Réponses à Rayane

A : j'y réponds plus haut mais le système de vote vérifiable ne remplace pas l'existant et n'interfère pas avec lui, il le complète, tout en offrant certaines fonctions complémentaires s'ajoutant à la fonction du suivi (voir plus haut statistiques départementales etc). Mais en le rendant autonome on accède à une multitude de "services" supplémentaires.

B1 dans ce cas un code fantôme est généré, voir mon point 1 "bourrage d'urne"

B2 lorsqu'un citoyen se prononce et que son code de vérification est généré, son droit de vote pour cette consultation est expiré.

   Il ne faut pas perdre de vue que ce système comme tous les services officiels requiert que vous vous y connectiez avec login et mot de passe. Lorsque vous avez épuisé votre droit pour un vote donné, c'est comme si vous vous présentiez une deuxième fois au bureau de vote, vous avez été rayé de la liste. Il en est de même au bureau de vote dématérialisé, résidant sur un de ces serveurs officiels et nationaux, qui prévoient des méthodes autrement plus sécurisées que des bureaux locaux (ce que j'espère). Si une autre personne se connecte avec vos identifiants après que vous même ayez voté, il constatera que le bouton de suffrage sur le site de vote est inopérant (grisé), de même que pour toutes les visiteurs du site, étrangers, etc qui ne sont pas identifiés. Seules les questions sont visibles par eux sans possibilité d'interaction et bien sûr les résultats qui ne nécessitent aucun login. Les résultats des suffrages sont toujours publiés publiquement.

.

B3 C'est un des points qui pose problème  (point 2)

B4. C'est justement ce qui est fortement encouragé. Le vote fait est directement retranscrit sur la page de résultats (plus besoin d'attendre le dépouillement). En pratique, vous voyez votre code personnel se poser sur le dessus d'un début de colonne, quelques instants plus tard le code personnel d'une autre personne (ayant voté oui comme vous bien sûr) vient se poser au dessus du vôtre et ainsi de suite jusqu'à la clôture du vote. Tous les votants ayant loupé le créneau d'ouverture du vote se retrouveront automatiquement dans la colonne ABS. Si avant l'ouverture de vote le site vous dit : La liste électorale pour ce vote comprend 25 048 975 électeurs, il est impératif qu'après clôture du vote 25 048 975 codes personnels distincts soient décomptés à partir des 4 colonnes de choix.

Si une personne ayant voté oui se retrouve dans les abstentions, il se peut qu'une coupure réseau ait produit un découplage et que le système l'ait considéré aux abonnés absents. Il ne s'agit pas d'une fraude, mais d'une erreur technique. On peut admettre un taux d'erreurs techniques si il reste modérés, et te toute manière au cas peu probable ou ce taux serait soudainement élevé (boîte mail de l'assesseur qui déborde de réclamations) le vote serait annulé pour raison technique. Bien sûr ce genre d'anomalie se déclarait il faudrait tout mettre en oeuvre pour y remédier de manière définitive.

Les résultats qui sont affichés après la clôture du vote peuvent rester affichés indéfiniment et même constituer une archive officielle à consulter dans vos vieux jours... (ah effectivement j'avais voté oui dans ma jeunesse).

B5 En cas de fraude : votre code oui qui se retrouve dans la colonne non par exemple. Vous avez une bouton "réclamation" qui vous met en relation avec les "assesseurs" (il en faudra toujours, qui peuvent être des tirés au sort bien sûr). Vous formulez votre réclamation et ils vous demandent de leur communiquer le code de vérification que vous avez reçu au moment du vote. Dans un tel cas de figure le "bug" peut être facilement décelé, car lorsque vous votez et qu'un code de vérification vous est remis, le même code à l'identique est transmis par voie sécurisée à l'ordinateur gouvernemental qui l'affichera sur la page des résultats Encore une fois, si vous constatez que les deux codes ne correspondent pas (un oui qui passe non) vous réclamez (et tous ceux qui sont dans le même cas que vous le font aussi), le vote est annulé et la faille est traquée. Si le plus grand nombre procède à la vérification de son vote (un clic sur le bouton de vote pourrait ramener automatiquement sur la page des résultats par exemple) aucune fraude ne peut passer inaperçue c'est la grande nouveauté du système.

