Comprendre les enjeux du vote électronique - Chantal Enguehard.
Titre : Comprendre les enjeux du vote électronique
Intervenante : Chantal Enguehard
Lieu : Café Citoyen - Restaurant L’Atelier - La Chapelle sur Erdre
Date : mai 2019 2020
Durée : 1 h 11 min
Écouter ou enregistrer le podcast
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcrit : MO
Description
Alors que nous rentrons dans des périodes électorales il vous est proposé de mieux connaître les mécanismes du vote électronique et les enjeux démocratiques afférents.
En France, lors des élections politiques, des dispositifs de vote électronique sont utilisés depuis plus de 15 ans. Des entreprises, et même l’État, organisent des élections professionnelles par Internet. Des pays étrangers fournissent aussi des exemples instructifs.
Il s’agit d’évaluer la pertinence de cette évolution au regard des qualités attendues d’une élection démocratique : secret du vote, transparence, sincérité des résultats.
En France, certaines organisations tentent de promouvoir le vote électronique. Lors de l’élection présidentielle de 2007, huit des douze candidats ont pris position pour un moratoire sur le vote électronique. Trois n’ont pas pris position et un seul a soutenu le vote électronique : Nicolas Sarkozy.
Plusieurs partis politiques émettent des doutes sur l’utilisation de ces machines. En 2007, certains d’entre eux voyaient un risque dans les machines à voter. Depuis, il semble que beaucoup aient changé d’avis, du moins pour les scrutins organisés au niveau de leur structure politique.
Voilà donc autant d’éléments qui devraient susciter le débat, après avoir pris connaissance des réalités du vote électronique grâce à Chantal Enguehard.
Transcription
Mon idée c’est de vous donner des connaissances que vous allez rassembler vous-mêmes pour comprendre qu’il y a des problèmes pour le vote électronique.
Voici à peu près le plan.
C’est un problème pluridisciplinaire, ce qui explique qu’il est mal compris, puisque chacun, dans sa discipline, n’arrive pas à comprendre.
Je donnerai quelques exemples d’usage.
Les concepts qu’il est très important de bien comprendre ; ce sont ces concepts qui, mis ensemble, font une impossibilité.
Une petite typologie parce qu’il y a plein de sortes de systèmes de vote électronique,
et puis, la grosse partie, ça va être en fait qu’est-ce qui se passe quand on passe du vote papier au vote électronique.
Ensuite on va redescendre vers d’autres détails c’est-à-dire le bulletin de vote, puisque la dématérialisation pose des problèmes on s’est dit on va rematérialiser, donc finalement les recherches qui se développent en ce moment, les futurs systèmes de vote électronique et puis quelques textes qui tordent les concepts, c’est pour ça que j’ai appelé cela « opacifier la transparence » et quelques observations si on a le temps d'en arriver là ce ne sera pas mal.
Pluridisciplinarité
D’abord les élections c’est l’affaire des sciences politiques. Les sciences politiques, je ne suis pas politiste, je suis informaticienne, ingénieur en informatique, donc très ignorante, mais j’ai fini par apprendre un peu ces choses-là.
Les sciences politiques s’intéressent, entre autres, aux formes du pouvoir et une des formes du pouvoir c’est d’élire des représentants par les élections. Ce que nous apprennent les sciences politiques c’est que les élections c’est un moyen de prendre une décision qui n’est pas consensuelle sans se taper dessus. Imaginez si on devait choisir le prochain président de la République à la dispute, on ne s’en sortirait jamais. Alors que quand on fait des élections en une journée c’est plié, quelques semaines si vous voulez. Il y a une campagne et puis à la fin c’est plié. Et surtout, ce qui est important, c’est qu’il faut voir ça comme un dispositif de maintien de la paix au sens où les gens qui ont perdu l’élection, leur candidat a perdu l’élection, eh bien ils acceptent la défaite. Une élection ratée c’est une élection où les gens se battent dans la rue, c’est une élection où il y a des désordres publics, c’est-à-dire qu’il y a des soupçons de fraude, etc., des soupçons de triche, les gens n’acceptent pas la défaite. Donc une élection réussie c’est une élection où tout le monde accepte le résultat de l’élection.
Pour que les gens acceptent le résultat des élections il faut qu’ils aient des indices comme quoi ils peuvent avoir confiance dans la décision qui a été prise, dans le résultat électoral qui a été pris. Il faut qu’ils adhèrent au processus. Il faut qu’ils aient profondément conscience et confiance dans le fait que la personne qui a été désignée comme gagnante est effectivement celle qui a eu le plus de résultats, le plus de suffrages. Dans les pays où il y a des soupçons de fraude, il y a des émeutes dans la rue.
Ensuite on a une deuxième composante qui est le droit. Quand il y a des élections des fois il y a des fraudes, des fois il y a des gens qui rentrent avec des armes dans des bureaux de vote, des fois il y a des gens qui forcent les autres qu’ils ne passent pas par l’isoloir - je veux être sûr que tu vas voter pour machin ou machin. Dans ces cas-là c’est le droit qui va agir, c’est-à-dire qu’il va y avoir un contentieux électoral, une contestation du résultat électoral. Donc le droit agit. Il va y avoir des preuves, des témoignages. On va aller voir monsieur le juge, on dira « Monsieur le juge j’ai vu, dans tel bureau de vote il s’est passé ceci cela, etc. » Le juge peut annuler l’élection ou bien annuler quelques bureaux de vote. En général le juge évite parce que ça coûte cher d’organiser des élections. Il ne va pas annuler l’élection s’il y a eu une fraude sur dix enveloppes, sauf si la différence entre le candidat gagnant et son suivant est de moins de dix votes. Si vous avez une différence de 1500 voix entre deux candidats, soit vous apportez des témoignages disant qu’il y a 2000 voix qui ont été fraudées et, à ce moment-là, il y a des chances que le juge annule ; si vous apportez des témoignages disant qu’il y a 200 voix - moi j’ai vu, ils ont rajouté deux grosses enveloppes de 100 voix dans le dépouillement - eh bien, 200 voix ça ne change pas l’élection, le juge ne touche rien même s’il y a eu faute, parce que des élections ça coûte cher, etc. C’est quand même le bon candidat qui a gagné, les 200 voix litigieuses n’auraient rien changé. En gros ça se règle comme ça, le juge fait bien ce qu’il veut.
Avec le vote électronique arrive une troisième discipline qui est l’informatique. Ni les politiques, ni le droit ne comprennent rien à l’informatique et les informaticiens ne connaissent pas grand-chose au droit et aux sciences politiques non plus.
Ce qui est intéressant aussi c’est qu’avec l’informatique arrive le thème de la sécurité. Quand on parle de vote électronique, on nous parle tout le temps de sécurité. On n’en parle pas avec les autres élections ! Vous voyez bien qu’avec les élections papier il n’y a pas le thème de la sécurité. On sait qu’il peut y avoir des fraudes et on sait comment les traiter : on recueille des preuves, on recueille des témoignages, on passe devant le juge ; on sait qu’il peut y avoir des trous de sécurité. Avec l’informatique on va nier le fait qu’il y a des trous de sécurité.
Comment un informaticien voit la question du vote ? Il dit « voilà un système, on a une fonction F, on a des entrées qui sont des votes, on a des résultats qui sont des résultats électoraux, on va collecter, on va additionner tous les votes et puis voilà, il faut se débrouiller pour qu’on respecte bien, qu’on compte bien, qu’on additionne bien ce qu’il faut ». Un informaticien dit « voilà, ça marche comme ça, c’est facile, on va compter les votes ». Il ne voit pas le problème.
Pourquoi il y a un problème ? C’est ce que je vais essayer de vous expliquer maintenant.
Les usages
Les usages, histoire de dépiler ça, parce que moi je le sais et vous, vous ne savez pas et je sais que ça va vous interpeller tout le temps.
En France il y a des machines à voter qui sont utilisées pour à peu près un petit plus d’un million d’électeurs dans la région il y en a Orvault, il y en a à Pornichet, il y en a à Coueron, il y en a à Blain en pleine campagne.
Il y a aussi du vote par Internet qui a été autorisé par Sarkozy pour les Français de l’étranger, pour les élections législatives, sachant que pour des problèmes de sécurité elles n’ont pas été autorisées aux dernières élections.
En revanche, pour les élections professionnelles, le vote par Internet est autorisé et de plus en plus utilisé dans l’indifférence générale, on peut le dire.
On peut regarder un petit peu à l’international.
En Inde et au Brésil il y a des machines à voter depuis très longtemps.
Au Venezuela il y a des machines à voter dites vérifiables, j’en parlerai à la fin, avec émargement biométrique, c’est-à-dire que pour émarger on met son doigt, ça me pose question, je me dis « tiens, on a recueilli les empreintes digitales de toute la population ! »
En Estonie il y a du vote par Internet mais c’est optionnel, on peut choisir de voter papier. En revanche il y a un lien qui est gardé entre le vote et l'électeur puisqu’on peut annuler son vote.
