59 Vote à points et vote électronique (via Internet ou pas)

@lanredec (160) :

Décidément, le français est une langue moins claire qu’on le croit généralement. Dans la phrase " :

À travers toutes les objections faites au vote électronique sur ce site, il y a une constante : l’impossibilité de couper le fil électronique

« un » est un article indéfini, et par conséquent ma formulation n’exclut pas qu’on trouve d’autres constantes dans les objections dont il s’agit, même si j’ai choisi de ne parler que d’une en particulier.

Pour le reste de votre raisonnement, il repose sur l’incompréhension d’un des arguments que certains me reprochent de ressasser et que je considère comme fondamental, à savoir que la clé de la faisabilité du vote Internet est la possibilité de repérer toutes les fraudes, erreurs et intrusions sans exception, notamment en donnant à chaque électeur le moyen de vérifier à tout moment et à toutes les étapes l’exactitude de son vote enregistré. Si l’électeur avait cette possibilité, la fraude deviendrait improbable puisqu’elle serait automatiquement déjouée. Au pire on pourrait toujours faire revoter par les procédures-papier ordinaires. Or une procédure non électronique de pseudo + mot de passe (suggérée par d’autres que moi) permettrait effectivement la vérification de son vote par l’électeur et cela sans empêcher l’anonymat du vote.

Je m’étonne que cet argument ait tant de mal à passer et qu’on en revienne toujours à celui que « le vote électronique ne résout aucune des occasions de fraude » (?), ce qui est peut-être vrai mais n’a aucune importance dans le contexte – sauf bien sûr pour comprendre le mécanisme de la fraude ou de l’erreur et mettre en place les contremesures nécessaires lors de l’élection électronique suivante. JR

Je crois comprendre ce que vous voulez dire Jacques, vous imaginez certainement un serveur (ou FAI) sur lequel on se connecterait et que chaque paquet d’informations soit traité, identifié et reconnu dans le cas d’une fraude éventuelle. Ce système est en projet pour l’internet mais concernant pour le moment les droits d’auteurs, il s’agit de l’ACTA.

L’ACTA sera présent sur chaque serveurs des FAI, si l’Europe vote la loi, elle sera capable de lire et de reconnaitre chaque paquet d’informations ayant des contenus soumis à droits d’auteurs. Cette mesure changerait l’Internet tel que nous le connaissons, nous n’aurions plus les moyens de partager entre nous un morceaux de musique, une scène de film, même dans les forums une phrase soumise à copyright peut-être victime de l’ACTA. Cette loi pose des problèmes sur la liberté de communication ; en effet, ACTA c’est comme si vous vous faisiez mettre sur écoute constamment.

Voici une petite vidéo qui vous expliqueras mieux que moi
http://www.youtube.com/watch?v=Qo00pGk8FkQ

J’espère avoir pu vous éclairez un peu.

[i]À travers toutes les objections faites au vote électronique sur ce site, il y a une constante : l'impossibilité de couper le fil électronique[/i]

« un » est un article indéfini, et par conséquent ma formulation n’exclut pas qu’on trouve d’autres constantes dans les objections dont il s’agit, même si j’ai choisi de ne parler que d’une en particulier.

OK, il ne s’agit donc pas d’une constante à travers toutes les objections mais d’un point caractérisant une certaine classe d’objections.

Pour le reste de votre raisonnement, il repose sur l'incompréhension d'un des arguments que certains me reprochent de ressasser et que je considère comme fondamental, à savoir que la clé de la faisabilité du vote Internet est la possibilité de repérer toutes les fraudes, erreurs et intrusions sans exception,

Encore une fois je suis d'accord avec vous jusqu'ici.

notamment en donnant à chaque électeur le moyen de vérifier à tout moment et à toutes les étapes l'exactitude de son vote enregistré. Si l'électeur avait cette possibilité, la fraude deviendrait improbable puisqu'elle serait automatiquement déjouée.

C'est ici que l'un de nous ne comprend pas. Ce que je prétends c'est que le fait que le système affirme à Monsieur X avoir pris en compte le vote de Monsieur X, en ne donnant pour preuve de cette affirmation que l'image de ce vote, ne prouve rien sur le fait que les totaux présentés au dépouillement sont bien les totaux des votes effectifs. Vous avez parlé plus haut de cloisonner, vous pouvez donc imaginer, pour caricaturer, un système tellement cloisonné que le vote individuel et sa vérification soient physiquement séparés de la détermination des résultats.

Au pire on pourrait toujours faire revoter par les procédures-papier ordinaires.

Je suis d'accord sur ce point, à condition que le critère de déclenchement soit un doute exprimé anonymement par un petit nombre de citoyens, et non, comme vos contributions précédentes pouvaient le laisser craindre, la détection par le système d'une fraude avérée.

Or une procédure [i]non électronique [/i]de pseudo + mot de passe (suggérée par d'autres que moi) permettrait effectivement la vérification de son vote par l'électeur et cela sans empêcher l'anonymat du vote.

La description en était insuffisamment précise pour que je puisse me prononcer. Je n'ai aucun mal à en imaginer des mises en œuvre apparemment raisonnables qui ne garantiraient ni l'anonymat, ni le secret, ni l'inviolabilité des totaux.

Je m'étonne que cet argument ait tant de mal à passer et qu'on en revienne toujours à celui que "le [i]vote électronique ne résout aucune des occasions de fraude[/i]" (?), ce qui est peut-être vrai mais n'a aucune importance dans le contexte

J'espère qu'il s'agit encore d'un problème de clarté du français ;)

– sauf bien sûr pour comprendre le mécanisme de la fraude ou de l'erreur et mettre en place les contremesures nécessaires lors de l'élection électronique suivante. JR

Pourquoi "suivante" ?

Moyens de contrôle citoyen infaillible des résultats de vote Internet

Lanredec, je réponds à votre 163 :

Je ne crois pas que ce soit une question de compréhension : plutôt une question de lecture trop rapide de mes messages concernant le système proposé (ici et sur le fil « Un système OPEN SOURCE »)…

Si vous retournez à ces messages, vous vous rendrez compte que [bgcolor=#FFFF99]je ne m’arrête pas à la vérification de son vote par chaque électeur. J’envisage pour chaque électeur la possibilité de vérifier non seulement son propre vote mais aussi les résultats à tous les niveaux. par comparaison des listes officielles publiées.[/bgcolor] On procéderait ainsi :

– Dans chaque circonscription, dès avant le vote, la liste électorale nominative arrêtée définitivement sera imprimée et affichée pour que chaque citoyen puisse vérifier qu’il n’y a pas d’anomalie (bourrages, suppressions intempestives, erreurs de nom) ;

– Quelques jours avant le vote, chaque électeur va tirer au sort à la mairie, dans deux urnes, deux enveloppes contenant l’une un pseudonyme, l’autre un mot de passe ;

– Chaque électeur vote électroniquement, à partir de n’importe quel ordinateur, au moyen de son pseudo et de son mot de passe ;

– Dès la clôture électronique du vote, la liste électronique des votes de circonscription est imprimée et affichée ou publiée dans tous les lieux officiels appropriés (bureau de circonscription, mairie, écoles, etc.).

Cette liste donne aussi les résultats de circonscription.

[Cette liste par pseudo indique en face de chaque pseudo s’'il y a eu vote en faveur d’un candidat ou d’une liste, s’il y a eu vote blanc ou si l’électeur était absent (la mention « absent » couvrirait les cas d’abstention volontaire ou involontaires indifféremment).

Une des beautés du vote électronique est qu’il ne connaît pas le vote nul (il y a vote, ou il n’y a pas vote). Une autre de ses beautés est qu’il permet expressément le vote blanc (déjà prévu par le code électoral en vigueur dans le cas du vote électronique).

– À partir des listes imprimées et publiées, chaque électeur peut procéder aux contrôles suivants : 1) l’indication correcte figure bien en face de son pseudo ; 2) la liste des pseudos et des indications « absence » figurant sur la liste de résultats correspond bien, en nombre, à la liste électorale publiée avant le vote ; 3) la comptabilité des votes de circonscription figurant sur la liste de résultats de la circonscription est bien conforme aux indications figurant dans la partie pseudos.