 Il faut par contre s'assurer de l'intégrité  des données personnelles, mots de passe, adresse mail etc résidant sur les serveurs gouvernementaux, mais il en est de même que pour les comptes CAF, Impôts, etc, Ces systèmes de sécurité existent d'ailleurs aussi pour le pool électoral à l'échelle nationale, tout n'est pas que cahiers et classeurs dans le système électoral depuis longtemps pour les nostalgiques et pourtant vous ne vous en inquiétez pas.

C Il faut faire réaliser cette application par des informaticiens assermentés sur la base d'un cahier des charges, en insistant sur ces points précis : la génération, la gestion, le traitement et l'affichage des codes aléatoires de suivi. Les autres points (inscription des électeurs, sécurisation des données personnelles) ne nécessitent pas une sécurisation plus poussée que ce qui se fait couramment pour d'autres services de l'Etat, site des Impôts notamment.

Reponses à ltamgn

Comme précisé plus haut, cette solution peut vivre de manière indépendante un bon moment avant d'être utilisée exclusivement.

Et au vu des événements actuels, il est fort à parier que le besoin d'un outil de consultation rapide et dématérialisé puisse se faire sentir rapidement pour trancher des sujets nombreux mais non essentiels pour le moment (voter pour une date de rassemblement, etc).

En tous les cas, ne pas utiliser pour cela de solutions de vote en ligne du commerce, car vous allez avoir une armée de hackers qui vont se mettre à rechercher les mots de passe des assesseurs pour piller les bases de données des votes. C'est tellement facile. On fait tourner un ordinateur quelques heures le temps de tester les combinaisons (entre autres techniques de piratage), et votre rassemblement se transforme en énorme lapin. 

Réponse à sillard

Tout à fait d'accord sur le blockchain > preuves ineffaçables à perpétuité (sauf fin du monde). Voir mon point 6.

Merci Tony pour ces éclaircissements et bienvenue.

Pour le point 4, chaque "consultation" se tiendrait dans une fenêtre temporelle définie à l'avance (avec alerte sms, mail, 1 semaine avant pour permettre à chacun de se rendre disponible), chaque consultation se déroulant pendant au minimum 24h pour que chacun puisse dégager quelques minutes dans la journée pour y participer.

Ceci pose une question  doit on permettre au votant de constater la preuve de vote dans les résultats immédiatement, ce qui implique que les résultats soient affichés en temps réel tout au long de ces 24h (principe des sondages ou pétitions en ligne), ou bien n'afficher les résultats qu'une fois la consultation terminée à 24h00 plus 1 seconde ? (principe d'une journée de scrutin version papier). Dans le second cas, le votant serait obligé de consulter le site une seconde fois pour obtenir sa preuve de vote. Le premier cas est bien sûr plus pratique puisque le panneau "votre numéro de suivi est xxx, cliquez pour vérifier" vous permet de le faire immédiatement et de passer à autre chose.

Voici deux petits schémas illustrant la version "temps réel" :

Merci Tony pour ces éclaircissements et bienvenue.

Pour le point 4, chaque "consultation" se tiendrait dans une fenêtre temporelle définie à l'avance (avec alerte sms, mail, 1 semaine avant pour permettre à chacun de se rendre disponible), chaque consultation se déroulant pendant au minimum 24h pour que chacun puisse dégager quelques minutes dans la journée pour y participer.

Ceci pose une question  doit on permettre au votant de constater la preuve de vote dans les résultats immédiatement, ce qui implique que les résultats soient affichés en temps réel tout au long de ces 24h (principe des sondages ou pétitions en ligne), ou bien n'afficher les résultats qu'une fois la consultation terminée à 24h00 plus 1 seconde ? (principe d'une journée de scrutin version papier). Dans le second cas, le votant serait obligé de consulter le site une seconde fois pour obtenir sa preuve de vote. Le premier cas est bien sûr plus pratique puisque le panneau "votre numéro de suivi est xxx, cliquez pour vérifier" vous permet de le faire immédiatement et de passer à autre chose.