En Allemagne ils ont interdit les machines à voter.
En Hollande c’est le pays le plus avancé au monde, ils ont voté pendant 15 ans quasiment dans tout le pays avec des machines à voter et ils ont arrêté du jour au lendemain.
En Belgique ils sont en train de diminuer
Ça commence à gagner aussi en Afrique. Au RDC Congo, les dernières élections se sont faites avec des machines à voter qui ont été utilisées uniquement, enfin officiellement, pour imprimer les bulletins de vote, les choix des électeurs sur les bulletins de vote.
Les concepts
Je reviens maintenant sur les concepts.
Voici quelques principes qui sont associés à des élections qu’on va dire démocratiques, ce n’est probablement pas un mot qui conviendrait à des politistes, mais tant pis.
D’abord l’unicité. L’unicité c’est une personne une voix.
Là je vais expliquer par rapport au vote papier qu’on connaît tous bien, ça c’est donné par la liste des émargements, on signe comme ça on ne peut pas voter deux fois. Il y a d’autres pays où c’est ???, etc. (8' 30)
La confidentialité c’est le fait qu’on vote en secret.
On voit bien qu’elle ne peut pas être respectée pour le vote à distance, quand on vote par correspondance à la maison personne ne peut s’assurer que vous êtes tout seul au moment où vous votez ; d’ailleurs on ne peut même pas s’assurer que c’est vous qui votez. Quand on est dans un bureau de vote, il y a l’isoloir qui va permettre de choisir votre bulletin tranquillement, il y a une enveloppe, on ne voit pas ce que vous avez choisi, et puis il y a environnement contrôlé. Le contrôle ce sont les membres du bureau de vote, c’est-à-dire que si jamais il y a quelqu’un qui vient vous embêter dans l’isoloir, normalement il y a quelqu’un du bureau de vote qui va intervenir et qui va dire « non, vous n’avez pas le droit. »
Normalement, si deux personnes en âge de savoir lire et écrire vont ensemble dans l’isoloir, les membres du bureau de vote vont intervenir en disant « non, vous n’avez pas le droit ». Dans les faits ce n’est pas toujours fait. J’ai discuté avec des présidents de bureau de vote ils disent que quand il y a des gens très âgés qui viennent voter, qui sont aidés, c’est délicat, il y a des situations humaines qui sont compliquées. Bref ! Il y a la réalité.
L’anonymat c’est la rupture du lien entre l’électeur et le choix qu’il a exprimé.
Par exemple, quand on brasse les enveloppes dans un bureau de vote, même si vous avez bien regardé l’enveloppe qu’a mise votre épouse dans l’urne pour savoir ce qu’elle vient de voter, ça va être dur de garder votre œil dessus jusqu’au dépouillement final. Je ne dis pas que c’est impossible, mais ce n’est pas gagné !
La sincérité, c’est un terme technique, je le dis, ça veut dire que c’est le bon candidat qui est déclaré gagnant.
Ça ne veut pas dire que les comptes sont justes pile-poil, ça veut dire que c’est le bon qui est déclaré gagnant. La sincérité est assurée par le fait que le dépouillement est public et que les gens sont vigilants : on va faire attention à l’urne, on ne va pas laisser l’urne sans surveillance, on ne va autoriser que l’urne soit transportée pour être dépouillée ailleurs par exemple, ou bien il y a des ??? 10' 35, il y a des gens autour. Si vous n’avez jamais dépouillé, je vous encourage à le faire.
Et puis la transparence.
C’est un terme intéressant parce qu’il n’est défini nulle part, il n’apparaît pas dans le code électoral, en fait c’est ce qui va permettre de faire les constats que les principes qu'il y a avant ne sont pas respectés. C’est grâce à la transparence qu’on va pouvoir voir que quelqu’un a glissé des enveloppes dans l’urne au moment du dépouillement. C’est la transparence qui va faire que j’ai vu donc je vais en apporter témoignage. Ou « Monsieur le président, il y a une porte qui a claqué et c’est bizarre, plein d’enveloppes dans l’urne n’étaient plus pareilles avant et après ». D'ailleurs, depuis qu’il y a des urnes transparentes, on ne fait plus la fraude qui consistait à échanger des urnes, qui était une fraude bien rodée.
C’est grâce à la transparence qu’on va pouvoir constater les atteintes aux principes et en apporter des preuves ou des témoignages.
C’est grâce à la transparence qu’on peut faire un contentieux électoral parce qu’un juge juge sur des témoignages ou des preuves. Il ne juge pas sur des statistiques ou quoi que ce soit ; il faut lui apporter du grain à moudre.
C’est grâce à la transparence que les électeurs vont avoir confiance dans le fait que c’est la bonne personne qui est déclarée gagnante à la fin de la journée. Tout le monde en est convaincu, on ne se bat pas dans les rues. On est sûr - on est déçu parfois – mais on est sûr que c’est elle qui a gagné et que les autres qui ont voté comme des cons ! Je suis filmée, je ne peux pas dire ça ! Et cette confiance est absolument importante parce que c’est le fondement de la légitimité des élus. Quand il n’y a pas de confiance, quand les élections sont remises en cause, quand on pense qu’il y a eu fraude non seulement il y a des désordres dans la rue et des gens qui se battent, mais ensuite, quand la personne élue veut pas gouverner, on lui dit « mais toi tu n’as rien à faire là. Tu n’a pas été correctement élue, je ne te reconnais comme décideur ou comme mon directeur ou comme je ne sais pas qui ». Donc la personne n’est pas reconnue comme représentante de la volonté des électeurs, donc n’est pas légitime pour gouverner, et sans arrêt sa légitimité va être remise en cause, elle ne pourra pas travailler. Or il y a du boulot à faire ! La gestion d’un pays ou d’une organisation c’est du boulot.
Donc ce lien entre transparence, confiance et légitimité des élus est absolument fondamental pour les élections.
13’07
La transparence j’y reviens encore. Ça c’est une urne transparente.
La transparence c’est un continuum, ce n’est noir ou blanc. Là on a une belle urne transparente. Depuis 1980 seulement on a des urnes transparentes en France.
Voilà une urne en bois, ce n’est pas mal une urne en bois mais c’est moins bien qu’une urne transparente, parce que si je veux être sûre qu’elle est vide, eh bien il faut que je l’ouvre et, en plus, il peut y avoir un double fond. Donc si c’est une urne en bois mais qu’on m’interdit de la toucher, je ne suis pas sûre qu’elle est vide ; ça c’est fait des urnes en bois avec double fond, c’est d’ailleurs pour ça qu’on est passé aux urnes transparentes.
Déjà on a perdu. Vous voyez, je ne peux pas toucher, donc je suis privée d’un des sens dont je dispose.
Il y a un troisième niveau, on vous dit « non, ce n’est pas vous qui allez voir. Il y a quelqu’un du bureau de vote qui va aller voir pour vous ». Vous allez demander à quelqu’un du bureau de vote le matin, avant le début de l’élection, si l’urne est bien vide. Il va ouvrir l’urne, il va dire « oui, c’est bon », mais vous, vous n’avez pas vu. Vous voyez bien que ça commence à se dégrader.
Après il y a un ordinateur. Vous voyez que dans le troisième cas on a un intermédiaire qui est un intermédiaire humain et dans le quatrième cas on a un intermédiaire qui est un intermédiaire logiciel et matériel.
C’est ça la notion de transparence directe ou indirecte. Vous allez voir que le mot « transparence » est évidemment tordu, on peut lui faire dire autre chose. Quand je parle de transparence c’est évidemment la transparence directe, celle qui s’exerce à l’aide de nos sens sans aucun intermédiaire matériel, logiciel ou humain. Quand on va dans un bureau de vote on peut soi-même constater les choses, chaque électeur peut constater.
Et puis à l’intérieur c’est comme ça : ce sont des circuits électroniques avec des électrons qui se déplacent et les électrons c’est tout petit et c’est très fragile.
Maintenant la notion de dématérialisation. On est dans un monde de plus en plus numérique et malheureusement c’est une notion qui n’est pas comprise.
Il y a ce tableau de Magritte Ceci n’est pas une pipe. Quand j'étais enfant je ne comprenais pas. Je voyais bien que c’était une pipe ! Pourquoi c’est écrit Ceci n’est pas une pipe. En fait, je ne peux pas fumer de tabac avec ce tableau. En revanche, je peux le rouler, je ne pourrais rouler une pipe, si je roule une pipe elle va être cassée.
Et puis les images de feu, je n’ai même pas peur, je ne me brûle pas, ce n’est pas un feu, c’est une image d’un feu. D’ailleurs je ne peux pas cuire des aliments avec. C’est une représentation d’un feu. Et là c’est une représentation d’une pipe. D’ailleurs le tableau de Magritte s’appelle La trahison des images, il y a le mot « trahison » dedans, une représentation ça trahit quelque chose. Qu’est-ce que ça trahit ? Ça trahit qu’on a des propriétés physiques différentes. Avec une pipe je peux fumer du tabac, avec une représentation d’une pipe je ne peux pas fumer de tabac mais je peux la rouler et la photocopier, c’est juste pas la même chose, c’est autre chose.