À partir des résultats de circonscription, il suffit d’additionner pour vérifier jusqu’au niveau national.

– Si le système s’est trompé ou a menti en donnant les résultats, les citoyen, qui seront des millions à vérifier (en plus du Conseil constitutionnel) repèreront très vite à partir des listes imprimées les erreurs d’enregistrement ou de décompte : [bgcolor=#FFFF99]le système électronique ne peut pas empêcher ces vérifications extra-électroniques[/bgcolor].

–[bgcolor=#FFFF99] Deux cloisonnement suffiraient pour assurer l’effectivité de la vérification : 1) le cloisonnement des opérations de vote par circonscription ; 2) le cloisonnement de la procédure pseudo + mot de passe (procédure-papier qui, donc, coupe le circuit électronique et assure un anonymat total tant au niveau du vote qu’au niveau du dépouillement).
[/bgcolor]
On peut imaginer des cloisonnements supplémentaires : par exemple, répartir les votes sur des plages horaires choisies (ou même tirées au sort) par chaque électeur au dernier moment (mettons qu’on pourrait choisir de voter entre midi et deux heures ou entre 5 heures et 7 heures du matin), le système empêchant de voter au nom de cet électeur aux mêmes plages horaires). Mais dans le pire des cas, très peu de cloisonnements suffiront.

– Le critère de déclenchement du vote-papier est une question très secondaire par rapport à la question beaucoup plus générale de la fiabilité du système, et on s’entendra très vite sur les détails. Je ne suis pas contre votre proposition.

[b]Je pense que ma description est maintenant plus précise, et je serais évidemment intéressé de comment on pour contourner l’anonymat et le secret du vote et nuire à la sincérité des résultats et des décomptes.

Une remarque toutefois en ce qui concerne le secret : vote électronique ou pas, il faudra bien le lever à partir du moment où il y aurait lieu de faire la preuve qu’un vote a été mal enregistré. Cela dépendrait de l’électeur, qui devrait alors révéler son pseudo et soln mot de passe.[/b] Et même, n’y aurait-il pas possibilité de fournir une preuve électronique préservant l’anonymat et le secret ? Sur ces aspects techniques, je suis, comme vous savez, incompétent. JR

Merci d’avance à vous et aux autres objectants de se manifester ! JR

Moyens de contrôle citoyen [b]infaillible[/b] des résultats de vote Internet

[i]Errare humanum est[/i], et comme la technologie est inventée, fabriquée et mise en oeuvre par des humains ...

Si vous retournez à ces messages, vous vous rendrez compte que je ne m'arrête pas à la vérification de son vote par chaque électeur. J'envisage pour chaque électeur la possibilité de vérifier non seulement son propre vote mais aussi les résultats à tous les niveaux. par comparaison des listes officielles publiées.

*Comment le citoyen X fait il pour vérifier que le citoyen Y a effectivement voté ? *Comment le citoyen X fait il pour vérifier que c'est bien le citoyen Y qui a voté ? *Comment le citoyen X fait il pour s'assurer que le citoyen Y n'a pas voté sous la contrainte ?

On procéderait ainsi :

– Dans chaque circonscription, dès avant le vote, la liste électorale nominative arrêtée définitivement sera imprimée et affichée pour que chaque citoyen puisse vérifier qu’il n’y a pas d’anomalie (bourrages, suppressions intempestives, erreurs de nom) ;

Très bien, et devrait d’ailleurs être appliqué à tous les types de scrutin.

– Quelques jours avant le vote, chaque électeur va tirer au sort à la mairie, dans deux urnes, deux enveloppes contenant l'une un pseudonyme, l'autre un mot de passe ;

*Je suppose que le pseudo n'est pas réutilisable d'une élection à la suivante. *Y a-t-il un lien conservé entre l'identité et le pseudo ? *A quoi sert le mot de passe ? Habituellement un mot de passe sert à vérifier que l'utilisateur d'un identifiant est bien celui qui en a le droit. Pour cela il doit être 1)lié à l'identifiant, 2)connu de l'ayant droit seul. Ces deux critères ne sont pas respectés.

– Chaque électeur vote électroniquement, à partir de n'importe quel ordinateur, au moyen de son pseudo et de son mot de passe ;

Attention, voter de son ordinateur personnel ne permet pas d'assurer l'anonymat, voter d'un ordinateur qui ne serait pas dans une cage de Faraday ne permet pas d'assurer le secret. *Comment le citoyen X peut il vérifier que le citoyen Y n'a pas fait une de ces erreurs ?

– Dès la clôture électronique du vote, la liste électronique des votes de circonscription est imprimée et affichée ou publiée dans tous les lieux officiels appropriés (bureau de circonscription, mairie, écoles, etc.).

L'association pseudo/vote, je suppose. J'imagine aussi que chaque circonscription ne fait guère plus de 1000 inscrits (pour permettre un contrôle pratiquable sur une liste papier) *Comment les citoyens vérifient ils que tous les pseudos utilisés sont ceux de citoyens (réels de la liste publiée avant le vote) qui se sont déplacés pour en retirer un ?

[Cette liste par pseudo indique en face de chaque pseudo s''il y a eu vote en faveur d'un candidat ou d'une liste, s'il y a eu vote blanc ou si l'électeur était absent (la mention "absent" couvrirait les cas d'abstention volontaire ou involontaires indifféremment).

Il faudrait distinguer les pseudos non tirés au sort et les pseudos tirés mais non utilisés. *Comment le citoyen X sait il que le pseudo du citoyen Y qui n'a pas voté est bien répertorié comme absent et n'a pas été utilisé par le système pour un vote fictif ?

Une des beautés du vote électronique est qu'il ne connaît pas le vote nul (il y a vote, ou il n'y a pas vote).

Une des beautés des systèmes électroniques est qu'ils contiennent toujours des bugs.

Une autre de ses beautés est qu'il permet expressément le vote blanc (déjà prévu par le code électoral en vigueur dans le cas du vote électronique).

Tous les systèmes de vote le permettent. Le vote électronique permet ... de l'interdire.

– À partir des listes imprimées et publiées, chaque électeur peut procéder aux contrôles suivants : 1) l'indication correcte figure bien en face de son pseudo ;

Sachant que le vote est inviolable et constatant que son vote a été violé, que va conclure l'électeur ? qu'il va s'attaquer seul à des gens qui ont manifestement des moyens bien supérieurs aux siens ?

2) la liste des pseudos et des indications "absence" figurant sur la liste de résultats correspond bien, en nombre, à la liste électorale publiée avant le vote ;

Malheureusement ça ne prouve pas grand chose. Si la réalité est que 20% ont voté A, 25% ont voté B, 55% se sont abstenus et que les résultats indiquent 30% pour A, 25% pour B, et 45% d'abstention ...

3) la comptabilité des votes de circonscription figurant sur la liste de résultats de la circonscription est bien conforme aux indications figurant dans la partie pseudos.

C'est nécessaire mais trop tard dans le processus.

– Si le système s'est trompé ou a menti en donnant les résultats, les citoyen, qui seront des millions à vérifier (en plus du Conseil constitutionnel) repèreront très vite à partir des listes imprimées les erreurs d'enregistrement ou de décompte : [b]le système électronique ne peut pas empêcher ces vérifications extra-électroniques[/b].

Mais, comme vous l'avez vu, il peut ne pas donner les éléments nécessaires, voire il doit ne pas les donner pour respecter l'anonymat et le secret.

– Deux cloisonnement suffiraient pour assurer l'effectivité de la vérification : 1) le cloisonnement des opérations de vote par circonscription ; 2) le cloisonnement de la procédure pseudo + mot de passe (procédure-papier qui, donc, coupe le circuit électronique et assure un anonymat total tant au niveau du vote qu'au niveau du dépouillement).

Paradoxalement, ce dernier point retire au vote électronique le seul avantage qu'il a sur le vote papier.

– Le critère de déclenchement du vote-papier est une question très secondaire

Le diable est dans les détails.

[b]Je pense que ma description est maintenant plus précise, et je serais évidemment intéressé de comment on pour contourner l'anonymat et le secret du vote et nuire à la sincérité des résultats et des décomptes.

