’abord (il faudra attendre le 20 août pour m’y mettre…). Donc, stay tuned !

14/03/2019

Vote électronique Scytl/La Poste: c’est bien pire qu’une « simple » faille

Hier, une faille importante a été révélée dans le logiciel de vote électronique de La Poste. Ce n’est hélas pas un énième problème de sécurité informatique. C’est bien pire. Car, en plus de la faille elle-même (qu’un expert à qualifié de « stupéfiante » et qu’un autre a considéré comme relevant « d’une programmation négligente »), ce sont les circonstances de sa découverte et la réaction tant de La Poste que des autorités qui doivent fortement nous inquiéter. 

1. La faille n’aurait jamais dû être ni trouvée, ni révélée
Si les conditions imposées par La Poste pour tester la sécurité de son système de vote électronique avaient été respectées, la faille n’aurait jamais été découverte, ni rendue publique. En effet, la faille a été découverte hors du périmètre du test. Si quelques spécialistes beaucoup plus inspirés par l’intérêt général que La Poste n’avaient pas publié la totalité du code (ce que La Poste a condamné), personne n’aurait pu découvrir le problème. Et si les participants au test avaient respecté les incompréhensibles clauses de confidentialité imposées par La Poste (qui avait décidément peur que quelqu’un trouve un problème et en parle), le problème n’aurait jamais pu être rendu public. Le vote électronique serait resté vulnérable à l’insu de tout le monde. Cela démontre que ce test d’intrusion n’est qu’une vaste opération de relations publiques et que l’objectif de La Poste n’est pas de trouver d’éventuels problèmes, mais plutôt de faire croire qu’on a pu (un peu) les chercher.
Mais il n’y a pas que le test public qui a été volontairement restreint. Le Prof. Haenni de la HES bernoise (pourtant favorable au e-voting!), relève que les tests préliminaires menés par l’EPFZ, l’Université de Cambridge et KPMG auraient pu et dû trouver cette faille… si on les avait laissé chercher au bon endroit. Or, là aussi, La Poste a limité le périmètre d’investigation. C’est un peu comme partir à la recherche des cités perdues des Incas sans fouiller la Cordillère des Andes*. M. Haenni en conclut qu’il y a probablement d’autres failles aussi importante cachées à d’autres endroits du code. Pas rassurant.

2. Scytl et La Poste savaient dès 2017, mais Scytl n’a pas corrigé le problème
Tout aussi grave: La Poste a dû admettre que le problème était connu depuis longtemps, qu’elle avait demandé à Scytl de le corriger, mais que cela n’avait été fait que « partiellement ». On croit rêver devant tant d’amateurisme et d’incompétence. Ce n'est d'ailleurs pas la seule cachotterie de Scylt, qui a prétendu que le système en question n'avait pas été utilisé dans l'Etat australien de Nouvelles-Galles-du-Sud. Ça aussi ce n'est pas vrai.

3. Cette faille confirme qu’une seule personne suffit pour manipuler un scrutin par vote électronique
Lorsque les adversaires du vote électronique avancent qu’un vote par Internet est beaucoup plus facile à frauder qu’un vote sur papier (ce qui nécessite beaucoup de logistique et de complices pour être efficace), on leur rit au nez. Certains prétendent même la bouche en coeur que le e-voting est « plus sûr que le vote sur papier ». Or, cette faille est, selon Matthew Green, professeur de cryptographie à la John Hopkins University, la preuve qu’une seule personne bien placée peut falsifier la totalité des résultats sans que personne ne s’en aperçoive. Pis, les votes en questions seraient considérés comme ayant été « vérifiés ». Certes, cette personne doit se trouver à l’interne de l’autorité qui organise le scrutin, mais, une fois que l’on a trouvé comment la corrompre, la faire chanter (ou tout simplement la convaincre par un autre moyen de modifier le résultat), cette unique personne suffit à organiser une fraude portant sur la totalité du résultat (et non pas sur quelques votes éparse comme lors d’une fraude « papier »). M. Green conclut: « Lors d’une élection, il ne devrait jamais y avoir une seule personne qui soit en mesure d’organiser un fraude invisible. Or, le système de vote électronique Scytl/La Poste permet cela ». Sarah Jamie Lewis, l’experte canadienne en cryptographie qui a découvert la faille, considère en outre qu’aucun système de vote électronique ne devrait contenir pareille porte dérobée.

4. Le futur système de vote électronique ne remplit pas les garanties légales
Rarement un communiqué de la Chancellerie fédérale n’aura été aussi sévère, surtout avec son enfant chéri qu’est la généralisation coûte que coûte du vote électronique. Selon la Chancellerie, « La présence de cette faille empêche le système de répondre aux exigences légales pertinentes ». Voilà qui est dit. Mais malgré tout, on continue comme si de rien était. La preuve que, lorsque Berne dit qu’en matière de vote électronique, « la sécurité passe avant la précipitation », c’est du vent.

5. KPMG a certifié que le système était sûr… mais c’était faux
Là encore, un couac majeur. L’entreprise de consulting KPMG a certifié que le système de vote électronique remplissait les conditions légales…. malgré l’existence de la faille qui a conduit la Chancellerie a conclure que le système ne remplit pas les exigences légales. Cette certification est donc le fruit d’incompétents, incompétence le cas échéant légèrement atténuée par le fait que La Poste a interdit de chercher au bon endroit. Toutefois, s’ils avaient été compétents, ces experts n’auraient jamais dû se contenter de chercher uniquement là où on leur a dit de le faire. La Chancellerie fédérale a d’ailleurs déjà tiré des conséquences et va revoir sa procédure de certification (Comment? On n’en sait rien…).

6. Le système utilisé actuellement n’offre pas les mêmes garanties… mais reste en fonction
Autre point intéressant: la faille majeure concerne la « vérifiabilité individuelle ». Derrière ce concept un peu barbare se cache l’idée que les citoyens puissent contrôler après avoir voté que leur vote a bel et bien été enregistré (enfin, c’est ce qui s’affichera sur leur écran, car en réalité, il ne pourront pas vérifier si le vote est bel et bien dans l’urne et s’il sera compté correctement). Ce concept doit être, selon la Chancellerie fédérale, le grand progrès qui rendra le vote électronique digne de confiance. Or, cette fonction n’est pas encore en vigueur. Le vote électronique tel qu’il existe actuellement dans certains cantons ne prévoit pas la vérifiabilité individuelle. Il est donc, du point de vue des partisans du vote électronique eux-même, nettement moins sûr que le futur système. Mais ce système actuel reste pourtant en vigueur, malgré le fait que le futur système qui doit être plus sûr ne l’est finalement pas tant que ça.

7. Il est impossible d’exclure que des scrutins aient été manipulés en Suisse
Même si le système de vote électronique où cette faille a été trouvée n’est pas encore en fonction dans notre pays, La Poste et Scytl sont incapable de démontré que leur système actuellement en service n’a pas permis de falsifier des scrutins ayant déjà eu lieu. Comme la programmation de leur futur système qui doit être « sûr, vérifiable, inattaquable » etc. a été descendue en flamme par les experts, le risque est que les systèmes actuels ne soient pas de meilleure facture. Donc bourrés de failles. Dont personne ne remarquerait l’utilisation. De quoi jeter le discrédit sur la légitimité de nombreux scrutins.

Si vous êtes aussi effrayé que moi, soutenez l’initiative pour un moratoire sur le vote électronique, qui sera lancée ce samedi!

 

 

* Oui, je viens de re-regarder l’intégrale des « Cités d’or »