Avec le vote électronique, on a la même chose : on a une représentation des objets du vote, avec des propriétés différentes qui vont poser des problèmes.
La difficulté qu’on a c’est que ni les juristes, ni les législateurs n’ont compris ce fondement de ce qu’est la dématérialisation. Donc la réalité ce n’est pas la représentation de la réalité. C’est étonnant, finalement, d’avoir à expliquer des choses comme ça en 2019, que les images ne sont pas des choses. C’est très étonnant !
Typologie
Voici une typologie assez rapide du vote électronique pour vous montrer qu’en fait il y a une myriade de dispositifs puisque ce sont des objets qui sont fabriqués par des industriels et chacun fait bien ce qu’il veut.
J’ai quand même mis trois axes.
Environnement contrôlé, c’est en bureau de vote.
Il y a le vote à distance. On peut faire du vote à distance par téléphone, par SMS, par Internet.
Vote hybride, c’est quand on vote sur une carte qui va être dépouillée automatiquement par un scanner. Vous avez peut-être déjà voté comme ça dans le cadre professionnel ou pour des assurances.
Après, il y a le cas où les bulletins de vote sont dématérialisés ou matérialisés. Par exemple stylo numérique, ça c’est fait une fois mais on peut en parler quand même. Dans la plupart des pays on vote en cochant des cases sur un bulletin, ça s’appelle des bulletins australiens, je ne sais plus pourquoi, donc on coche des cases. La France est vraiment une exception avec le fait qu’on ait plusieurs bulletins. Quand on vote avec un stylo numérique, en fait dans le stylo il y a une caméra, il y a des repères, il y a des feuilles avec des repères, et à la fin ce sont les images de la caméra qui sont dépouillés qui vont permettre de savoir quelle case vous avez coché. Donc là vous avez un bulletin qui est matérialisé puisque vous avez coché une case. Par exemple le scanner aussi, le scanner sait que vous avez coché avec un stylo ??? 18' 35 et puis c’est dépouillé par scanner automatiquement. Il y a beaucoup ça aux États-Unis.
Ça c’est le deuxième axe et le troisième axe, le cercle, on a des systèmes qui vont gérer, ou pas, les émargements. Quand on vote, par exemple, dans un bureau de vote à Orvault où il y a des machines à voter, la machine à voter ne gère pas l’émargement, on émarge à côté : on rentre dans le bureau de vote comme d’habitude, on va voter pas comme d’habitude sur sa machine à voter et ensuite on va signer le cahier comme d’habitude, donc c’est géré à part, c’est indépendant.
En revanche, quand on vote par Internet ou par téléphone, il faut d’abord se faire reconnaître de l’application, on a reçu au préalable identifiant et mot de passe et ensuite on vote. Donc on a l’application qui va gérer en même temps l’émargement, c’est-à-dire une fois que votre vote est enregistré, vous ne pourrez pas voter une deuxième fois avec le même mot de passe et l’identifiant. Maintenant si vous en avez reçu un du voisin… mais il ne faut pas le faire.
Du vote au vote électronique
Qu’est-ce qui se passe quand on passe du vote au vote électronique.
Tout à l’heure je vous ai expliqué que la transparence directe fonde la confiance. Bon ! La transparence directe c’est fini. Il n’y a plus de transparence avec le vote électronique ; ce sont des électrons, on ne peut pas les voir se déplacer, il n’y a rien à faire. Donc c’est remplacé par des expertises.
On vous dit « il n’y a pas de problème, il y a des experts qui ont vérifié que tout va bien ». Les experts, évidemment, ne peuvent pas tout vérifier, je reviendrai un petit peu là-dessus plus loin, et puis ce n’est pas direct puisque ce sont des experts. Par ailleurs, les expertises sont évidemment secrètes, partielles, partiales, etc. En tout cas il n’y a plus de transparence directe.
La deuxième conséquence. Je vais parler maintenant plus spécifiquement des machines à voter ou du vote par Internet, c’est ce qu’on a en France, on n’a plus de bulletin papier, on a une représentation numérique. Une représentation numérique, c’est quelque chose de très fugace et qui est transformé à plusieurs reprises, c’est ça qui est important. Quand on vote avec un bulletin papier, vous avez choisi votre bulletin papier, si tant est que l’urne a été bien surveillée, que, etc., que les membres du bureau de vote ont fait leur boulot, le bulletin qui est compté le soir au dépouillement c’est exactement le même que celui que vous avez mis dans l’enveloppe. Et, à priori, les bulletins sont payés par les candidats donc l’encre qui est dessus ne va pas bouger pour écrire le nom d’un autre candidat.
Il y a des propriétés physiques des bulletins papier. Ces propriétés ne sont pas reprises ou n’existent pas en ce qui concerne les représentations numériques. C’est le fameux truc du passage à la représentation.
Quand on vote sur une machine à voter ou par Internet, on fait un geste - soit appuie sur un bouton soit on clique -, ce geste est transformé en un petite impulsion électrique, cette impulsion électrique est transformée en un codage informatique ; ce codage va être lui-même transformé à de multiples reprises et, à la fin, on nous donne les résultats électoraux, mais ces transformations ne sont pas observables. Elles ne sont pas observables parce que si on les observait de bout en bout - on pourrait imaginer faire ça, il y a des usines où on fabrique des produits de haute technologie ou des médicaments, par exemple, où tout est tracé du début à la fin parce qu’il ne faut pas qu’il y ait de bugs, on peut tuer les gens - si on traçait du début à la fin, on saurait qui a voté quoi. Donc le problème du vote est vraiment spécifique, c’est qu’en plus le vote doit être anonyme. On doit protéger le secret du vote. Donc on ne peut pas tracer. On a ce problème.
Quand on a dématérialisation et anonymat, ou dématérialisation et secret du vote, disons, eh bien on a forcément des résultats qui ne peuvent pas être vérifiés. Donc on est obligé d’accepter les résultats énoncés par le dispositif électronique sans être en mesure de les vérifier. Or, en tant qu’informaticien, on sait qu’il y a des bugs, je ne parle même pas de fraude, en plus sur des fraudes parce que les élections ça se fraude, il y a des enjeux. Mais les bugs suffisent.
On se dit qu’on ne peut pas vérifier, on va quand même essayer, est-ce qu'on pourrait voir si les résultats sont à peu près justes ou pas ?
On a une fonction, on a des entrées qui sont des votes, on a des résultats, est-ce que je peux prouver que les résultats sont bien conformes aux entrées qui ont été envoyées ? J’ai exploré trois voies, si vous en voyez d’autres vous me le direz.
Vérification par approximation. On va se dire qu’on va regarder. Estimations statistiques concurrentes au vote, ça veut dire en même temps que le vote, ce vont les sondages en sortie d’urne. On va demander aux gens « vous avez voté quoi ? Vous avez voté quoi ? », on sait que c’est très fiable, sauf que si on dit qu’on va vérifier les résultats électoraux par rapport aux sondages de sortie d’urne, eh bien il ne faut plus faire d’élections, il faut faire des sondages ! Normalement on vérifie la justesse des sondages par rapport au résultat des élections. Donc ça, ça ne va pas ! Et puis ça ne marche pas de toute façon. Il y a eu aux États-Unis, au temps de Bush, des bureaux de vote où il y a eu des différences de 5 points entre les sondages de sortie d’urne et les résultats donnés par les machines à voter, ça, ça ne fait ni chaud ni froid au juge. Ce n’est pas une preuve, c’est un témoignage, ça ne veut rien dire.
Antérieures au vote, ça veut dire que les gens aiment voter à gauche donc ils vont continuer à voter à gauche, sauf que ça veut dire qu’on ne peut plus changer d’avis politique. L’alternance politique ça nourrit quand même la vie démocratique, donc on ne peut pas dire que les gens vont voter pareil, ce n’est pas possible.
Donc les approximations ça ne marche pas.
Ensuite on peut se dire, c’est la tentation des expertises, que le système est immune de fautes, c’est-à-dire qu’il n’y a pas de bugs, on est sûr qu’il marche bien, donc on va le figer, parce qu’une fois qu’on a prouvé qu’il n’y a pas d’erreur, il ne faut plus qu’il bouge.
D’abord on ne sait pas faire des systèmes sans erreur, on sait faire les preuves de programme sur des choses assez limitées. Si on veut prouver qu’une machine à voter est juste, ça coûte très cher, ce n’est pas du tout fait, il faudrait prouver aussi que le compilateur est bon, que le système est bon, après ça va loin si on veut tout prouver et ça serait un coût trop fort et surtout inaltérable. Inaltérable ça veut dire que si on change de mot de passe ce n’est plus tout à fait le même. D’ailleurs c’est pour ça qu’à Issy-les-Moulineaux, ils ont le même mot de passe depuis 15 ans, tout le monde connaît, c’est 2005, je peux même vous le dire, tout le monde le connaît parce qu’ils n’osent rien changer.