Je pensais avoir déjà répondu plusieurs fois. Le vote électronique ne permet ni l'équivalent de l'isoloir, ni l'équivalent de l'urne transparente.

Une remarque toutefois en ce qui concerne le secret : vote électronique ou pas, il faudra bien le lever à partir du moment où il y aurait lieu de faire la preuve qu'un vote a été mal enregistré.

Pourquoi faudrait il faire la preuve ? Le doute doit suffire.

Merci d'avance à vous et aux autres objectants de se manifester ! JR

J'espère que vous ne me considérez pas que comme un objectant. D'ailleurs vous objectez autant au caractère intrinsèquement moins démocratique du vote électronique que moi à son caractère intrinsèquement plus démocratique. Et cela ne m'empêche pas de le trouver utilisable, au même titre que le vote à main levée, le vote par acclamation, et même le consensus consistant à ne pas consulter du tout sur certains points (consensus que vous même défendez régulièrement).

Le système de vote Internet avec pseudo et mot de passe non électroniques est-il contournable ?

@Lanredec (165) :

Ça va faire une belle tartine, Téhach ne sera pas content.

Je reprends vos objections et remarques très détaillées (merci) concernant le système que j’ai proposé. Je les ai numérotées pour la commodité de la référence :

1. Selon vous, la contrôlabilité citoyenne ne sera pas infaillible parce que " Errare humanum est", et comme la technologie est inventée, fabriquée et mise en oeuvre par des humains…"

Pourtant, il s’agit bien ici de trouver une procédure qui permette de surmonter les erreurs et les fraudes imputables au vote Internet.

Évidemment, si l’on part du principe philosophique que c’est impossible, autant s’arrêter là. Votre remarque est typique du discours idéologique a priori de bien des détracteurs du vote Internet qui rejettent d’emblée toute offre de solutions concrètes comme illusoire (les exemples ne manquent pas sur ce fil et ailleurs).

2. Comment le citoyen X fait il pour vérifier que le citoyen Y a effectivement voté ?
   Comment le citoyen X fait il pour vérifier que c’est bien le citoyen Y qui a voté ?
   Comment le citoyen X fait il pour s’assurer que le citoyen Y n’a pas voté sous la contrainte ?

Pas plus que dans le vote-papier tel qu’il fonctionne actuellement il n’appartiendra au citoyen X de faire les vérifications dont vous parlez sur le vote du citoyen Y.

Dans le système du vote-papier, les deux premières vérifications sont faites par les assesseurs du bureau de vote.

Dans un système de vote Internet, les services de la mairie feront les mêmes vérifications au moment de s’assurer de l’identité de la personne qui vient tirer au sort son identifiant et son mot de passe.

Quant à la vérification de l’absence de contrainte, il est vrai que le vote-papier se fait dans des conditions qu’on peut juger relativement plus sûres (quoique loin d’être infaillibles), parce que le votant se présente en personne pour voter et qu’il entre seule dans l’isoloir avec au moins deux bulletins de vote différents.

Ce système du vote-papier écarte donc en principe tout risque de pressions physiques au moment du vote à proprement parler, tandis qu’avec le vote Internet le votant, s’il vote chez lui, se trouve devant son ordinateur accompagné des seules personnes de son entourage (celles justement les plus susceptibles de faire pression). Le vote-papier présente toutefois à peu près autant de risques de pressions psychologiques que le vote-papier.

Et même pour ce qui est des risques physiques, il est à supposer que c’est à l’occasion du vote par correpondance ou du vote par procuration (exclus par nature du vote électronique) que les personnes vulnérables peuvent être soumises à ce type de pression.

Si l’on a affaire à un électeur vulnérable, il me semble difficile d’éviter tout à fait le risque de pressions physiques ou psychologiques dans le cas du vote papier comme dans le cas du vote Internet : mais je crois que ces cas sont en nombre très minimes – il faudrait étudier la question et trouver des parades, sans se faire trop d’illusions.

D’ailleurs, en supposant qu’on adopte le vote Internet, il faudrait laisser la possibilité à ceux qui le veulent de voter par le système classique.

Reconnaissons que la possibilité d’exercer des pressions est le point faible du système Internet, mais n’est-ce pas le point faible de tout système de vote ?

3. Je suppose que le pseudo n’est pas réutilisable d’une élection à la suivante.

En effet.

4. Y a-t-il un lien conservé entre l’identité et le pseudo ?

Non.

Voir ma proposition, qui est très claire là-dessus : le pseudo et le mot de passe seraient tirés au sort manuellement et séparément. À quoi servirait cette complication si ce n’était justement pour empêcher d’établir un lien entre le pseudo et l’identité véritable du votant ?

5. A quoi sert le mot de passe ? Habituellement un mot de passe sert à vérifier que l’utilisateur d’un identifiant est bien celui qui en a le droit. Pour cela il doit être 1)lié à l’identifiant, 2)connu de l’ayant droit seul. Ces deux critères ne sont pas respectés.

Vous confondez « identifiant » et « identité » et vous oubliez que si l’identifiant peut servir de pseudo, le pseudo peut servir d’identifiant. En l’occurrence, le mot de passe ne serait pas nécessairement lié à l’identité véritable du votant mais à son « pseudo-identifiant ».

Exemple concret : pour le projet euroconstitution.org, j’ai ouvert à des fins administratives un compte « euroconstitution.org@hotmail.com », avec un mot de passe. Nul part mon nom n’apparaît sur ce compte, et il me semble bien me rappeler que je l’ai ouvert à partir d’un autre ordinateur que le mien.

Même avec un système aussi rudimentaire, il serait possible de voter tout simplement par courriel en préservant totalement son anonymat et donc le secret du vote. Il va de soi que dans un système dédié on trouverait des moyens beaucoup plus adaptés et beaucoup plus fins, sinon plus sûrs, de voter sous un pseudo-identifiant : mais comme vous le savez, je ne connais pas grand-chose à l’informatique, et je n’ai pas d’idées là-dessus.

En tout cas, les deux critères que vous mentionnez ne sont pas des critères obligatoires du mot de passe : à peine des critères habituels.

6. [i]Attention, voter de son ordinateur personnel ne permet pas d’assurer l’anonymat, voter d’un ordinateur qui ne serait pas dans une cage de Faraday ne permet pas d’assurer le secret.

Pour que vous ayez raison, il faudrait que l’électeur vote toujours sur son ordinateur et que personne d’autre ne vote sur cet ordinateur.[/i]

Ce raisonnement est faux. Précisément, ce qui assurera l’anopnymat et le secret du vote est que bien des électeurs voteront sur un autre ordinateur que le leur et qu’en revanche leur ordinateur sera utilisé par d’autres qu’eux.

Les cas de ce genre seront suffisamment nombreux (j’imagine que beaucoup d’électeurs jugeront sage de voter sur un autre ordinateur que le leur) pour que toute tentative d’établir l’identité d’un votant à partir d’un ordinateur quelconque (privé, public. professionnel) soit vouée à l’échec.

Une cage de Faraday électronique n’est pas nécessaire. Votre objection repose sur l’idée bien ancrée que le système et ceux qui l’utilisent pourraient se brancher sur le circuit électronique et voler au passage l’information cruciale associant l’auteur du vote à son identité véritable : mais cette information (identifiant, mot dae passe) ne se trouvera pas dans l’ordinateur avant le vote, et après le vote elle ne serit systémiquement liée à aucune donnée d’identité électronique (voir plus haut)

Il n’y aurait donc aucune coïncidence électronique, sauf accidentellement, entre le pseudo et l’identité du votant, ni entre l’identité du votant et l’adresse de l’ordinateur. Il serait donc techniquement impossible au système électronique – en fait, à n’importe qui sauf le votant et la personne à laquelle il aurait communiqué son identifiant et son mot de passe – d’établir une relation certaine entre les trois, ce qui enlèverait tout intérêt pratique aux éventuelles tentatives de hacquage.

Mais peut-être avez-vous pensé à des moyens de contournement ?