Voici deux petits schémas illustrant la version "temps réel" :

Merci Tony pour ces éclaircissements et bienvenue.

Pour le point 4, chaque "consultation" se tiendrait dans une fenêtre temporelle définie à l'avance (avec alerte sms, mail, 1 semaine avant pour permettre à chacun de se rendre disponible), chaque consultation se déroulant pendant au minimum 24h pour que chacun puisse dégager quelques minutes dans la journée pour y participer.

Ceci pose une question  doit on permettre au votant de constater la preuve de vote dans les résultats immédiatement, ce qui implique que les résultats soient affichés en temps réel tout au long de ces 24h (principe des sondages ou pétitions en ligne), ou bien n'afficher les résultats qu'une fois la consultation terminée à 24h00 plus 1 seconde ? (principe d'une journée de scrutin version papier). Dans le second cas, le votant serait obligé de consulter le site une seconde fois pour obtenir sa preuve de vote. Le premier cas est bien sûr plus pratique puisque le panneau "votre numéro de suivi est xxx, cliquez pour vérifier" vous permet de le faire immédiatement et de passer à autre chose.

Voici deux petits schémas illustrant la version "temps réel" :

Bonjour,

Merci à tous pour votre participation.

Je comprends l'attachement au système de vote en vigueur. Beaucoup de français n'aiment pas le changement d'habitudes et la perte de certaines traditions et j'en fais partie. Dans ce sujet, il s'agit d'élaborer une procédure complémentaire à ce qui est actuellement reconnu et accepté, car dans une certaine mesure le vote suivi peut s'appliquer au traditionnels bulletins et urnes, le seul changement étant la remise d'un ticket sur lequel est imprimé le code de vérification..

Ce n'est qu'à l'usage que la fiabilité d'un tel processus peut être évaluée avant être adopté, pourquoi pas en le testant pour des consultations de moindre importance comme des pétitions ou des sondages en ligne ?

En connaissant un peu les rouages, je partage votre inquiétude vis à vis du vote électronique tel qu'il fonctionne de nos jours, à raison tant les possibilités de manipulation sont nombreuses à tous les niveaux de la chaîne informatique, sans compter les codes sources opaques des logiciels qui sont utilisés par les fabricants de machines à voter.

Pour ne citer que deux exemples, aux Etats-Unis les machines de vote Diebold utilisent un logiciel embarqué dont le code source n'est connu que du constructeur, aux affinités constatées pour l'une des parties en l' occurence la famille Bush.

Sur le principe et au moins du temps de Bush, sur les machines Diebold c'est une carte mémoire genre SD Card d'appareil photo qui servait au stockage des données de la session de vote, carte qui devait être extraite de son support situé derrière un portillon accessible avec une simple clé physique par un informaticien assermenté. Les données collectées étaient ensuite compilées dans un tableur genre feuille Excel pour être transmises en pièce jointe par mail au service centralisateur.

Avec un tel protocole les failles sont évidemment innombrables. A se demander si les institutions qui ont validé un tel système ne le faisaient pas à dessein, sachant que de toute manière il serait très facile d'altérer les résultats si ces mêmes institutions étaient menacées.

Informaticien corrompu éditant les données au passage, e-mail intercepté et édité, réseau hacké par une entité étrangère, le vote électronique n'est tout simplement pas acceptable sous sa forme actuelle.

Autre exemple, nous avons tous en mémoire le scandale des boîtiers de l'assemblée nationale avec lesquels des députés peuvent voter en appuyant sur les boutons des absents (il eut suffit de débrancher les boîtiers des absents, c'est tellement évident).

C'est tout simplement ridicule. (lien vidéo https://www.dailymotion.com/video/x4616t9).