En tout cas, si on savait faire des systèmes immunes de fautes grand public, en tant qu’informaticienne je vous dis qu’il y a longtemps qu’il n’y aurait plus de bugs. Or maintenant tout le monde a des ordinateurs dans son téléphone et on voit bien que des fois ça marche et des fois ça ne marche pas. Les tests, par exemple, des fois votre téléphone ne marche plus, puis il se remet à marcher et on ne sait pas toujours pourquoi. Les ordinateurs non plus. Les preuves techniques, on l’a dit tout à l’heure, on ne sait pas toujours et surtout ça se répare, on ne sait pas pourquoi et ça arrive tellement souvent qu’on ne cherche pas. Donc ce ne sont pas encore des systèmes très stables.
Et puis les informaticiens qui travaillent sur les systèmes critiques, c’est-à-dire les fusées, les avions, etc., connaissent les limites, c’est-à-dire qu’il y a huit couples, dix couples de processeurs qui sont mis en route qui ???26' 40, etc., c’est extrêmement compliqué et il y a quand même toujours des problèmes.
On ne peut pas en être sûrs des traitements .
Et puis encore un truc quand même, les électrons ce sont des choses fragiles. Il y a un cas très célèbre à Schaerbeek en Belgique où il y a eu une machine à voter où il y a eu, c’est arrivé plusieurs fois, des candidats qui ont plus de voix que le nombre d’électeurs. Il y avait juste une erreur de 1024. Il y a eu enquête et il a été trouvé que c’était un rayonnement solaire qui avait fait changer un bit d’une position, qui avait basculé un bit du 0 vers le 1 ce qui fait 2014.
Ces problèmes ne sont pas connus depuis longtemps. C’est un chercheur américain qui était fondu d’escalade, qui faisait ses manips avec son ordinateur en allant faire de la montagne dans les Rocheuses, qui s’est rendu compte que ses programmes avaient plus d’erreurs quand il était en montagne qu’au niveau de la mer. Il n’y a pas très longtemps qu’on connaît ça, depuis les années 1970.
En tout cas voilà. La garantie apportée par les traitements ne suffit pas, c’est-à-dire que même un truc qui hyper-testé, même un truc dont on croit qu’il va marcher, peut-être qu’il va bugger.
Et puis la preuve du résultat ce serait de dire on prend les entrées, on les compile et on regarde ce qu’on a à la sortie, c’est ce qui est fait dans les usines de médicaments, sauf qu’à cause de l’anonymat, sauf que comme le vote est secret on ne peut pas faire ça. On n’a pas les entrées. Si on avait les entrées, ce serait facile !
28’ 16
Donc à cause de la dématérialisation et du secret du vote, on ne peut pas savoir si les résultats sont justes, un peu justes, pas trop justes, pas du tout justes, on ne sait pas. Il faut faire confiance. J’ajoute que le recours à un tiers de confiance ou à des processus de confiance ne fait qu’ajouter un niveau de complexité, parce que vous pensez bien que cette situation a ouvert un marché formidable. Il y a tout un tas d’experts qui ont dit « moi c’est bon, je vais expertiser votre truc et je vais vous dire que ça marche ». De toute façon vous ne pourrez jamais le prendre en défaut ! Comme on ne peut pas prouver que les résultats sont justes, on ne peut pas prouver qu’ils sont faux non plus. En tout cas tout cela fait de l’argent, c’est un marché.
Maintenant mettons les pieds dans la réalité, la vraie réalité, parce tout tout ça c’est de la pensée, ici c’est de la réalité.
Nedap-France Election c’est l’entreprise qui équipe, qui vend des machines hollandaises, qui équipe 90 % des communes qui ont choisi le vote électronique en France, donc pour un million de personnes, un petit peu plus.
Voici leur réponse : c’est dans la liste des faq leur site web.
« Peut-on vérifier les résultats fournis par la une machine à voter ? — Les résultats fournis par la machine sont sûrs à 100 %, Ils n’ont donc pas besoin d’être vérifiés. » Et toc ! C’est fini, le débat est fini !
J’assimile souvent ça, cette confiance forcée — il y a souvent ça avec le numérique — à une infantilisation, c'est-à-dire qu’on nous traite comme des enfants. Il faut faire confiance sans aucune preuve. C’est une confiance aveugle, c’est-à-dire que c’est du registre de la foi. Alors que la confiance qu’on a lorsqu’on a du vote papier c’est une confiance éclairée. Certes, on ne pas surveiller soi-même tous les bureaux de vote, mais on sait qu’il y a d’autres gens qui le font et à priori il n’y a pas de raison ! S’il y avait une collusion entre des centaines de personnes ça finirait par se savoir. Là il n’y a même pas besoin de collusion, un bug suffit à changer les résultats.
Quand même, moi je me dis bon ! Aller ! Prenons-les au sérieux. Ils nous disent qu’elles sont sûres à 100 % donc elles n’ont pas besoin d’être vérifiées. OK ! Prenons-les au mot. Est-ce qu’une sécurité totale pourrait compenser la disparition de la transparence ? Après tout, je voulais une voiture rouge, on me vend une voiture quatre places, est-ce que ça fait l’affaire ? Eh bien il n’y a regarder ça.
Il y a deux composantes dans la sécurité.
Il y a la fiabilité. La fiabilité, c’est le fait qu’un système ne va pas tomber en panne. Le fait que la voiture démarre le matin, c’est ça la fiabilité. Donc les problèmes de fiabilité c’est ça ne démarre pas, il y a des pannes, il n’y a rien pour les non-voyants, il y a des différences entre les votes et les émargements, ça n’a pas bien marché quoi ! Ou bien il manque des candidats, c’est déjà arrivé aussi. Ou bien on ne peut pas voter, le bouton n’est pas là, enfin bref ! Tout peut se passer. Tout ça c’est du domaine de la fiabilité, ça ne marche pas bien.
Ensuite il y a la sûreté. La sûreté c’est le fait qu’il va y avoir une attaque. La sûreté c’est l’ensemble de tous les moyens qui sont mis en place pour éviter qu’il y ait une attaque. Il peut y avoir de la fraude interne et de la fraude externe. Généralement la fraude est interne, ce sont les candidats qui fraudent, ce sont les membres des bureaux de vote, ce ne sont pas les électeurs. Ce qui est intéressant c’est que le vote électronique est souvent présenté par les commerciaux comme un dispositif pouvant protéger contre la menace que représenteraient les électeurs. Ça c’est intéressant aussi, les électeurs perçus comme une menace. En fait, ce ne sont pas les électeurs qui fraudent, c’est quelqu’un qui est dans l’équipe d’un candidat et la meilleure place pour frauder c’est évidemment d’être membre du bureau de vote. Quoiqu’en France, depuis qu’il y a des urnes transparentes, quand on regarde les avis du Conseil constitutionnel, il n’y a quasiment plus de fraude. Vous avez entendu parler de la fraude à la chaussette à Perpignan il y a déjà pas mal d’années, on en a beaucoup parlé, alors que c’était tout petit, il n’y a plus rien à dire.
Voilà, moi je fais de la science donc il y a quatre cas possibles : soit on a la sécurité, oui, non, je n’ai pas fait le continuum ; soit on a la transparence, oui, non.
- Si on a la sécurité et la transparence, c’est le cas numéro un, c’est nickel. On est tous contents, tout le monde, il n’y a pas de problème.
- Si on a la transparence et qu’on n’a pas la sécurité, eh bien c’est le vote papier habituel, on ne parle jamais de sécurité d’ailleurs. Voilà ! Des fois il se passe des trucs, on les voit et on va voir le juge, le juge annule ou il n’annule pas. Bref, ça se règle. On recueille des témoignages, en tout cas on a une chance de voir et surtout on peut mesurer l’efficacité de la transparence : vous voyez s’il y a quelqu’un qui fraude une ou deux enveloppes, voilà !, c’est une ou deux enveloppes. S'il en fraude de 2000, ce n’est pas pareil ! Est-ce que la fraude va pouvoir affecter un nombre de votes important sans se faire attraper, sans se faire voir ? Avec le papier, plus la quantité de suffrages est importante, plus ça va être difficile de passer inaperçu, y compris dans le vote par correspondance qui est pourtant très fraudable.
- Maintenant si j’ai la sécurité et pas la transparence, eh bien il faut que je fasse confiance. On me dit qu’il y a la sécurité, mais je ne peux pas savoir si les résultats sont justes ou pas justes. Et on ne peut pas faire la preuve de la sécurité, on ne peut pas me l’assurer quels que soient les experts. Il me semble que depuis les histoires des tests de voitures qui ont été fraudés en Allemagne on a été un petit peu échaudés sur cette histoire d’expertise. Le problème c’est que s’il y a une sécurité totale et pas la transparence, eh bien ça ne va pas aboutir au résultat qui nous intéresse, c’est-à-dire avoir des élections dans lesquelles les gens ont confiance, ce qui fait qu’il n’y aura pas de rumeurs et qu’il n’y aura pas des gens qui se battent dans la rue. Le problème quand il n’y a pas de transparence c’est qu’il va y avoir des rumeurs. On en voit régulièrement aux États-Unis. J’ai voté pour machin et j’ai vu la flèche qui a bougé et ça a voté pour truc. Et on voit ces rumeurs naître.
