Logo Ordinateurs–de–Vote.org Citoyens et informaticiens
pour un vote vérifié par l'électeur

Accueil du site > Questions qui dérangent > Pourquoi les urnes sont transparentes et les logiciels des machines à voter (...)

Pourquoi les urnes sont transparentes et les logiciels des machines à voter secrets ?

21 août 2005

Les urnes sont transparentes pour symboliser que l’élection se fait au vu de tous, et contrôler par exemple qu’elle est vide au début du scrutin.

Il est plus difficile d’expliquer le secret qui entoure les logiciels des machines à voter : prétendue sécurité par l’obscurité, protection commerciale, voire qualité médiocre.

Le premier argument invoqué est la sécurité. C’est recourir au concept contestable de sécurité par l’obscurité [1]. C’est comme de cacher un double de la clé de votre maison, au cas où vous seriez enfermé dehors. La faille de sécurité est que quelqu’un puisse rentrer chez vous avec cette clé. Cette faille est supposée comblée par l’ignorance de l’existence de cette clé cachée. Mais les cambrioleurs malins savent où chercher...

En informatique, c’est notamment garder secret le code source d’un logiciel. Ce qu’est le code source : explication. Si une faille existe, quelqu’un de malintentionné n’en saura peut-être rien, et ne pourrait donc pas en profiter. Mais cette faille va perdurer parce que peu de gens la cherchent (les concepteurs du logiciel et quelques pirates). Si un pirate la découvre, il pourra en user silencieusement très longtemps.

A l’opposé, un Logiciel Libre (ou Open Source [2]) voit son code source publié sur Internet. Pour peu qu’il soit populaire, beaucoup de monde le scrute : les failles sont découvertes rapidement.

Il est plus approprié de créer de l’obscurité lors de l’utilisation [3] d’un Logiciel Libre ou Open Source. Rien ne vous oblige pas à afficher sur votre porte le fabricant et le numéro de série de sa serrure. En cryptographie, la sécurité n’est généralement pas assurée par du secret autour de la technique de cryptage, mais uniquement par la protection de la clé.

Le deuxième argument invoqué est d’éviter de livrer ses secrets de fabrication à ses concurrents. Ou de faciliter ainsi l’entrée sur le marché d’un nouveau venu. Il est bien connu que l’Etat achète fréquemment des biens volés... Notons qu’une société aussi importante qu’IBM vit très bien en donnant le système d’exploitation Linux à ses clients : elle vend le matériel (les ordinateurs) et facture du service (la configuration des logiciels libres). Dans le cas précis des machines à voter, il est bien étrange que les intérêts commerciaux priment sur la démocratie.

Un troisième argument inavouable est de cacher la médiocrité de son travail. Bien écrire un logiciel n’est pas chose facile, mais le faire au grand jour incite à la qualité.

Les divers systèmes d’exploitation pour votre ordinateur illustrent cela :

  • Windows, dont vous connaissez peut-être le caractère capricieux et la sensibilité aux virus, préfére l’obscurité : son code source n’est pas publié.
  • Linux, sûr et fiable, est un Logiciel Libre.
  • le noyau de Mac OS X (Darwin) est Open Source.

Une société peut parfois divulguer son code source à des personnes triées sur le volet (après leur avoir fait signé maints documents juridiques), par exemple lors de l’agrément des machines à voter. Ce n’est pas toujours le cas en France, en dépit des recommandations de la CNIL. Et comment procéde-t-on à l’étranger ? Détails concernant tous ces points.

Dans le cas du vote électronique, publier le code source, outre l’aspect quasiment philosophique (le fonctionnement d’une élection est public, le code source devrait l’être également) serait une tentative de s’assurer qu’il n’y a pas de fonctionnalité cachée dans le logiciel. Pas d’oeuf de Pâques, ni de cheat code, ni de backdoor... Hélas seulement une tentative, car comment garantir que la machine à voter devant vous le jour de l’élection contienne bien le logiciel publié ?

Notes

[1] Principale source de cet article : Wikipedia[eng].

[2] La différence entre Logiciel Libre et Open Source est ailleurs : notamment dans la possibilité de réutiliser le code source publié pour produire un autre logiciel, et dans le statut de ce nouveau logiciel, devant obligatoirement être aussi un Logiciel Libre ou non. Pour compliquer les choses, il existe une multitude de licences définissant ces règles.

[3] Exemple de raisonnement à propos de la sécurité d’un système FreeBSD (cousin de Linux, moins connu) raccordé à Internet.

©© ordinateurs-de-vote.org - dernière modification : mercredi 20 septembre 2017.

