Une méthode de vote en ligne facilement vérifiable

par Sylvain Poirier
vendredi 25 août 2006

Face à la question réputée très problématique des garanties contre le risque de fraudes lors de votes en ligne ou électroniques, voici une proposition de solution.

Je n’y vois qu’un seul défaut éventuel : les possibles failles à la confidentialité. D’une part, le risque d’un défaut général de confidentialité dans le système, à l’insu des victimes, probablement remédiable en y travaillant bien. D’autre part, le risque de pression explicite par violation ouverte de confidentialité sur des individus particuliers, à travers la demande des identifiants d’un électeur (risque inévitablement lié à l’absence d’obligation faite à tous de passer dans un isoloir : eh oui, aller dans un bureau officiel avec isoloir le jour du vote est de toute manière un dérangement, tous n’auront pas la possibilité ou l’envie de s’y plier).

Le scénario se décompose en trois étapes : préparation, vote, et dépouillement. Voici les descriptions des objectifs exacts de chaque étape, laissant ouverte à la discussion la question des méthodes détaillées qu’on peut développer à l’intérieur de chaque étape, pour satisfaire les objectifs. Les "preuves" dont nous parlerons pourront être soit des éléments matériels, soit des signatures électroniques.

Première étape : la préparation

Comparable à une distribution de cartes d’électeurs, elle peut se faire des mois par avance. Son objectif est d’attribuer à chaque électeur inscrit un numéro d’électeur confidentiel complété par un code d’accès, qui joueront respectivement les rôles de login et mot de passe.
L’objectif est ainsi d’établir un ensemble de numéros d’électeurs en correspondance (bijection) avec l’ensemble des électeurs inscrits ; cette correspondance doit être confidentielle, en ce sens que chaque électeur sera la seule personne à savoir quel numéro lui est attribué ; et à chaque numéro x est associé un code d’accès que seuls connaîtront l’électeur à qui est attribué le numéro, et un serveur Web central (sous une forme éventuellement hachée).

Suivant ce qu’on jugera le plus pratique à réaliser, on peut envisager deux formes possibles du résultat : ou bien les numéros d’électeur seront tous les nombres compris entre 1 et le nombre total d’inscrits, ou bien ce sera une liste de numéros dans un ensemble plus grand qui sera publié (du moins à la fin).

Les problématiques du bon déroulement de cette étape sont les suivantes :

  1. Assurer la confidentialité de la correspondance entre numéros et électeurs : sans doute le point le plus délicat, seul garant de la confidentialité du vote.
  2. Assurer que deux électeurs différents ne recevront pas le même numéro
  3. Assurer qu’il y a autant de numéros enregistrés que d’électeurs ayant reçu un numéro
  4. Confier à chaque électeur un moyen de prouver qu’un numéro est bien le sien, preuve qu’il pourra mettre en avant notamment s’il découvre un litige sur son compte.

Le système des conditions 2 et 3 sert à garantir qu’il n’y a pas de numéro d’électeur fictif source de voix frauduleuses.

Nous verrons que s’il y a plusieurs cas d’attribution d’un même numéro à des électeurs différents, cela sera de toute manière publiquement découvert lors de la dernière étape (dépouillement) : certains des électeurs concernés s’en apercevront et, s’ils peuvent prouver quel numéro leur est attribué, la preuve sera donc publique. En attendant, on peut imaginer plusieurs méthodes possibles pour réaliser cette étape :

- soit un générateur aléatoire central réalise une correspondance et envoie par la poste à chaque inscrit son numéro (de 1 au nombre d’inscrits) et son code. Mais comment vérifier la confidentialité ?

- soit les électeurs viennent dans un bureau officiel, connecté au serveur central en temps réel, choisir ou recevoir un numéro parmi ceux restant

- soit il y a génération aléatoire décentralisée de numéros d’électeurs parmi un ensemble plus grand (plus que le carré du nombre d’électeurs) en espérant qu’il n’y ait pas de répétition, et en cas de répétition les électeurs concernés devraient changer de numéro.

Deuxième étape : le vote

Chaque électeur, muni de son numéro et de son code, se logue et vote, puis reçoit une preuve de son vote, en tant que choix effectué associé au numéro d’électeur.
On peut envisager deux hypothèses : ou bien le vote est définitif dès qu’il est effectué, ou bien il est modifiable jusqu’à un certain dernier moment. Dans ce dernier cas, on peut de toute façon prévoir un temps de latence de quelques heures entre le dernier moment d’une possible modification facile et le passage à l’étape du dépouillement, permettant à chacun de vérifier que son vote a été correctement enregistré.

En effet, dans tous les cas, deux risques seraient à considérer : soit que deux électeurs aient le même numéro d’électeur, soit qu’un fraudeur ait pu obtenir le numéro et le code d’accès (ou ait essayé par hasard) et ait voté à la place du vrai électeur. Si ce dernier peut modifier son vote, le fraudeur le peut aussi. Dans ce cas, il ne reste plus à l’électeur (ayant constaté une manoeuvre sur son vote qu’il n’a pas lui-même effectué) qu’à se présenter rapidement à un bureau de vote avec sa pièce d’identité et la preuve de son numéro d’électeur, pour qu’on lui attribue un nouveau code d’accès et la permission de modifier son vote (voire pour qu’on lui donne un nouveau numéro d’électeur s’il y a doublon, mais il vaut mieux que cela n’arrive pas !).

Troisième étape : le dépouillement

Est publiée alors la liste de tous les numéros d’électeurs avec les votes associés.
Chacun pourra vérifier que dans cette liste, son propre vote figure correctement (mais il ne pourra pas savoir ce qu’ont voté les autres, faute de connaître la correspondance entre numéros et électeurs).
Chacun pourra, sur son propre ordinateur, vérifier le compte final à partir de la liste des votes.
Si jamais plusieurs électeurs avaient reçu le même numéro, il y aurait des chances pour qu’ils n’aient pas voté la même chose (s’il n’y a pas assez de chances, on peut encore les augmenter en enrichissant le vote par des informations, soit utiles comme un classement des choix par ordre de préférence, par exemple pour un décompte à la Condorcet, soit un chiffre inutile pour contrôle).
Alors le résultat publié serait en contradiction avec le vote d’au moins l’un d’eux, qui pourrait porter plainte, muni de ses preuves.


Lire l'article complet, et les commentaires