En fait on s’aperçoit que le but des élections c’est un un but de de maintien de la paix. Il ne faut pas qu’il y est de désordre. Il ne faut pas que les gens se battent dans la rue, il ne faut pas qu’il y a ait des morts le soir des élections. C’est important. La promesse de sécurité ne permet pas d’atteindre ce but. - Évidemment, si on n’a ni sécurité ni transparence, c’est le pire du pire.
Donc on voit que ce n’est pas interchangeable, ce ne sont pas les mêmes dimensions, ce ne sont pas les mêmes qualités, donc la disparition de la transparence ne peut pas être compensée par la promesse de sécurité.
Moi en tant qu’informaticienne, chaque fois que j’ai à faire à des journalistes, on me pose des questions sur la sécurité. C’est intéressant, ça a été très bien joué par les industriels parce que la sécurité c’est un truc sans fin. Je vais leur dire « oui, ça ce n’est pas sécurisé ». Ils vont me dire « oui, mais là on a rajouté un bitoniau, c’est bon ! - Oui, mais après il y a ça ». Vous voyez que c’est un truc où on va toujours pouvoir dire « on fait mieux, regardez, on n’arrête pas de faire mieux ; c’était déjà sécurisé à 100 % et pourtant on fait tout le temps mieux ». Ça a été très malin d’amener ce thème et la transparence a totalement disparu parce que c’est indéfendable. On n’arrive pas à tenir de conversations là-dessus avec des journalistes qui ramènent tout le temps sur la sécurité.
Donc il y a deux cas qui ne marchent pas et il y en a deux qui ne marchent pas mal quand même.
Donc la promesse de sécurité, vous avez compris.
Je reviens sur mon truc de tout à l’heure, maintenant on va ajouter l’unicité. L’unicité pas au sens où elle est vérifiée, au sens où c’est le système de vote qui vérifie. Ça pose un problème. Ça pose un problème qui nous vient des sciences politiques : la liberté de vote. La liberté de vote c’est essentiel. C’est le fait de pouvoir voter pour un parti nationaliste alors qu’on vient d’une famille qui est de tradition communiste. C’est le fait de pouvoir voter vert alors que son mari fabrique des produits polluants. C’est le fait de pouvoir voter différemment de son patron, de son syndicat, de ses enfants, de son mari. C’est le fait de voter en son âme et conscience et pour ça, il faut être absolument certain, jusqu’au bout des ongles, que le vote ne sera jamais dévoilé. La plupart des gens, enfin il y a beaucoup de gens, s’ils savent que leur vote risque d’être dévoilé, ne vont pas voter communiste s’ils sont dans une famille de droite, ils ne vont pas risquer de se faire déshériter. Ou, au contraire, voter à droite alors qu’on est dans une famille de gauche et qu’on risque de perdre l’amour de sa maman, c’est pareil, l’amour de sa famille. Qui va prendre un risque pareil pour un vote, pour une voix ! Si on veut que les gens votent en toute liberté, c’est ça la liberté du vote, en toute liberté, il faut absolument préserver le fait que les gens sont absolument convaincus que leur vote va rester secret.
Maintenant, quand on confie à un ordinateur et en même temps Internet, d’abord on s’identifie, on donne son nom, son login/mot de passe, et après on donne son vote et puis on me dit « tout ça va bien rester séparé ». OK ! On peut le croire mais on peut aussi douter. Du coup qu’est-ce qui se passe ? Les gens ne vont pas faire des manifs dans la rue, juste ils vont changer leur vote, ils vont voter un petit peu différemment, ils ne vont plus voter en toute liberté. C’est ce qui se passe et ça on ne le voit pas ; on ne peut pas le voir. C’est en son âme et conscience. Qui va crier « j'ai voté communiste » quand il est dans une famille de droite ?, ce n’est pas facile !
Maintenant les textes légaux. Ça c’est dur parce que la loi est faire par des législateurs et les législateurs ne comprennent rien au numérique, rien de rien. Donc ils ont calqué. Ils ont pris les représentations et ils leur ont calqué les propriétés des objets physiques, ils n’ont pas compris que c’était autre chose.
On a va regarder, observer quelques textes quand même.
Ça c’est quand un a du vote papier. L’article 63 du code électoral : « L’urne électorale est transparente ». Il y a même une description, elle n’a « qu’une ouverture destinée à laisser passer l’enveloppe contenant le bulletin de vote ».
Maintenant pour le vote électronique : « le bureau de vote s’assure publiquement, avant le commencement du scrutin, que la machine fonctionne normalement ». Déjà, là on est en plein délire ! Si les informaticiens savaient faire ça, ils le feraient. Pourquoi on ne le ferait pas ! Pourquoi on laisserait les personnes douter ! Sachant qu’il n’y a aucune méthode, il se démerde, on ne lui dit pas comment faire, et il doit s’assurer « que tous les compteurs sont à la graduation zéro ». Ça c’est encore plus drôle parce que figurez-vous que cette loi date de 1969. À l’époque il y a des machines à voter mécaniques qui sont imposées dans la couronne parisienne, la couronne gauche parisienne, on soupçonne des communistes de tricher les élections en masse - ce qui est vrai ou ce qui est faux, peu importe - et puis en Corse. Donc les machines à voter sont imposées par le ministère de l’Intérieur à l’époque. Ce sont des machines à voter mécaniques avec des boutons, etc. C’est pour ça qu’il est écrit qu’il y a les compteurs. Il y a des compteurs un petit peu comme les compteurs de voiture, les anciennes voitures, c’est pour ça que le bureau de vote s’assure que les compteurs sont à la graduation zéro. Maintenant il n’y a plus de compteurs sur les machines à voter ; d’ailleurs ce sont des ordinateurs de vote, ce ne sont plus des machines à voter, mais la loi est restée la même. Donc on s’aperçoit qu’on a des textes de loi complètement inapplicables. Il y a eu des actions en justice, le juge qui n’y comprend rien non plus, il dit « c’est pareil, c’est bon ! Prouvez- moi que c’est fraudé ! » On ne peut rien prouver, on ne peut rien faire, donc c’est bon !
Une autre.
Il y a un règlement technique fixant les conditions. C’est un truc qui a été fait par le ministère de l’Intérieur c’est le document que j’ai vu en premier, j’ai entendu parler des machines à voter, je suis tombée sur ce document et c’est après la lecture de ce document que je me suis dit je ne peux pas faire comme si je n’avais rien vu. Par exemple, dans les principes à respecter, il y a transparence : « le processus doit pouvoir être examiné et vérifié ». J’ai écrit plusieurs courriers au ministère de l’Intérieur, au Premier ministre qui était Fillon à l’époque pour lui demander « mais enfin, c’est quoi la procédure pour pouvoir examiner, vérifier, etc. ? Comment on vérifie que les résultats sont justes ? » On ne m’a jamais répondu, donc la seule procédure que j’ai pu imaginer c’est celle-ci : pour avoir des résultats, on appuie sur un bouton et la machine imprime ou affiche - normalement elle doit imprimer mais quand l’imprimante ne marche pas elle ne fait qu’afficher - des résultats. Bon ! Pour les vérifier, on appuie à nouveau sur le bouton, on a un deuxième ticket et on peut constater que les deux tickets portent des chiffres identiques. Voilà la procédure de vérification.
42’ 23
On avance un petit peu dans cette horreur.
Vous, vous n’avez pas le droit d’examiner, même les membres du bureau de vote n’ont pas le droit d’ouvrir la machine, d’ailleurs c’est scellé ! Mais si les scellées sont cassées, ce n’est pas grave. Seuls les organismes de certification, donc il y a des experts qui procèdent à ces examens. En fait ils examinent une machine à voter, on ne sait pas laquelle, on ne sait pas où elle est, et d’ailleurs un maire, quand il reçoit un lot de machines à voter, il n’a pas de check-list pour vérifier que c’est la bonne machine qu’on lui a envoyée. Une machine à timbrer dans une entreprise, par exemple, elle est vérifiée ; chaque exemplaire est vérifié. Ce n’est pas le cas des machines à voter. Bref ! Il y a un organisme qui a fait des examens, ça dure deux jours et ça se passe uniquement dans l’entreprise qui produit la machine à voter. Le logiciel est fait par un sous-traitant, le logiciel n’est pas vérifié, de toute façon en deux jours on ne pourrait pas le faire, et les rapports ne sont pas rendus publics.
