Les enjeux du vote à e-bulletin secret

Date:
Mis à jour le 04/11/2020
À l'aune de la pandémie de Covid-19, la question des élections à distance revient avec force dans le débat public. Et avec elle, celle de la nécessité de protéger au maximum le secret des suffrages exprimés avec l'aide des nouveaux systèmes de vote électronique. C'est l'objet d'un article scientifique coécrit par trois chercheurs issus ou gravitant autour de l'équipe-projet Pesto, commune au centre Inria Nancy Grand-Est et au Loria. En juin 2020, leur travail a été récompensé lors de la dernière édition de la grand-messe annuelle de la vérification formelle des systèmes de sécurité, la conférence CSF, pour Computer Security Foundations.
image illustrant le vote électronique
pch.vector - fr.freepik.com

 

Après les Cinquante nuances de Grey, voici venues les Fifty Shades of Ballot Privacy ! Il ne s'agit pas cette fois d'un roman à succès mais d'un article scientifique remarqué, dont le titre signifie littéralement « Cinquante nuances de secret du vote ». Il aborde une notion qui est elle aussi susceptible de revêtir de multiples facettes : la protection du secret du scrutin. Et plus précisément la protection du secret du vote électronique lorsque celui-ci est lié à un serveur (une urne électronique) corrompu ou malhonnête.

Garder le secret

Cette nouvelle publication a été gratifiée d'un prix distinguished paper award lors de l'édition 2020 de la conférence CSF, consacrée à la vérification formelle des systèmes de sécurité. Elle livre le résultat de recherches sur la conservation du secret, menées conjointement par Véronique Cortier, directrice de recherche CNRS et membre de l'équipe-projet Pesto, Joseph Lallemand, ex-doctorant de cette même équipe (actuellement en postdoc à l'ETH Zürich) et Bogdan Warinschi, chercheur de la fondation suisse Dfinity régulièrement amené à coopérer avec les chercheurs d'Inria Nancy-Grand Est. Ces nouveaux travaux sont précieux pour les équipes-projets Pesto (protocoles de sécurité, notamment pour le vote électronique) et Caramba (cryptographie et cryptanalyse), à l'origine d'une plate-forme de vote électronique en open source dénommée Belenios. Premier signe particulier de cet outil : son code est « ouvert », de telle sorte qu'il puisse, si besoin, être analysé par des tiers scrutateurs. Deuxième spécificité : il est pensé pour sécuriser au maximum toutes les données échangées.

 

Jusqu'ici tout va bien. Mais que se passe-t-il lorsque le serveur (l'urne électronique) dans lequel sont versés les bulletins est « malhonnête » ? C'est sur cette question qu'ont planché les trois chercheurs, en soulignant que la notion de secret du vote est compliquée à définir dans le cadre du vote électronique. Pourquoi ? « Il y a plusieurs raisons, explique Joseph Lallemand, spécialiste de la vérification de tous types de protocoles cryptographiques. De façon évidente, si tout le monde a voté la même chose, un attaquant potentiel saura tout de suite sur qui s’est porté le choix de chaque électeur. Et de façon un peu plus compliquée, s'il s'avère que l'urne-serveur dans laquelle sont stockés les bulletins cryptés est malhonnête, il risque d'être difficile pour les organisateurs de garantir que le secret du vote a bel et bien été préservé. » D'où le besoin de ne plus faire a priori confiance à l'urne dans l'analyse du secret des votes, comme il était d’usage jusqu'ici à défaut de pouvoir faire autrement. Il s’agit au contraire de partir du principe que celle-ci est susceptible d'être corrompue et que cela ne devrait pas pour autant affecter le secret du vote.

Modéliser les attaques les plus problématiques

Dans un contexte où les attaques et tentatives d'intrusion risquent d'être multiples et variées, les chercheurs ont modélisé et décrit de façon mathématique un ensemble de comportements déviants. Ils ont distingué ceux qui vont être considérés comme dangereux, car susceptibles de dévoiler à un tiers les choix des électeurs, et ceux qui pourront être tolérés, dans la mesure où ils sont peu réalistes et n'entraîneraient pas une divulgation de secrets.

« Le but de ces travaux théoriques conformes aux objectifs scientifiques d'Inria Nancy - Grand-Est en matière de développement de l'intelligence algorithmique — est de fournir un cadre mathématique permettant de définir formellement ce qui est grave et ce qui ne l'est pas, précise Joseph Lallemand. Ils doivent aussi nous aider à améliorer notre compréhension de ce qui peut légitimement être demandé à un système de vote électronique en matière de sécurité. »

Et ainsi à fournir des « bonnes pratiques » aux autorités en charge de l'organisation d'élections électroniques ou aux instances de protection de la vie privée. Ces dernières proposant de plus en plus souvent, comme la Cnil en France, des recommandations de sécurité aux organisateurs des scrutins.

 

Pour en savoir plus…