C'est par le protocole même du scrutin, quel que soit le support utilisé, papier ou électronique, que l'inviolabilité doit être induite, mécaniquement.

Le vote à bulletin secret est vulnérable aux manipulations parce que vous perdez le lien informationnel avec celui ci à partir du moment ou l'enveloppe a quitté votre main.

Pour lui adjoindre la notion de vérifiabilité il faudrait qu'il ne soit pas secret, on tourne en rond.

Le vote suivi casse cette boucle à priori fermée en permettant à chaque citoyen de rester lié à son suffrage et de le retrouver inaltéré à l'autre bout de la chaîne de traitement.

Nous ne sommes donc pas dans un débat vote électronique versus vote papier, mais plutôt dans une débat entre vote vérifiable versus vote non vérifiable.  .

Imaginons que les scrutins ne soient pas secrets en France, que nous soyons tous amis et n'ayons rien à cacher.

Les résultats des scrutins seraient nominatifs. Il vous suffirait de chercher votre nom dans les tableaux officiels de résultats et de constater que celui-ci est bien adossé au choix que vous avez formulé, et pourquoi pas avec votre photo, ce qui formerait un magnifique trombinoscope national. Bien sûr nous savons tous que c'est irréalisable mais c'est une image.

Le code unique et personnel, en se substituant à votre identité permet d'atteindre le même but, celui de faire le constat du bon acheminement de votre choix jusqu'aux instances exécutives, preuve que la démocratie participative aura bien fonctionné pour vous.

Nous obtenons donc un scrutin public dont les noms sont floutés et illisibles, sauf le votre et par vous même seulement.

Que le vote se déroule sous forme papier ou électronique n'a plus d'importance ou beaucoup moins, mis à part les aspects pratiques du changement.

Cependant, il semble évident que la version Internet du vote vérifiable, et ce grâce à la puissance de traitement que permet l'informatique, pourrait offrir tout un éventail d'avantages insoupçonnés.En plus de supprimer le processus de dépouillement (c'est vous mêmes qui "dépouillez" en constatant la présence de votre signature sur le listing de résultats), il permettrait en raison de sa flexibilité une démocratie participative bien plus ciblée, régionalisée, permanente(24/24), et bien sûr économique (en temps, en frais de déplacement). Sans parler de la quantité d'arbres sauvés...

Le vote Internet fiabilisé c'est également la possibilité de faire son devoir de citoyen avec quelques gestes depuis son téléphone portable à toute heure et en tout lieu, d'être prévenu lorsqu'une consultation est sur le point de se terminer.

Imaginons par exemple que vous soyez particulièrement concernés par un projet de contournante se rapprochant dangereusement de votre jardin.

Vous seriez "abonné" à toutes les consultations concernant ce sujet particulier (de même que vos proches voisins). Au moment de la consultation, une alarme vous préviendrait et bien sûr vous voteriez non, que vous soyez sur place, en déplacement dans un autre pays, ou dans toutes sortes d'activités, travail, cinéma etc.

Pensons à ces heures perdues en file indienne à attendre de  pouvoir enfin glisser son bulletin dans l'urne, en croisant les doigts pour que l'enveloppe ne s'égare pas.

Je pense pour ma part qu'un tel système serait susceptible de revivifier l'attrait pour la chose publique à plus forte raison si cela se déroule sous les auspices d'une véritable démocratie participative accessible à tous, auto-contrôlée et permanente.

Enfin, je partage votre inquiétude pour ce qui concerne les anciens et tous ceux ne maîtrisant pas l'outil informatique.

Effectivement des formateurs présents dans les bureaux de vote physiques pourrait les y assister, mais l'on pourrait tout aussi bien imaginer des centres multi-services permanents hébergés par des MJC, Mairies, permettant à ces mêmes personnes d'être assistées pour leurs déclarations d'impôts, remplissages de formulaires CAF et bien d'autres choses, dans une ambiance cyber café citoyen ou la connexion Internet serait gratuite, ce qui permettrait de surcroît à ces personnes de s'auto-former pour devenir moins dépendantes.