En France il y a eu une électrice courageuse de Vaucresson qui a fait à l’époque une action en justice en disant « écoutez Monsieur le juge, je suis embêtée parce que j’ai l’impression que la machine à voter qui est dans mon bureau de vote ce n’est pas la bonne parce qu’il n’y a pas de compteur. Il y a pas de compteur que je peux voir qui soit à zéro donc ce n’est pas la bonne machine » ; elle a été devant un juge. Le ministère de l’Intérieur pour se défendre a dû produire des pages de cette fameuse expertise pour dire « si, si, c’est la bonne ». Qu’est-ce qu’on lit, une exigence, ce sont les documents du ministère de l’Intérieur, avec la qualité du ministère de l’Intérieur : « les résultats et les informations nécessaires à l’édition du procès-verbal, dont les heures d’ouverture et de clôture de scrutin, doivent pouvoir être visualisés et imprimés. » Ce n’est compliqué, tout le monde a compris, c’est très important pour les contentieux électoraux. Vérification l'expert : « Toutes les données des résultats sont présentes à l’affichage exceptées les heures d’ouverture et de fermeture », justement ln truc qui est précisé à gauche. Conformité à l’exigence : oui.
Déjà, les exigences ne servent à rien dans le sens où il pourrait y avoir des bugs quand même et on ne les verrait pas. Mais même ces trucs qui ne servent à rien sont mal vérifiés, on s’est quand même fait épingler par l'OSCE [Organisation pour la sécurité et la coopération en Europe] en 2007 qui a dit « c’est quand même préoccupant que les organismes chargés de vérifier aient un pouvoir discrétionnaire », c’est-à-dire qu’ils font ce qu’ils veulent. Et quand on regarde les expertises, j’ai réussi à en avoir entre les mains, ce sont des cases à cocher, ce n’est pas un hacker qui va essayer de voir si ça résiste aux attaques. Loin de là.
Donc voilà pour la limite des expertises par rapport à la transparence directe.
Maintenant je vous parle un petit peu du vote par Internet parce que vous pouvez y être confrontés notamment au travail, on vote par Internet. Voici un schéma en gros. L’électeur vote sur son terminal. Quand on vote en entreprise il y a généralement un intermédiaire, ça passe par Internet, ça arrive au centre serveur de vote. D’ailleurs il y a des choses dont les gens n’ont souvent pas conscience quand ils votent dans l’entreprise, c’est qu’il y a des techniciens qui peuvent très bien voir ce que vous faites sur votre écran sans que vous en ayez conscience. Ce n’est quand même pas rien. Encore une fois, comment voter CGT à Air France ? C’est ça le problème.
Public : Il y a des VPN [réseau privé virtuel] quand même ?
Chantal Enguehard : Non, pas au boulot, c’est interdit en fait. C’est normal qu’une entreprise surveille ce qui sort comme information.
Public : Il y a un cadre, quand on vote qu'on fasse du VPN.
Chantal Enguehard : En tout cas il n’y a pas.
Je vais vous montrer quelque chose de plus dérangeant. Ça ce sont les échanges entre le terminal de l’électeur et le serveur de vote. On va faire l’hypothèse que sur le chemin il ne peut rien se passer. C’est chiffré, il y a le protocole SSL, etc., donc on dit que ce n’est pas attaqué, on ne pense pas du tout à l’attaque mais juste au protocole d’échange.
Le gars ou la dame, d’ailleurs, se connecte au serveur de vote, il s’identifie, donc on lui envoie la page pour s’identifier, il envoie son login/mot de passe, on lui envoie la page avec les candidats et il clique en face du nom du candidat pour lequel il veut voter. Il veut voter pour le candidat X. Je veux voter pour monsieur X. Il faut une page de confirmation, c’est la CNIL qui dit ça et les différentes lois, les différents décrets. Donc il faut envoyer une page disant « vous voulez bien voter pour monsieur X ? ou bien vous voulez revenir en arrière ? » À ce moment-là, le serveur de vote sait qui vous êtes et ce que vous voulez voter. Et ça, ce n’est pas couvert par la loi. Après la CNIL a dit : « Hou là ! Là ! le bulletin de vote il faut qu’il soit chiffré. Hou là ! Là !, il faut séparer de l’identité, etc. », mais là, à ce moment-là, le serveur de vote il sait. D’ailleurs il y a un décret qui dit que les clefs d’identification, d’authentification, etc., ne sont connues que des personnes qui manipulent le système de vote. Ça c’est quand même très embêtant . Ça veut dire qu’en toute légalité le serveur de vote sait qui vous êtes, il y a des sessions qui sont ouvertes. Il sait exactement pour quel candidat... Si jamais vous changez de candidat il va vous représenter une page pour pouvoir confirmer à nouveau et ça c’est quand même stupéfiant. Ensuite, l’électeur reçoit la page de confirmation. Il confirme. Là vous avez un bulletin qui est chiffré, qui est envoyé et on vous dit « regardez comme c’est anonyme, tout est chiffré, tout est planqué », sauf que l’étape d’avant a révélé votre vote. C’est quand même embêtant ! C’est quand même embêtant.
Maintenant on va regarder un tout petit peu plus juste cette flèche-là, quand on envoie le bulletin de vote. Là, pour le coup, on va parler attaque. C’est un peu petit peut-être, je suis navrée.
Là il y a le canal par lequel ça traverse Internet. On dit que c’est sécurisé ; en fait il y a des attaques, on le sait, mais on va dire que c’est sécurisé pour aujourd’hui, donc c’est chiffré par SSL, il n’y a pas de problème. Comment ça se passe ? Vous avez confirmé pour votre candidat. Il y a un bulletin qui est formé, qui porte le nom du candidat. Ce bulletin lui-même est chiffré, la CNIL demande à ce qu’il soit chiffré indépendamment sur le poste de l’électeur. Je sais que ce n’est pas toujours fait mais la CNIL le demande. Ensuite il est envoyé sur ce canal qui est lui-même chiffré. Ensuite il arrive sur le serveur de vote. Là, il y a des techniques de chiffrage qui font qu’on est très capable d’additionner les votes qui sont dans les bulletins de vote sans avoir à les déchiffrer, ceux qui font la crypto qui savent très bien faire ça.
Il y a d’abord un endroit qui échappe à l’expertise, c’est le terminal de vote de l’électeur qui abrite des virus à n’en plus pouvoir, c’est certain, eh bien cet endroit-là est impossible à sécuriser. Il y a eu une preuve de concept qui a été faite par un type qui s’appelle Laurent Grégoire pendant les élections législatives de 2007. Il a voté au second tour pour un candidat qui s’était fait éliminer dès le premier tour. Il a écrit un article qui explique cela et il a aussi encapsulé son petit bout de code dans un virus qu’il aurait fait disséminer. Évidemment comment ça s’est passé au ministère des Affaires étrangères qui gère ce vote-là puisque ce sont les Français de l’Étranger ? Il a dit « un vote de différence, ça ne compte pas ! », n’empêche qu’il a fait la preuve de concept.
Donc contre cette attaque-là, on ne sait pas faire. On n’a vraiment aucune piste, en plus. Je ne connais aucune recherche qui s’attaque à ce problème.
Donc il y a aussi une possibilité d’attaque.
Là on voit le coût de la perte de transparence, c’est que vous pouvez avoir des centaines de votes qui sont changés, un peut-être, mais peut-être aussi des centaines, en tout cas on n’a plus du tout de notion qu’on va mieux voir la fraude si jamais elle touche beaucoup de votes. Alors qu’avec le vote papier on a quand même ça. Encore la semaine dernière j’ai entendu parler d’une fraude avec un vote par correspondance qui est vraiment mal sécurisé. Ils ont bidouillé des enveloppes, ça a fini par se voir, il y a quelqu’un qui a parlé.
Maintenant regardons par exemple ce qui s’est passé, c’est un peu vieux. Toujours les mêmes inanités : « Avant l’ouverture du bureau vote, le bureau de vote constate la présence du scellement du système de vote – on ne peut pas changer le code, mais on a du mal à savoir si c’est le bon code qui tourne quand même – son bon fonctionnement – ça c’est toujours la même vanne, on ne s’embête pas – et le fait que l’urne électronique est vide – l’urne électronique vide ça n’a pas de sens, etc. »
J’avais un ami qui faisait partie des membres du bureau de vote pour les votes des Français de l’Étranger en 2007. C’est marrant, je crois que les serveurs étaient dans le Sud, à Aix ou je ne sais plus où, et le bureau de vote était à Paris, ils avaient mis une caméra sur les serveurs, donc le bureau de vote regardait les images retransmises d’un ordinateur. On voit bien que le bureau de vote ne peut rien surveiller. Ça n’a plus de sens, c’est une pièce de théâtre.
Maintenant j’attire l’attention des gens qui travaillent. Jusqu’à récemment il fallait un accord, pour qu’il y ait un vote électronique en entreprise parce que les élections professionnelles ça compte quand même. Si jamais il n’y avait pas d’accord d’entreprise ou de groupe, il y avait annulation de l’élection. Il y a eu plusieurs cas en justice, c’était le cas, le juge annulait. Il fallait qu’il y ait eu un accord avant entre les syndicats et le chef d’entreprise pour dire on fait du vote électronique. Maintenant l’entrepreneur peut décider unilatéralement depuis les lois de travail de 2016, donc il peut imposer le vote électronique.