7. Comment le citoyen X peut il vérifier que le citoyen Y n’a pas fait une de ces erreurs ?

De quelles erreurs voulez-vous parler ?

8. L’association pseudo/vote, je suppose.

Comme vous le supposez, la liste des résultats associera le pseudo et le vote : elle ne révèlera évidemment pas l’identité des votants.

9. J’imagine aussi que chaque circonscription ne fait guère plus de 1 000 inscrits (pour permettre un contrôle pratiquable sur une liste papier)

Aucune limite : les pseudos (qui pourront et même devraient préférablement prendre la forme de numéros) seront disponibles dans l’ordre numérique ou alphabétique. Pour vérifier que son pseudo y figure avec le vote correct, un citoyen aura besoin de quelques secondes. (L’affichage se fera au besoin sous forme de volumes reliés par lettre ou par série de codes numériques et mis à dispositions sur une table, et bien sûr la liste sera également en ligne. D’ailleurs, il y aura peut-être des systèmes plus simples.)

10. Comment les citoyens vérifient-ils que tous les pseudos utilisés sont ceux de citoyens (réels de la liste publiée avant le vote) qui se sont déplacés pour en retirer un ?

Il y aurait une double vérification : 1) chaque électeur vérifie dans la liste la présence de son pseudo et du vote correct (on s’assure qu’il n’y a pas eu d’oublis) ; 2) les partis, les groupes de citoyens et les citoyens vérifient que la liste des résultats correspond bien, quant au nombre de pseudos, à la liste électorale nominative publiée avant l’élection (on s’assure ainsi qu’il n’y a pas eu d’ajouts et qu’il y a autant de psudos dans la liste des résultats que de noms dans la liste électorale) et aux votes listés après chaque pseudo.

Les procédures 1 + 2, plus les vérifications d’identité faites au moment du tirage au sort des pseudos et des mots de passe confirmeront que tous les pseudos correspondent bien à des votes de citoyens réels inscrits sur la liste électorales.

Il ne sera pas plus difficile de consulter ces listes qu’un dictionnaire, et n’oubliez pas qu’il y aura des milliers de citoyens individuels, sans compter les partis et groupes de citoyens volontaires, pour faire les vérifications.

10. Comment les citoyens vérifient-ils que tous les pseudos utilisés sont ceux de citoyens (réels de la liste publiée avant le vote) qui se sont déplacés pour en retirer un ?

Toutes les opérations pré-vote seront contrôlées par une commission ou un bureau électoral qui jouent le même rôle que les organismes correspondants dans le vote papier.

Si un citoyen a perdu ou s’est fait voler son pseudo ou son mot de passe, il lui appartiendra de le signaler à la mairie pour procéder à un nouveau tirage.

11. Il faudrait distinguer les pseudos non tirés au sort et les pseudos tirés mais non utilisés.

Excellente suggestion : les pseudos non utilisés devraient être suivis dans la liste de la mention « non utilisé » (« absent » étant alors réservé aux pseudos qui n’ont pas voté).

12. Comment le citoyen X sait il que le pseudo du citoyen Y qui n’a pas voté est bien répertorié comme absent et n’a pas été utilisé par le système pour un vote fictif ?

Le vote doit rester anonyme et secret. Le citoyen X n’a pas à savoir si le citoyen Y était absent ou ce qu’il a voté. (À ce point de vue, le secret sera mieux gardé que dans le système du vote-papier actuel).

Par contre, en comparant la liste des résultats avec la liste électorale, chaque citoyen pourra s’assurer qu’il n’y a pas davantage de votes que de pseudos attribués et utilisés.

Comme en outre chaque citoyen est supposé vérifier l’exactitude du vote marqué en face de son pseudo, s’il n’y a pas un minimum de de réclamations, c’est que le système a exactement fonctionné.

13. Une des beautés des systèmes électroniques est qu’ils contiennent toujours des bugs.

Justement, le cœur de la procédure n’est pas électronique : tirage au sort individuel et « manuel » d’un pseudo et d’un mot de passe, procédure qui ne laissera comme je l’ai dit aucune trace dans le système avant le vote, et aucune trace de l’identité du votant pendant qu’il effectue son vote et après.

14. Tous les systèmes de vote permettent [le vote blanc] Le vote électronique permet … de l’interdire.

Vous avez, je crois, voulu décrire exactement le contraire de la réalité actuelle.

Tous les systèmes de vote, électroniques ou non, permettent d’interdire le vote blanc. Et justement, dans la législation actuelle le vote blanc n’est expressément prévu que dans le contexte du vote électronique (où il est pris, je suppose, comme. l’équivalent d’un vote nul – inexistant par définition dans une procédure de vote électronique).

15) Sachant que le vote est inviolable et constatant que son vote a été violé, que va conclure l’électeur ? qu’il va s’attaquer seul à des gens qui ont manifestement des moyens bien supérieurs aux siens ?

L’association « Sans-Œillères », quand elle aura été créé, aidera les citoyens à surmonter leurs petites peurs.

16. Si la réalité est que 20% ont voté A, 25% ont voté B, 55% se sont abstenus et que les résultats indiquent 30% pour A, 25% pour B, et 45% d’abstention …

Peut-être que les citoyens, qui auront déjà consenti à vérifier leurs votes individuelles et la concordance de la liste des résultats avec la liste électorale consentiront-ils aussi à vérifier les additions et les règles de trois ?

17. [La comptabilité des votes de circonscription figurant sur la liste de résultats de la circonscription] est nécessaire mais trop tard dans le processus.

Quant voulez-vous qu’elle intervienne ? Avant le vote ?

Évidemment, après le vote il y aura du temps pour présenter les réclamations.

18. Comme vous l’avez vu, [le système électronique ] peut ne pas donner les éléments nécessaires, voire il doit ne pas les donner pour respecter l’anonymat et le secret.

19. J’avais dit:

« Si le système s’est trompé ou a menti en donnant les résultats, les citoyens, qui seront des millions à vérifier (en plus du Conseil constitutionnel) repèreront très vite à partir des listes imprimées les erreurs d’enregistrement ou de décompte : le système électronique ne peut pas empêcher ces vérifications extra-électroniques. »

Vous répondez :

Mais, comme vous l’avez vu, il peut ne pas donner les éléments nécessaires, voire il doit ne pas les donner pour respecter l’anonymat et le secret.

Je n’ai rien vu de tel, et ailleurs, j’ai bien précisé qu’en cas de réclamation individuelle le secret du vote serait levé pour permettre aux autorités électorale de reconstituer l’erreur.

Quels « éléments » avez-vous en tête ?

20. J’avais écrit :

« 2) le cloisonnement de la procédure pseudo + mot de passe (procédure-papier qui, donc, coupe le circuit électronique et assure un anonymat total tant au niveau du vote qu’au niveau du dépouillement). »

Vous répondez :

Paradoxalement, ce dernier point retire au vote électronique le seul avantage qu’il a sur le vote papier.

En attendant mieux ce système de vote mixte représente une très bonne approximation de ce qu’on peut attendre du vote électronique et que vous semblez méconnaître :

– la possibilité offerte à tous les citoyens (malades, voyageurs, Français à l’étranger) de voter dans des conditions confortables, sans avoir à se soucier du lieu et du temps (météorologique et chronologique) moyennant un déplacement à la mairie à quelques jours avant le vote ;

– Une réduction sans doute considérable du budget des dépenses électorales dans la mesure où le tirage au sort échelonné sur plusieurs jours d’un identifiant et d’un mot de passe serait beaucoup plus simple qu’une élection-papier à proprement parler ;

– Surtout, la possibilité qu’on aurait, grâce au vote électronique, de développer la démocratie directe.

Il n’est d’ailleurs pas impossible qu’on trouve un moyen d’éviter aux électeurs un déplacement physique pour tirer au sort leur pseudo et leur mot de passe. Par exemple :

Le tirage au sort serait fait par la commission électorale (séparément pour le mot de passe l’identifiant. On mettrait dans une chaque enveloppe un mot de passe et un identifiant au hasard. Les enveloppes seraient ensuite remplies pour l’adresse et cachetées, puis envoyées par la poste aux destinataires. Tout cela, évidemment, en séance publique avecprocès-verbal.