Pensons également à l'avenir et aux plus jeunes qui j'en suis sûr se feront un plaisir d'exercer leurs droits de citoyens aussi simplement qu'ils envoient des "like".

Comme vous, je découvre ce système, j'y vois des failles, et j'explore les possibilités de renforcement. Depuis ma dernière intervention d'autres questions sont apparues.

Voir page suivante.

Bonjour à tous !

Ceci est ma première contribution, j'espère que le sujet sera pertinent ici.

Je pense qu'il est possible de fiabiliser de manière intrinsèque n'importe quel système de vote, y compris par voie électronique.

En associant à chaque vote un code personnel (qui représente l'identité du votant sous une forme codée) et en publiant officiellement l'ensemble des codes des votants sur un listing de résultats, on offre la possibilité à tout un chacun de vérifier que son vote a bien été pris en compte.

En pratique, à l'issue du vote, chacun peut vérifier la présence de son code personnel dans les listings de résultats, qui ne sont rien d'autre que des colonnes de codes classés par ordre alphabétique (pour la version électronique on utilise une fenêtre de recherche pour retrouver plus facilement son code personnel).
Si par exemple le vote émis est "oui" et que le code associé à ce vote "oui" est e2g7q6c4, le votant retrouvera ce code e2g7q6c4 dans la colonne "oui" des résultats. La somme de tous les codes listés dans les colonnes oui, non, blanc, abstention (une abstention génère aussi un code), donne le nombre total des votants, nombre devant correspondre exactement à celui annoncé avant l'ouverture du vote (corps électoral).

Si un possesseur de code ne retrouve pas celui ci dans la colonne attendue, ou s'il le retrouve dans la mauvaise colonne, il dépose une réclamation. Au delà d'un pourcentage donné de réclamations le vote est annulé.

Pour les allergiques au mot "électronique", cette technique serait applicable au vote "papier et urne". Dans ce cas l'unique complément aux procédures d'émargement et de dépôt de l'enveloppe dans l'urne serait la remise d'un ticket à conserver sur lequel figurerait ce code personnel.

Ce mécanisme permet à chacun de suivre personnellement le cheminement de son vote par delà le dépouillement jusqu'à la proclamation des résultats par l'organisme centralisateur, tout en offrant une possibilité de contestation avec preuve de vote en cas d'anomalie. On peut aussi aller plus loin en créant un statut "vote confirmé" pour les codes ayant été vérifiés par leurs possesseurs respectifs.

Pour la version électronique, il serait envisageable de renforcer l'inviolabilité en s'inspirant du principe du blockchain : les listings contenant les codes de tous les votants sont automatiquement dupliqués puis échangés entre tous pour ensuite être archivés sur tous les disques durs personnels. Ainsi, aucune manipulation ultérieure sur un listing isolé n'est possible puisqu'il existe autant de copies conformes de listings que de votants.

Merci,

Alain

Bonjour à tous !

Ceci est ma première contribution, j'espère que le sujet sera pertinent ici.

Je pense qu'il est possible de fiabiliser de manière intrinsèque n'importe quel système de vote, y compris par voie électronique.

En associant à chaque vote un code personnel (qui représente l'identité du votant sous une forme codée) et en publiant officiellement l'ensemble des codes des votants sur un listing de résultats, on offre la possibilité à tout un chacun de vérifier que son vote a bien été pris en compte.

En pratique, à l'issue du vote, chacun peut vérifier la présence de son code personnel dans les listings de résultats, qui ne sont rien d'autre que des colonnes de codes classés par ordre alphabétique (pour la version électronique on utilise une fenêtre de recherche pour retrouver plus facilement son code personnel).
Si par exemple le vote émis est "oui" et que le code associé à ce vote "oui" est e2g7q6c4, le votant retrouvera ce code e2g7q6c4 dans la colonne "oui" des résultats. La somme de tous les codes listés dans les colonnes oui, non, blanc, abstention (une abstention génère aussi un code), donne le nombre total des votants, nombre devant correspondre exactement à celui annoncé avant l'ouverture du vote (corps électoral).