Une petite synthèse.
On a un dispositif électronique qui est opaque, c’est impossible de le vérifier, donc on ne peut plus faire de contentieux électoral. Puisqu’on ne peut pas aller montrer au juge, on me peut apporter aucun témoignage, aucune preuve, rien, eh bien c’est génial ! Il n’y aura plus de problème avec les élections, il n’y aura plus de contestation. La contestation n’est plus possible, donc c’est super. On comprend pourquoi le vote électronique se développe, c’est un confort, c’est énorme !
Le juge électoral.
Grâce à la transparence et à la confiance éclairée, on pouvait actionner le juge électoral ; si on voyait des désordres on pouvait faire appel à lui. Maintenant tout est dans les mains d’un industriel qui nous vend de la sécurité. Donc on n’est plus dans les mains du juge.
On a une confiance aveugle, moi j’appelle ça la foi.
Il y a des recherches. Vous vous voulez un petit aperçu des recherches, il y a déjà des trucs en place.
L’idée c’est de se dire « oh là, là tous nos ennuis viennent du fait qu’il n’y a plus de bulletins matérialisés ». Eh bien il n’y a qu’à re-matérialiser. C’est ça l’idée. Ce sont les travaux de madame ??? 54' 20 en 2000, une Américaine.
Bulletin de vote
L’idée c’est ça. L’électeur vote. La machine imprime un bulletin avec son choix. Il n’a pas le droit d’y toucher. Il voit ce bulletin, il le vérifie, il confirme et quand il confirme le bulletin est envoyé vers une urne. Et on vous dit on pourra compter. On ne vous dit pas qu’on le fera, mais on pourra.
Quels sont les problèmes ? Le premier point ça s’appelle la vérification individuelle et le deuxième point s’appelle la vérification universelle et on dit que si les deux sont respectés c’est sûr, c’est nickel. Il n’y a pas besoin d’aller très loin en fait.
Le premier point. D’abord la vérification individuelle est optionnelle, c’est-à-dire qu’on peut très bien dire c’est bon sans avoir vérifié. Mais il y a pire. Imaginez que vous votez pour Nicolas et puis sur le bulletin c’est écrit Pimprenelle, qu’est-ce que vous pouvez faire ? Vous pouvez annuler votre vote et revoter. Mais sinon ? À part ça, vous ne pouvez pas dire que la machine a triché, vous n’avez pas de preuve que vous aviez voté pour Nicolas. Il n’y a pas moyen, il n’y a que vous qui le savez ou alors il faut vous filmer en train de voter. À ce moment-là, ça veut que vous fournissez une preuve de vote, que vous êtes susceptible d’être soumis à des pressions ou à des achats de votes.
Public : On peut récupérer le papier s’il est imprimé ?
Chantal Enguehard : Non, on ne peut pas le toucher. Mais même si vous le récupérez, vous allez voir le président du bureau de vote, vous dites « vous vous rendez compte, c’est marqué Pimprenelle j’avais voté pour Nicolas ! » Le président vous dit « Écoutez Monsieur, il faut faire attention, vous avez bien voté pour Pimprenelle, les ordinateurs ne se trompent pas. Il ne faut pas boire le matin Monsieur ». Vous voyez !
Public : S’il y en a dix comme ça, ça va se voir quand même au bout d’un moment !
Chantal Enguehard : S’il y en a dix comme ça, sauf que les gens ne vérifient pas beaucoup.
J’ai fait ça sur les législatives et je n’ai regardé que les duels parce que c’est plus simple, donc que les deuxièmes tours, il n’y avait que deux candidats, je n’ai pas regardé les tri-machins. Je n’ai pas les chiffres en tête, mais en fait il n’y a pas besoin de bouger beaucoup de votes. Déjà en bougeant 5 % des votes ça ferait faire basculer la moitié des élections. Or, entre ceux qui vont voir mais qui ne vont pas oser le dire, ceux qui ne vont pas vérifier, ceux à qui le président va dire « écoutez, ça fait deux heures que ça marche, c’est bon », en tout cas vous ne mettrez jamais la machine en faute, vous ne pourrez jamais dire « cette machine il faut la mettre au rencart ».
Public : On peut le constater individuellement mais pas le faire valoir devant les tribunaux.
Chantal Enguehard : Donc c’est royal pour nourrir des rumeurs. C’est royal ! On a vu ça. Donc la procédure de la vérification individuelle n’est pas opérante juridiquement, c’est-à-dire que vous ne pouvez pas démontrer au juge « j’ai voté machin ».
Public : Donc tu dois la rejouer devant des gens et on vérifie au bout d’un moment ; s’il y a un bug ça se verra.
Chantal Enguehard : Le jour des élections tu vas faire ça ?
Public : Après !
Chantal Enguehard : Après les dates ne sont plus les mêmes. On sait bien qu’on sait faire des logiciels qui vont se comporter différemment suivant si on est sur le banc de tests ou si on est sur la date des élections ou pas. On le sait bien. Et puis l’humain va toujours perdre devant la machine. En Allemagne, je vous le dis comme ça, malheureusement je n’ai plus la trace, on a mis un garde, on lui a mis une niche, on lui a dit « tu rentres tous ces votes » et puis on va voir si le soir c’est bon et le soir ce n’était pas bon. On lui a dit « tu t’es trompé ». On n’a pas dit « la machine s’est trompée ». Tu as dû te tromper dans la journée. Tu as cru voter machin et tu as voté ton truc. On a aussi vu des gens sur machine à voter qui croyaient voter pour une personne et qui ont voté pour une autre. Ça se voit aussi. Le président de l’université de Reims a fait ça. Ce sont des expériences qui ont été faites dans une université, on a observé les électeurs devant des machines à voter. Vous savez, annoncer à quelqu’un qui a cru voter pour un candidat et qu’il s’est trompé, qu’il a voté pour un autre, il y a des effondrements de personnalité aujourd’hui. C’est très dur.
58’ 33
Donc déjà la première option est optionnelle et puis la deuxième ! D’abord on va recompter quand ? Tout de suite ? Donc on va transporter l’urne. Ça va être scellé ? Qui va décider dans quelle urne on recompte, quand va-t-on décider ? Parce que si on sait à l’avance les urnes qui sont recomptées on va savoir à l’avance celles qui ne le sont pas. En plus si on ne recompte pas tout, un juge ne fait pas de stats, si vous recomptez trois urnes et qu’il y a des différences sur trois urnes, il ne va pas extrapoler au reste des urnes.
Ça c’est le système qui est mis en place au Venezuela par exemple. Au Venezuela les urnes sont vérifiées par l’armée. Tout va bien. Après il faut voir ce qui se passe dans la réalité.
Il y a des barrières. Par exemple aux États-Unis pour obtenir le recomptage des urnes d’abord il faut payer, réunir une équipe pour en recompter 10 %. Si jamais vous trouvez qu’il y a assez de différence on va peut-être vous autoriser au reste. Ça dure des semaines. En France on n’est pas capable de transporter une urne en toute sécurité. On est très fort sur [mouvement de la main indiquant le fait de louvoyer, NdT]
Public : Est-ce qu’il y a du recomptage en papier imprimé en France ?
Chantal Enguehard : Non, il n’y a pas de papier imprimé en France.
Je réponds. En France la loi dit que tu peux recompter tant que tu veux dans le bureau de vote si le président du bureau de vote l’autorise, mais à un moment c’est fini et on détruit les bulletins de vote. On détruit les bulletins de vote aussi pour des questions qu’il y a des gens un peu paranos qui vont dire on va trouver mes empreintes, etc. Donc il y a un moment où ça s’arrête effectivement. Donc on peut recompter, mais c’est transparent. Ce n’est pas du tout la même chose, ce n’est pas du tout comparable. On n’imagine en France que tu vas choisir un bulletin qui va se transformer dans un bulletin pour un autre candidat dans l’urne, ce n’est pas possible.
Maintenant la réalité. Je vous ai parlé du Venezuela. Là on en a une qui est beaucoup plus marrante, c’est en Corée. En Corée, voici les bulletins imprimés par la machine à voter à des fins de vérification. Vous ne le reconnaissez peut-être pas mais c’est du coréen, c’est le nom du candidat qui a été choisi et sur ce ticket, en même temps, il y a ce QR-code, c’est un code barre, je ne sais pas spécialiste, bref !, donc l’électeur vérifie ça dans la procédure de vérification individuelle et ensuite, si on recompte l’urne, on va recompter l’image cryptée, qui n’a pas pu être vérifiée par l’électeur. Donc ça c’est typiquement une implémentation inadaptée. Je ne sais pas s’ils ont fini par déployer ou pas.
Public : Quel intérêt ?