21. Je pensais avoir déjà répondu plusieurs fois [à la question comment on peut contourner l’anonymat et le secret du vote et nuire à la sincérité des résultats et des décomptes]. Le vote électronique ne permet ni l’équivalent de l’isoloir, ni l’équivalent de l’urne transparente.

Le vote Internet ne fonctionne évidemment pas comme le vote-papier. Il ne comporte ni urne transparente ni isoloir. Mais par d’autres techniques, il peut préserver l’anonymat et le secret du vote et permettre en tout cas aux citoyens de détecter toute fraude ou erreur susceptible d’affecter significativement les résultats, ce qui entraînerait une nouvelle procédure de vote (classique cette fois). Cela est à mettre en balance avec les avantages considérables qu’il présente par ailleurs.

22. J’avais écrit :

« Une remarque toutefois en ce qui concerne le secret : vote électronique ou pas, il faudra bien le lever à partir du moment où il y aurait lieu de faire la preuve qu’un vote a été mal enregistré. »

Vous répondez :

Pourquoi faudrait il faire la preuve ? Le doute doit suffire.

Si le doute émane des autorités électorales sur un nombre de cas substantiel, d’accord.

Autrement, vous n’accepteriez sans doute pas qu’un vote individuel soit annulé sans vérification simplement parce que l’électeur concerné a exprimé un doute sur l’enregistrement de son vote ? Les abus à craindre sont évidents.

D’un autre côté, peut-être qu’on pourrait admettre que le scrutin soit annulé et qu’on passe au vote classique si un nombre d’électeurs en nombre représentant une certain proportion des votants lors du vote contesté en font la demande ?

L’idéal pour se faire une idée vraiment exacte serait qu’on puisse créer un modèle sur une vingtaine de votants… Ce n’est pas pour demain, je pense. JR

Jacques, si vous utilisiez, comme moi, la balise quote, il serait plus aisé de lire vos tartines.
Je n’ai pas le temps de vous relire en détail ni de vous répondre en remettant tout ça sous une forme lisible, mais il me semble que vous avez lu bien vite ce que j’ai écrit, que vous répondez à des objections que je n’ai pas émises et pas à des objections que j’ai émises.

Lesquelles ?

Pour la méthode, je trouve la balise « quote » peu pratique pour des messages de ce type. La numérotation et les italiques me paraissent plus simples. JR

En pratique

1) Selon vous, la contrôlabilité citoyenne ne sera pas infaillible parce que " [i]Errare humanum est", et comme la technologie est inventée, fabriquée et mise en œuvre par des humains...[/i]"

Pourtant, il s’agit bien ici de trouver une procédure qui permette de surmonter les erreurs et les fraudes imputables au vote Internet.

Évidemment, si l’on part du principe philosophique que c’est impossible, autant s’arrêter là. Votre remarque est typique du discours idéologique a priori de bien des détracteurs du vote Internet qui rejettent d’emblée toute offre de solutions concrètes comme illusoire (les exemples ne manquent pas sur ce fil et ailleurs).

Ce n’est pour ma part, pas un problème philosophique, mais un problème de physique général. Le vote par internet, induit l’immatérialisme! Alors qu’un bulletin papier, pour le modifier demande à être raturé, ou corrigé à l’aide d’un correcteur, la trace d’une modification sur un papier est physiquement visible. Alors qu’au contraire, le langage informatique peut subir des modifications sans laisser de traces, suffit de sélectionner un texte ou une ligne de programmation, d’appuyer sur la touche « suppr » et modifier le texte.

2) [i]Comment le citoyen X fait il pour vérifier que le citoyen Y a effectivement voté ? Comment le citoyen X fait il pour vérifier que c'est bien le citoyen Y qui a voté ? Comment le citoyen X fait il pour s'assurer que le citoyen Y n'a pas voté sous la contrainte ?[/i]

Pas plus que dans le vote-papier tel qu’il fonctionne actuellement il n’appartiendra au citoyen X de faire les vérifications dont vous parlez sur le vote du citoyen Y.

Dans le système du vote-papier, les deux premières vérifications sont faites par les assesseurs du bureau de vote.

Dans un système de vote Internet, les services de la mairie feront les mêmes vérifications au moment de s’assurer de l’identité de la personne qui vient tirer au sort son identifiant et son mot de passe.

Quant à la vérification de l’absence de contrainte,… il faudrait laisser la possibilité à ceux qui le veulent de voter par le système classique.

Reconnaissons que la possibilité d’exercer des pressions est le point faible du système Internet, mais n’est-ce pas le point faible de tout système de vote ?

Les pressions, j’ai envie de dire que nous les subissons déjà aujourd’hui. Nous avons qu’à regarder comment les médias nous poussent à voter deux candidats sur les dix proposées, et osent même pleurer que les temps de paroles égaux sont injustes suivant ainsi la ligne d’un candidat(pour ne prendre qu’un exemple de pression connu). Le « hic » est que le vote internet ajoute en plus de la pression, la modification du vote informatiques au moment du vote. En prenant en compte le système que vous proposez, qui consiste à se procurer (je suppose en mairie) son « identifiant » et son « mot de passe » n’aboutirait qu’à compter le nombre de suffrages qui seront exprimées à la date de la dite élection, mais n’assurant en rien l’anonymat ni la véracité du vote de l’électeur. En effet, en votant, par le biais de l’identifiant, vous envoyer au serveur qui réceptionne les votes, plus que vôtre « identifiant » vous lui envoyer aussi vôtre adresse IP, qui est une adresse traçable.
De plus, dans le cas le plus probable, le logiciel qui servirait à faire fonctionner le serveur trouveras toujours des failles exploitable par des incollables du langages informatiques, qui pourraient l’utiliser dans le propre intérêt. Dans un cas moins probable, mais tout à fais possible, une équipe d’informaticiens, pourrait surveiller les adresses IP et modifier le vote lorsque celui ci est exprimé. Je vous laisse une image de l’écriture utilisée et inscrite sur n’importe quel disque dur.

Grace à se genre d’informations, n’importe quel professionnel de l’informatique est capable d’interpréter et de modifier.

4) [i]Y a-t-il un lien conservé entre l'identité et le pseudo ?[/i]

Non.

Voir ma proposition, qui est très claire là-dessus : le pseudo et le mot de passe seraient tirés au sort manuellement et séparément. À quoi servirait cette complication si ce n’était justement pour empêcher d’établir un lien entre le pseudo et l’identité véritable du votant ?

Il faut dons se déplacer pour aller se procurer son pseudo et son mot de passe, autant se déplacer pour aller voter!

5) [i]A quoi sert le mot de passe ? Habituellement un mot de passe sert à vérifier que l'utilisateur d'un identifiant est bien celui qui en a le droit. Pour cela il doit être 1)lié à l'identifiant, 2)connu de l'ayant droit seul. Ces deux critères ne sont pas respectés.[/i]

Vous confondez « identifiant » et « identité » et vous oubliez que si l’identifiant peut servir de pseudo, le pseudo peut servir d’identifiant… un compte « euroconstitution.org@hotmail.com », avec un mot de passe. [bgcolor=#FFFF99]Nul part mon nom n’apparaît sur ce compte, et il me semble bien me rappeler que je l’ai ouvert à partir d’un autre ordinateur que le mien.[/bgcolor] …

6. Attention, voter de son ordinateur personnel ne permet pas d’assurer l’anonymat,… et que personne d’autre ne vote sur cet ordinateur.

[bgcolor=#FFFF99]Ce raisonnement est faux. Précisément, ce qui assurera l’anonymat et le secret du vote est que bien des électeurs voteront sur un autre ordinateur que le leur et qu’en revanche leur ordinateur sera utilisé par d’autres qu’eux. Les cas de ce genre seront suffisamment nombreux (j’imagine que beaucoup d’électeurs jugeront sage de voter sur un autre ordinateur que le leur) pour que toute tentative d’établir l’identité d’un votant à partir d’un ordinateur quelconque (privé, public. professionnel) soit vouée à l’échec.[/bgcolor]

Une cage de Faraday électronique n’est pas nécessaire. … ce qui enlèverait tout intérêt pratique aux éventuelles tentatives de hackage.