Si un possesseur de code ne retrouve pas celui ci dans la colonne attendue, ou s'il le retrouve dans la mauvaise colonne, il dépose une réclamation. Au delà d'un pourcentage donné de réclamations le vote est annulé.

Pour les allergiques au mot "électronique", cette technique serait applicable au vote "papier et urne". Dans ce cas l'unique complément aux procédures d'émargement et de dépôt de l'enveloppe dans l'urne serait la remise d'un ticket à conserver sur lequel figurerait ce code personnel.

Ce mécanisme permet à chacun de suivre personnellement le cheminement de son vote par delà le dépouillement jusqu'à la proclamation des résultats par l'organisme centralisateur, tout en offrant une possibilité de contestation avec preuve de vote en cas d'anomalie. On peut aussi aller plus loin en créant un statut "vote confirmé" pour les codes ayant été vérifiés par leurs possesseurs respectifs.

Pour la version électronique, il serait envisageable de renforcer l'inviolabilité en s'inspirant du principe du blockchain : les listings contenant les codes de tous les votants sont automatiquement dupliqués puis échangés entre tous pour ensuite être archivés sur tous les disques durs personnels. Ainsi, aucune manipulation ultérieure sur un listing isolé n'est possible puisqu'il existe autant de copies conformes de listings que de votants.

Merci,

Alain

Bonjour à tous !

Ceci est ma première contribution, j'espère que le sujet sera pertinent ici.

Je pense qu'il est possible de fiabiliser de manière intrinsèque n'importe quel système de vote, y compris par voie électronique.

En associant à chaque vote un code personnel (qui représente l'identité du votant sous une forme codée) et en publiant officiellement l'ensemble des codes des votants sur un listing de résultats, on offre la possibilité à tout un chacun de vérifier que son vote a bien été pris en compte.

En pratique, à l'issue du vote, chacun peut vérifier la présence de son code personnel dans les listings de résultats, qui ne sont rien d'autre que des colonnes de codes classés par ordre alphabétique (pour la version électronique on utilise une fenêtre de recherche pour retrouver plus facilement son code personnel).
Si par exemple le vote émis est "oui" et que le code associé à ce vote "oui" est e2g7q6c4, le votant retrouvera ce code e2g7q6c4 dans la colonne "oui" des résultats. La somme de tous les codes listés dans les colonnes oui, non, blanc, abstention (une abstention génère aussi un code), donne le nombre total des votants, nombre devant correspondre exactement à celui annoncé avant l'ouverture du vote (corps électoral).

Si un possesseur de code ne retrouve pas celui ci dans la colonne attendue, ou s'il le retrouve dans la mauvaise colonne, il dépose une réclamation. Au delà d'un pourcentage donné de réclamations le vote est annulé.

Pour les allergiques au mot "électronique", cette technique serait applicable au vote "papier et urne". Dans ce cas l'unique complément aux procédures d'émargement et de dépôt de l'enveloppe dans l'urne serait la remise d'un ticket à conserver sur lequel figurerait ce code personnel.

Ce mécanisme permet à chacun de suivre personnellement le cheminement de son vote par delà le dépouillement jusqu'à la proclamation des résultats par l'organisme centralisateur, tout en offrant une possibilité de contestation avec preuve de vote en cas d'anomalie. On peut aussi aller plus loin en créant un statut "vote confirmé" pour les codes ayant été vérifiés par leurs possesseurs respectifs.

Pour la version électronique, il serait envisageable de renforcer l'inviolabilité en s'inspirant du principe du blockchain : les listings contenant les codes de tous les votants sont automatiquement dupliqués puis échangés entre tous pour ensuite être archivés sur tous les disques durs personnels. Ainsi, aucune manipulation ultérieure sur un listing isolé n'est possible puisqu'il existe autant de copies conformes de listings que de votants.

Merci,

Alain