Chantal Enguehard : On dit que c’est mieux, c’est tout, c’est le marché, on dit que c’est mieux. Ça n’a aucun intérêt, évidemment. À part faire naître des rumeurs, je ne vois pas l’intérêt. Par contre ce n’est pas grave, l’industriel qui vend son truc, il vend son truc, c’est ça qu’il faut comprendre. Si on ne comprend pas que ça se développe parce qu’il y a un marché on ne comprend pas la problématique du vote électronique.
Public : Mais de là à faire un truc aussi con !
Chantal Enguehard : Eh bien oui, c’est comme ça ! Ce qui est assez amusant c’est que figure-toi que je les ai vu. Il y a eu un salon à Issy-les-Moulineaux sur toutes les technologies numériques, on est en avance et tout. Il y avait un stand avec des Coréens, j’ai vu ça et je leur ai expliqué en quoi ça ne tenait pas. Il y avait un traducteur, plus je parlais, plus il rigolait, ça veut dire que plus il était mal. Mais je ne sais pas s’ils l’ont déployé ou pas. Je ne sais pas. C’est loin la Corée.
Une autre. C’est intéressant : là on a un vote où on vote sur du papier et ça va être dépouillé par un scanner, d’accord ?On pourrait recompter, on pourrait vérifier, on ne le fait pas ! Je ne vois pas pourquoi on vérifierait un jour des votes qu’on a imprimés. On a déjà des protocoles de votes où on pourrait, parce que ça c’est dépouillé par un ordinateur, moi j’ai assisté une fois à un dépouillement au Comité national du CNRS, c’est moi qui ai vu le bug, je leur ai signalé, ils nous ont écartés, pendant deux heures ils ont réparé et ensuite ils ont continué le dépouillement. Il y en a des bugs, je n’y peux rien. Entre nous comme ça, parce que je suis filmée, là on voit qu’il y a en même temps, sur le même bulletin, un identifiant de l’électeur et le choix de l’électeur et ça normalement c’est interdit. C’est pourtant fait.
Donc là on pourrait recompter, mais on ne recompte pas. Ce n’est pas parce qu’on vous dit qu’on pourra recompter qu’on le fera, c’est ça l’idée que je voudrais faire admettre et vous ne pourrez pas l’exiger. De toute façon ça ne sert pas tellement à grand-chose de recompter des trucs, on ne sait même si ce sont les bons bulletins.
En troisième illustration, en Belgique ils ont mis en place du vote avec le comptage, toujours avec le même protocole. Ça, ça vient d’un texte de la Chambre des représentants de Belgique, voici ce qu’ils expliquent : « Lorsque l’électeur a exprimé son vote il doit le confirmer. À partir de ce moment le vote est définitif – ça me paraît clair, c’est clair comme texte – après confirmation du vote, la machine à voter imprime le vote sous forme textuelle, invite l’électeur à retirer la carte à puce. Dans un isoloir prévu à cet effet, l’électeur peut scanner le QR-code de sa preuve papier au moyen d’un scanner portable. » On voit bien que ça ne sert à rien de vérifier, le vote est définitif, il est déjà définitif. « Le contenu du QR-code est affiché à l’écran et l’électeur peut vérifier son code ». Donc on a une procédure de vérification qui est une pièce de théâtre puisqu’elle ne peut pas aboutir à détecter que la machine à voter ne fonctionnerait pas bien. C’est de l’enfumage !
Opacifier la transparence
Maintenant on va voir la transparence. Il y a de gens qui ont dit quand même la transparence ce n’est pas transparent. Il y a tout un tas d’organisations qui se sont attachées à redéfinir la transparence. Par exemple, ça c’est la Commission de Venise, j’ai laissé en anglais je suis désolée, sous le paragraphe transparence il y a quatre items qui ne disent pas grand-chose :
- il faut s’assurer que les électeurs comprennent le système de vote et qu’ils ont confiance.Je ne sais pas comment on fait ! On doit les torturer j’imagine ;
- ensuite il faut qu’ils aient une information sur comment ça fonctionne. On voit bien que si on transposait ces textes sur une urne transparente, ça ne fonctionne plus du tout, on sait bien comment ça fonctionne une urne transparente ;
- ensuite il faut que les électeurs puissent s’entraîner, parce que c’est super simple, mais il faut quand même s’entraîner, donc il faut qu’ils puissent s’entraîner à voter ;
- et puis il faut que les observateurs puissent observer, sauf que ce sont des électrons donc ceux qui veulent observer ne peuvent rien observer ; il n’y a pas moyen. Ils doivent présents pour observer, mais quoi observer ?
Voici les quatre critères et ça se termine là.
« La transparence doit être garantie », donc on vous affirme que les systèmes de vote électronique sont transparents. « Il doit être possible de vérifier que ça fonctionne correctement ». C’est absolument du délire. Voilà la commission de Venise.
Ensuite on a toujours la Commission de Venise. Ça c’est la définition de la transparence. La définition de la transparence c’est « le concept de savoir comment et pourquoi une information est convoyée par différents moyens ». Ça ne veut rien dire, c’est de la poésie.
Maintenant on peut voir du côté de l’ODIHR [Office for Democratic Institutions and Human Rights], la transparence pour le evoting, pour le vote électronique c’est « l’accès à la documentation, l’accès au code source – vous ne pourrez jamais savoir si c’est le bon code source – l’observation des process et des activités des membres du staff qui va gérer tout cela, des vendeurs ». Vous voyez, vous regardez les gens. Vous pouvez peut-être avoir des contrats, vous pouvez savoir qu’un expert a expertisé.
Maintenant voici la transparence dans le même document pour le papier. « Avec du papier, on peut considérer que ce n’est pas transparent si les observateurs sont présents penadant le comptage mais tenus à distance ». Rien que ça, on considère que ce n’est plus transparent. « Et s’ils ne peuvent pas voir ce qui est écrit sur les bulletins et vérifier que les votes sont comptés comme il faut ». Vous voyez la différence des deux textes ! Pourtant les institutions essayent de sauver la peau du vote électronique.
Quelques observations
Je termine.
Il m’est arrivé un truc amusant, bizarre c’est que depuis qu’il y a du vote électronique à grande échelle en France, depuis 2007, j’ai été prise d’une passion étrange pour aller collecter les résultats électoraux détaillés parce qu’en regardant deux/trois procès verbaux, je me suis dit c’est bizarre, il y a des différences entre le nombre de votes et le nombre d’électeurs. Il y a des différences quand il y a des machines à voter, il y a des différences, c’est bizarre quand même alors je me suis dit je vais regarder ça de plus près. J’ai commencé pour tous les tours d’élection depuis 2007, je collecte des milliers de résultats dans des milliers de bureaux de vote en France, des bureaux de vote papier et des bureaux de vote électronique et je compare. Il y a aussi des différences dans les bureaux de vote papier, quelqu’un qui a oublié de signer, quelqu‘un qui a triché. Bon, bref ! Il y a aussi des petites différences.
Il y a un truc bizarre, ça c’est un taux, on est l’ordre de un pour mille, ça ne fait pas basculer les élections, je ne suis pas en train de vous dire qu’il y a des fraudes à grande échelle en France, mais on nous vend toujours le fait qu’un ordinateur c’est plus précis, c’est mieux que les humains, ah ! ces humains, ils ne sont malins, ils chicanent. Eh bien quand même, quand on vote, quand on dépouille avec des humains c’est plus précis, c’est-à-dire que les taux, les différences entre votes et émargements sont faibles et quand il y a des machines à voter, en moyenne il y a trois fois, quatre fois, cinq fois plus de différences entre les émargements et les votes que quand il y a des gens qui dépouillent. Et on peut aussi extrapoler plus loin que le vote électronique, sortir du vote électronique. Finalement on nous dit souvent qu’avec les ordinateurs, vous allez voir, ça veut être mieux, ça va être plus rapide. Mais est-ce que c’est vraiment vrai ? Est-ce qu’on regarde si c’est vrai ? Ou est-ce qu’on y croit ? Moi j’ai été sidérée. Franchement ! Maintenant, on ne peut pas savoir, j’ai fait que des rapports là-dessus, vous pouvez aller les voir si vous avez envie.
C’est un cas d’école, un problème simple qui est mal compris par les législateurs et par les juges. On a le droit qui ne fonctionne plus du tout et quand même on continue. Donc il faudrait absolument former des parlementaires, former des juges au numérique parce que c’est le vote, mais maintenant on voit bien que le numérique est partout dans la vie.
J’ai lu hier un article hier l’illettrisme, les gens qui ont du mal avec les ordinateurs. Il y avait cette comparaison frappante : quand on met un ascenseur dans un immeuble, on ne supprime pas l’escalier. Or là on a une imposition du numérique alors qu’il y a aussi des défauts dans le numérique. Je ne dis pas non plus qu’il faut tout faire sans le numérique, mais il faut avoir un regard éclairé.
Voilà des références, j’en ai des tonnes, je n’arrête pas d’écrire des articles.
Merci de votre attention et de votre patience.
[Applaudissements]