Mais peut-être avez-vous pensé à des moyens de contournement ?

Vous avez raison sur le fond, que le mot de passe sert à reconnaitre l’identifiant, mais cela ne gênera pas un « hacker » de changer le résultat d’un vote, puisqu’il attend que le votant s’exprime pour le modifier. Nous pourrions même demandée une identité en plus de l’identifiant que cela ne changerai rien. De plus, les phrases que je surligne, ont y trouve une chance supplémentaire de trouver des victimes, puisque les identifiants ont été entrer sur quelques postes différents donc plus de votes susceptibles de modification.

7) [i]Comment le citoyen X peut il vérifier que le citoyen Y n'a pas fait une de ces erreurs ?[/i]

De quelles erreurs voulez-vous parler ?

Comment l’électeur « Y » vérifie si il a bien voter pour « A » et non pour « B »? Il faudrait dans ce cas la imprimer la liste des votes et affichée pour qui ou quoi chaque identifiants a voter! Ce qui n’entre plus dans le cadre de l’anonymat, vous en conviendrez, car des moyens de pressions peuvent demander à qui appartenait tel ou tel pseudo.

8) [i]L'association pseudo/vote, je suppose.[/i]

Comme vous le supposez,…

9. J’imagine aussi que chaque circonscription ne fait guère plus de 1 000 inscrits (pour permettre un contrôle praticable sur une liste papier)

Aucune limite : … il y aura peut-être des systèmes plus simples.)

10. Comment les citoyens vérifient-ils que tous les pseudos utilisés sont ceux de citoyens (réels de la liste publiée avant le vote) qui se sont déplacés pour en retirer un ?

Il y aurait une double vérification : … pour faire les vérifications.

10. Comment les citoyens vérifient-ils que tous les pseudos utilisés sont ceux de citoyens (réels de la liste publiée avant le vote) qui se sont déplacés pour en retirer un ?

Toutes les opérations … pour procéder à un nouveau tirage.

On en reviens à se que je disait plus haut, qui est que les « hackers » ne feront pas de bourrage, mais de l’usurpation d’identité en modifiant le vote de l’électeur.

13) [i]Une des beautés des systèmes électroniques est qu'ils contiennent toujours des bugs.[/i]

Justement, le cœur de la procédure n’est pas électronique : tirage au sort individuel et « manuel » d’un pseudo et d’un mot de passe, procédure qui ne laissera comme je l’ai dit aucune trace dans le système avant le vote, et aucune trace de l’identité du votant pendant qu’il effectue son vote et après.

Je pense que le problème n’est pas vraiment les bugs, car ceux-ci peuvent être corrigé. Le problème est que le langage informatique est propre, il n’a pas besoin de rature pour le modifier, donc quasi indétectable pour pas dire qu’il l’est.

14) [i]Tous les systèmes de vote permettent [[i]le vote blanc[/i]] Le vote électronique permet ... de l'interdire.[/i]

Vous avez, je crois, voulu décrire exactement le contraire de la réalité actuelle.

Tous les systèmes de vote, électroniques ou non, permettent d’interdire le vote blanc. Et justement, dans la législation actuelle le vote blanc n’est expressément prévu que dans le contexte du vote électronique (où il est pris, je suppose, comme. l’équivalent d’un vote nul – inexistant par définition dans une procédure de vote électronique).

Ben je suis déjà content que des gens en parle encore, j’aimerai bien qu’il soit pris en compte de mon vivant encore :D.

15)[i] Sachant que le vote est inviolable et constatant que son vote a été violé, que va conclure l'électeur ? qu'il va s'attaquer seul à des gens qui ont manifestement des moyens bien supérieurs aux siens ?[/i]

L’association « Sans-Œillères », quand elle aura été créé, aidera les citoyens à surmonter leurs petites peurs.

Désolé mais « Sans-Œillères » va être soumis à beaucoup de questions sur la manière de détecter une fraude.

18) Comme vous l'avez vu, [[i]le système électronique [/i]] peut ne pas donner les éléments nécessaires, voire il doit ne pas les donner pour respecter l'anonymat et le secret.

19. J’avais dit:

« Si le système s’est trompé ou a menti en donnant les résultats, les citoyens, qui seront des millions à vérifier (en plus du Conseil constitutionnel) repèreront très vite à partir des listes imprimées les erreurs d’enregistrement ou de décompte : le système électronique ne peut pas empêcher ces vérifications extra-électroniques. »

Vous répondez :

[i]Mais, comme vous l’avez vu, il peut ne pas donner les éléments nécessaires, … autorités électorale de reconstituer l’erreur.

Quels « éléments » avez-vous en tête ?

J’en dis, pour ma part, que le vote immatérielle n’a pas encore sa place au XXIe siècle.

20) J'avais écrit :

« 2) le cloisonnement de la procédure pseudo + mot de passe (procédure-papier qui, donc, coupe le circuit électronique et assure un anonymat total tant au niveau du vote qu’au niveau du dépouillement). »

Vous répondez :

[i]Paradoxalement, ce dernier point retire au vote électronique le seul avantage …développer la démocratie directe.

Il n’en n’est rien malheureusement, il faudra toujours se déplacer à son bureau de vote (en l’occurrence y chercher ses identifiants) qui revient au même laps de temps que l’on consacre au vote papier. De plus l’entretien du système de vote, la maintenance et le cout de l’'association « Sans-Œillères » dépassera sans doutes les couts actuelles.

Il n'est d'ailleurs pas impossible qu'on trouve un moyen d'éviter aux électeurs un déplacement physique pour tirer au sort leur pseudo et leur mot de passe. Par exemple :

Le tirage au sort serait fait par la commission électorale (séparément pour le mot de passe l’identifiant. On mettrait dans une chaque enveloppe un mot de passe et un identifiant au hasard. Les enveloppes seraient ensuite remplies pour l’adresse et cachetées, puis envoyées par la poste aux destinataires. Tout cela, évidemment, en séance publique avec procès-verbal.

Et ainsi ajouter le risque de fuite d’attribution d’identifiant à une identité.

Pffiou c’était sportif

Chers amis, votre échange est littéralement passionnant.

Je remercie les protagonistes, de part et d’autre car c’est précisément cette confrontation qui nous permet de ne rien oublier d’important.

J’ai l’impression que Jacques est en train de mettre au point un système robuste vraiment intéressant.

[bgcolor=#FFFF99]Il faudrait l’aider plutôt que le contrer ; ou plutôt le contrer avec bienveillance et gentillesse[/bgcolor], car nous aurions tous beaucoup à gagner avec un vote électronique parfaitement sécurisé.

Ça fait longtemps, pour ma part, que je pressens [bgcolor=#FFFF99]une solution en utilisant deux réseaux non connectés et une interface papier simple.[/bgcolor] Voir là, [bgcolor=#FFFF99]MAIS SURTOUT LÀ.[/bgcolor]

Je trouve que Jacques (stimulé et stimulant) a beaucoup fait progresser cette question (et dans des conditions de débat pas toujours agréable, car nous sommes parfois trop agressifs — moi compris, bien sûr).

Je suis complètement débordé par la foultitude des interventions que j’ai à connaître, à comprendre et à intégrer (ce forum + le blog + Facebook + mails + liste de diffusion ‹ spécial monnaie ›) et je vous demande bien pardon de ma faible participation : je me noie…

Bien amicalement.

Étienne.

PS : il faudra faire la synthèse des points d’accord et des points qui restent en désaccord, quand sera venu le terme de cette controverse que je juge importante.

Une tartine peut en cacher une autre !

J'ai l'impression que Jacques est en train de mettre au point un système robuste vraiment intéressant.

Désolé de vous contredire Etienne, mais s'il n'y a pas de doute que Jacques participe à l'avancement, je ne puis croire qu'il en est la seule source... Laissez la place au consensus :lol:

Il faudrait l'aider plutôt que le contrer ; ou plutôt le contrer avec bienveillance et gentillesse...

vous répondez à des objections que je n'ai pas émises et pas à des objections que j'ai émises.