8 Messages de forum

  • Bonjour.
    Permettez-moi d’éclairer un point, certes de détail, mais qui a tout de même son importance. J’en parle en bon connaisseur de l’univers Mac, utilisateur et développeur.
    Mac Os X n’est pas comme vous l’affirmez open-source, loin de là. Ce qui est open-source, c’est darwin, son noyau, certes une part importante et fondamentale du système, mais pas le système d’exploitation dans sa globalité.

    Répondre à ce message

  • restons simple dans les comparaisons 5 mars 2007 02:03, par Derek

    la comparaison avec la cryptologie et les systèmes d’exploitation est peu compréhensible par le citoyen non-informaticien, tient plus du jugement de valeur (l’informaticien utilise souvent le mot "troll" au lieu de "jugement de valeur") que de l’argumentaire, et est de toute façon fallacieux (le rapport entre les plantage de Windows utilisé par un ado qui installe 4 jeux piratés par semaine téléchargés sur emule et la fiabilité d’une machine à voter est tirée par les cheveux)

    Répondre à ce message

  • Je partage l’opinion de monsieur Stallmann, citée en référence, à savoir que rien n’est plus sûr que les bulletins papiers avec un système de dépouillement manuel où quiconque peut assister.

    Néanmoins on pourrait imaginer des moyens de permettre à un citoyen de s’assurer de la bonne version du logiciel.
    Par exemple, avec des terminaux bêtes et génériques, comme un PC avec un lecteur de CD et aucun disque dur, un le logiciel apporté sur CD-Rom non réinscriptible dont les différents assesseurs auront pu à tout moment pendant l’élection vérifier le contenu (par exemple le checksum du CD, sorte d’empreinte digitale court de son contenu long), s’entendant que le fournisseur de la solution aura fourni le code source et la procédure de compilation permettant d’arriver au même CD-Rom, pour comparaison.
    Néanmoins cette procédure de vérification nécessitera une formation des assesseurs. Je ne doute pas que les partis politiques se chargeront chacun de former leurs assesseurs, comme ils les forment souvent à détecter certaines formes de fraudes. Mais quand même... Pour quel enjeu ?

    Evidemment ce genre de chose pousse à rendre la machine à voter tellement simple que cela va sabrer le modèle économique du fabriquant de machine à voter, qui se transforme en éditeur de logiciel, qui plus est nécessairement open-source. Cela dit si l’enjeu financier est tel pour l’état français et les collectivités territoriales, il doit y avoir moyen de trouver quelques deniers pour payer telle ou telle SS2L pour réaliser tout ça en libre. Mais je m’égare, je me mets à penser en informaticien au détriment de la compréhension par madame Michu.

    Répondre à ce message

  • Il est impossible de démontrer qu’un logiciel ne contient pas de bug. C’est admis par tous.

    De la même façon, il est impossible de démontrer qu’un logiciel dans une ’boîte noire’ ne contient pas de fonctionnalités secrètes.

    De sorte qu’une machine à voter c’est encore plus contestable qu’une urne opaque.

    Refusons ces machines !

    Répondre à ce message

    • en fait, il existe des recherches en spécifications formelles pour faire des programmes sans bugs, mais cette démarche est très coûteuse. Elle est suivie dans le cas de logiciels qui ont des vies humaines entre leurs "mains" comme dans l’aérospatial.

      Répondre à ce message

      • En effet, vous avez raison. Mias en revanche, il est impossible de prouver qu’un logiciel scellé dans un ’boîte noire’ ne contient aucune fonctionnalité secrète pas plus qu’il en contient une ou plusieurs".

        Cette spécificité arrange bien les promoteurs de ces machines qui, au mépris du Droit et de la démocratie, renversent délibérément la charge de cette preuve impossible.

        Partant, il y a en fait deux questions. L’une concerne la légitimité de ces machines, étant donné que la fiabilité est indémontrable. Ne sommes nous pas devant un ’casus belli franco français’ ?

        La deuxième concerne le procédé qui consiste à mettre l’électeur devant le fait accompli. Pourquoi ne sommes nous pas prévenus assez longtemps à l’avance s’il y aura ou non une machine à voter dans notre bureau de vote ?

        Enfin, soulignons que l’on peut craindre deux types de fraudes : la première provenant d’une complicité entre le maître d’ouvrage et le maître d’œuvre. Pour le dire simplement, tout le monde pense à une fraude possiblement élaborée par le candidat à la présidence, du temps où il était le ministre de l’Intérieur responsable de la préparation des élections.

        Mais il peut exister un deuxième type de fraude : le maître d’œuvre (ou l’un de ses programmeurs) aurait programmé lui-même des fonctionnalités et protocoles secrets. Peut-être pour obtenir un jour, grâce à cette épée de Damoclès, quelques avantages indus.

        Répondre à ce message

Répondre à cet article


Suivre la vie du site Syndication/fil RSS 2.0 (explications) | Plan du site | Espace privé | SPIP