Pour la méthode, je trouve la balise "quote" peu pratique pour des messages de ce type. La numérotation et les italiques me paraissent plus simples.

Il faudrait que Jacques y mette aussi un peu du sien, non ? Son traitement des objections est très... personnel :D Jacques, simples... pour vous ! D'autres, Lanredec et Guislain en particulier, s'en donnent le mal, et leur argumentation n'en est que plus lisible. Que vous acceptiez d'utiliser ces règles communes (comme d'autres, de faire attention à l'orthographe...) serait un plus, qui rendrait vos 'tartines' comestibles ;)

nous aurions tous beaucoup à gagner avec un vote électronique parfaitement sécurisé.

Je suis bien d'accord, mais vouloir essayer une solution en sachant pertinemment qu'elle peut être (facilement) prise en défaut, aura pour conséquence de déconsidérer à l'avance toute tentative de solution ultérieure. Volontairement ou pas... ne serait-ce que pour laisser en l'état le système et ne pas lui offrir la 'puissance' du vote à points ! D'où une source de nécessaire contradiction… que l'on pourrait appeler aide voire travail en commun, sous la réserve précédente ;)

4) Y a-t-il un lien conservé entre l'identité et le pseudo ?

Non. Voir ma proposition, qui est très claire là-dessus : le pseudo et le mot de passe seraient tirés au sort manuellement et séparément. À quoi servirait cette complication si ce n'était justement pour empêcher d'établir un lien entre le pseudo et l'identité véritable du votant ?

5) A quoi sert le mot de passe ? Habituellement un mot de passe sert à vérifier que l'utilisateur d'un identifiant est bien celui qui en a le droit. Pour cela il doit être 1)lié à l'identifiant, 2)connu de l'ayant droit seul. Ces deux critères ne sont pas respectés.

Vous confondez "identifiant" et "identité" et vous oubliez que si l'identifiant peut servir de pseudo, le pseudo peut servir d'identifiant. En l'occurrence, le mot de passe ne serait pas nécessairement lié à l'identité véritable du votant mais à son "pseudo-identifiant".

La mise en mémoire des associations pseudo/identité et pseudo/mot-de-passe serait une erreur rédhibitoire, je suis OK là-dessus. Le système ne peut donc vérifier que l'existence dans sa base (indépendamment) du pseudo et du mot de passe. Le piratage de la base, que l'on ne sait actuellement pas empêcher, permet donc à n'importe quel hacker d'obtenir un pseudo et un mot de passe. Plus probablement, de publier simplement ces 2 listes, ce qui écroule le système à la veille du vote... La conséquence est qu'il faut assurer l'indépendance physique totale et durable du système vis-à-vis des tiers et en particulier d'Internet (ce qui n'interdit pas le délit d'initié, à traiter autrement) jusqu'à la publication des résultats, la machine contenant les données étant celle du vote lui-même. D'où encore la nécessité de 1 machine, 2 listes et un double tirage au sort par bureau... mais je pense que la diffusion d'un tel système le rendrait à la fois compact et peu coûteux. AU CONTRAIRE, immédiatement après cette publication, qui serait indépendante pour chaque bureau, les fichiers (liste pseudo générés, liste pseudo alloués, liste mpd générés, liste mdp alloués, liste associant vote+pseudo+mdp, l'ensemble horodaté) seraient non pas imprimés mais MIS EN LIGNE, afin que les vérifications puissent être menées par tout un chacun, toute vérification non informatique étant virtuellement impossible.

Désolé, mais je ne vois pas où Lanredec se fourvoie, ni ne comprends votre propos entre identifiant, pseudo, et pseudo-identifiant !
Puisque l’identifiant et le mot de passe ne sont connus que du seul inscrit, le pseudo n’est finalement, dans le système que vous décrivez, qu’un code, au même titre que le mot de passe, qui n’en est pas un, mot de passe ! Rien ne les distingue entre eux que leur appellation, et ils constituent donc un couple redondant, au sens où on ne peut vérifier que la double appartenance dans la base. Le seul intérêt, et il est non négligeable, est de diminuer fortement (pour peu que les pseudo et mot-de-passe soient des ‹ mots › longs… avec la contrainte pratique de les saisir !) la probabilité d’obtenir une combinaison valable des 2 codes… pour quelqu’un qui ignorerait la base elle-même, et j’en reviens à mon paragraphe précédent.

Du second lien d’Etienne, et en particulier le « VAO » décrit en message 74, je retiens un système interface (le tactile me gêne un peu par la trace qu’il laisse… ) qui permettrait d’imprimer un document standardisé, lisible par des contrôleurs et/ou un système de lecteur automatique rapide. Il facilite le vote et empêche l’erreur, volontaire ou pas, lors du remplissage du même bulletin à la main, pour le votant a priori, puis pour la suite du dépouillement de contrôle : c’est son intérêt.
Reste à assurer que la machine stocke bien ce que dit le bulletin imprimé, d’où la possibilité de contrôle…
J’en viens donc à compléter / reprendre les remarques précédentes en les combinant au lien d’Etienne, où[bgcolor=#FFFF99] j’apprécie la notion d’assistance : la ‹ machine › doit être là pour aider et non se substituer, car c’est la substitution qui ouvre le plus de failles. La machine aide à réaliser les tâches répétitives et/ou sujettes à erreur. Séparation des pouvoirs ? ici, une machine sert à compter, une autre à contrôler…[/bgcolor]

Sur la base initiale du vote en bureau :

1. la première machine, la seule qui soit connectée au réseau (pour accéder à la base de données centrale des électeurs), placée à l'accueil, valide la participation de l'électeur (et la mémorise pour interdire les votes doubles). Elle sait qui vous êtes, mais elle ne sait pas ce que vous votez. Elle signale aux contrôleurs humains que l'électeur peut se rendre dans l'isoloir.

[b][color=red]Toute connexion au réseau, a fortiori en continu, entraîne une faille importante : pourquoi connecter la machine au réseau à ce stade ?[/color][/b] D'autre part, dans l'optique de fragmenter le contrôle citoyen, et compte tenu de l'impact de la diffusion d'un outil de vote sur son prix de revient, je pars du principe qu'il y a (au moins) 1 machine par bureau : elle sera donc déconnectée du réseau, et la liste des inscrits vérifiable par le public LOCAL, seul capable de le faire. Cette machine est initialisée avec la liste des inscrits de 'son' bureau, puis est [bgcolor=#FFFF99]placée sous contrôle strict : soit coffre surveillé à distance (pe caméra IP accessible au public) soit à la vue du public.[/bgcolor] Elle peut générer, à partir par exemple d'un mot fourni par une 'main innocente', 2 listes de codes aléatoires qu'elle garde en mémoire. Ces 3 fichiers n'ont pas de lien entre eux, à part le nombre d'enregistrements qui doit être identique. Jusqu'à J-3 (?), les inscrits sont invités à venir chercher leur pseudo et mdp : la machine fournit à la demande 2 codes, sans savoir à qui elle les donne. Les services de la Mairie tiennent un registre qui comptabilise les retraits.

2. La deuxième machine est dans l'isoloir : elle aide l'électeur à voter avec des choix multiples à l'écran (tactile), et elle imprime un bulletin de vote lisible à la fois par un homme (qui peut ainsi contrôler son vote) et par une machine (qui comptera et calculera un milliard de fois plus vite que les hommes). Cette machine n'est pas connectée au réseau. Elle sait ce que vous votez, mais elle ne sait pas qui vous êtes. L'électeur glisse son bulletin dans une enveloppe comme d'habitude et va mettre son enveloppe dans une urne transparente comme aujourd'hui.

OK pour cette machine séparée et déconnectée du réseau, mais qui pourrait être la même que la 1, sous réserve du nombre de machine (plusieurs isoloirs par bureau : le prix, compte tenu de la diffusion, peut être 'négligeable', j'imagine quelque chose de la taille d'un iPad, mais sans 'OS'), et sous la réserve qu'elle ne fasse toujours pas de lien entre le 'qui' (votant), le 'comment' (pseudo et mdp) et le quoi (vote).

Donc cette machine, que j’appelle 1a, contient un fichier des inscrits, un fichier de pseudos, un fichier de mdp, un fichier de vote horodaté, tous déconnectés entre eux. Elle comprend une imprimante, une interface de saisie ‹ inviolable › (dans l’isoloir, la machine n’est pas visible pour assurer le secret du vote, aussi doit-elle être très protégée). Les codes logiciels sont open-source. Avec les réserves déjà évoquées sur le fil qui en parle, sur les risques inhérents au code source, à la compilation, au stockage, etc.

Le jour du scrutin, elle est placée dans un isoloir, la personne inscrite (contrôle du bureau) saisit son pseudo et son mdp : celle-ci devient votante anonyme. Puis elle saisit les options conduisant à son vote, validé par l’impression d’un bulletin horodaté qu’elle glisse dans une urne au bureau : elle a voté. Au passage, la machine enregistre son vote associé au pseudo, sans savoir toujours qui elle est.
La machine est capable de savoir qu’un pseudo a déjà été utilisé, qu’un pseudo ou un mdp n’existe pas, etc.
Il y a un risque que le votant ne fournisse pas son bulletin au bureau, empêchant le contrôle a posteriori : il peut être opportun que le transfert du bulletin soit fait par la machine, sous enveloppe ou de manière non lisible, directement dans une urne, elle visible du bureau.

3. La troisième machine, non connectée à l'extérieur, ne sert qu'à la fin du vote : on y place la pile des bulletins et, comme un lecteur de chèques, elle lit les bulletins à toute vitesse et compte les points. Elle non plus ne sait pas qui a voté quoi.

La 'compteuse', totalement indépendante de la machine 1a, est en charge de lire les bulletins papiers (chaque votant a contrôlé le sien) et comptabiliser les votes. Les résultats bruts peuvent être mis en parallèle des fichiers issus de la machine 1a, et des totaux du registre des retraits.

Cette compteuse est dévolue au contrôle, car dès la clôture du scrution, l’ensemble des machines 1a peuvent être à même :

• de sortir les résultats, qui seront plus tard contrôlés,
• d’imprimer ou mieux mettre en ligne les fichiers qu’elle contient, sans qu’il puisse être fait de lien entre eux : inscrits, pseudos, mdp, votes horodatés liés aux seuls pseudos donc anonymes,
• voire même lui faire ‹ cracher › son programme (code binaire complet ?) pour vérifier qu’il correspond bien à celui qu’elle est sensée contenir,
• PUIS de totaliser par mise en réseau local des machines, avant connexion à internet pour remontée des totaux par canton / circonscription / département / région.
  Chaque machine est physiquement arrêtée (retrait de batterie ?) et scellée pour contrôle éventuel, avant réutilisation lors du scrutin suivant.
  En tout état de cause, la publication LOCALE des listes permet à chacun, connaissant son pseudo, de vérifier que son vote a bien été pris en compte, et sous réserve de calculs, de vérifier la cohérence des totaux locaux puis régionaux.

Des contrôles manuels par sondage et l'intervention éventuelle d'une machine supplémentaire de type 3 pour recompter, voire le recomptage manuel intégral en cas de doute sérieux, peuvent être prévus.

OK, ça ne peut pas faire de mal…

La synthèse des résultats est enfin communiquée à la machine n°1 (la seule connectée au réseau) qui fait remonter les données pour centralisation.

La connexion n'est réalisée qu'après clôture du scrutin et impression ou transfert LOCAL des données en autant de copies que nécessaire, la première étant garantie par le bureau asermenté, les personnes présentes pouvant seules assurer l'originalité des fichiers bruts.

Pour le vote à distance :

Chaque électeur vote électroniquement, à partir de n'importe quel ordinateur, au moyen de son pseudo et de son mot de passe ;

Je ne suis pas le seul à dire que cela ouvre une faille rédhibitoire en l'état actuel... même si les connexions sécurisés sont sensées nous en protéger ! Mais sous les réserves précédentes, je crois possible de voter à distance avec ce système si c'est par connexion sur une machine différente de celle physiquement présente sur le bureau de vote (même si les fichiers sont sensés être les mêmes) et si, avec son pseudo et mot de passe, le votant retire aussi à sa Mairie un bulletin à remplir qu'il complètera à la main et enverra à son bureau de vote pour contrôle éventuel a posteriori. Mais ça n'empêchera pas les erreurs de report, oubli d'envoi, etc Là encore, les risques ont été évoqués et sont bien réels, et un contrôle a posteriori ne pourra lever qu'une partie des doutes et erreurs. Donc si déjà on pouvait avoir, en bureau, un vote à point fiable, ça serait un grand pas :P

Merci Téhach !

Je rêve, ou on s’approche d’un système qui peut fonctionner ?

Étienne.

Malgré toute la peine que je me donne, je n’arrive pas à faire passer l’argument à mon avis essentiel dans mes propositions : c’est qu’à partir du moment où la fraude est détectable par tous on se fiche de savoir si le système a été trafiqué en amont, au moment du vote, ou après.

À chaque fois, on me ressort que le langage ou le système Internet ne permet pas d’éviter les fraudes.

Je ne l’ai jamais contesté.

L’argument que le vote électronique n’aurait pas d’utilité pratique (dans le système que je propose) parce qu’il faudrait de toute façon aller tirer son identifiant et son mot de passe au sort n’est pas valable. Cette opération serait beaucoup plus simple et beaucoup moins coûteuse que les opérations électorales actuelles, et ce ne serait que le début de l’acclimatation au vote électronique : on trouverait vite des moyens plus simples (que je ne suis pas capable d’imaginer… mais d’autres le pourront certainement). JR

À chaque fois, on me ressort que le langage ou le système Internet ne permet pas d'éviter les fraudes.

Ou plus exactement à chaque fois on vous ressort que l'informatique et l'électronique permettent de rendre des fraudes indétectables.

À chaque fois, on me ressort que le langage ou le système Internet ne permet pas d'éviter les fraudes.

Ou plus exactement à chaque fois on vous ressort que l'informatique et l'électronique permettent de rendre des fraudes indétectables.

Parfait exemple de l'incompréhension dont je parlais.

J’y renonce, en espérant que les circonstances se prêteront un jour à une discussion objective.

Merci à Étienne pour sa courageuse tentative de médiation !

Au fait, Étienne, il faudrait vraiment rebaptiser le fil « Le vote électronique (Internet) » ou quelque chose comme ça. Le vote à points n’a rien à voir avec les aspects électroniques du problème (et le titre actuel n’est pas vraiment le titre du fil que j’avais voulu ouvrir). JR

De l’usage du poil à gratter

Malgré toute la peine que je me donne, je n'arrive pas à faire passer l'argument à mon avis essentiel dans mes propositions : c'est qu'à partir du moment où la fraude est détectable par tous on se fiche de savoir si le système a été trafiqué en amont, au moment du vote, ou après.

Malgré toute la peine que je me suis donné pour faire le point hier, la seule alternative que vous semblez laisser est d'adopter VOTRE solution, malgré 1) les inconvénients relevés et 2) les adaptations proposées (la solution que j'ai postée ci-dessus vise à institutionnaliser le contrôle, la fraude n'est plus [i]détectable[/i] mais [b]détectée[/b] ! ! !) Même attitude que sur le fil Open-Source dont le sujet est proche. Pour la même raison : c'est que malgré vos affirmations répétées d'incompétence technique, parfois effectivement flagrante, vous vous évertuez à tenir certaines positions techniques. Vous n'avez visiblement rien compris à ce que vient de (re)dire Guislain, semblable à ce qu'avait dit Lanredec dès le début du fil Open-Source. Et vous adoptez les mêmes solutions d'évitement aux objections qu'à bien d'autres endroits. Peut-être serait-il donc temps que vous suiviez [url=http://etienne.chouard.free.fr/forum/viewtopic.php?pid=15159#p15159]vos propres conseils[/url], et vous remettiez (un tout petit peu) en cause, ce qui aiderait à la sérénité demandée par Etienne ! Je vous prie de bien vouloir imaginer que le temps passé hier sur mon post précédent allait dans le sens de cette sérénité.

L'argument que le vote électronique n'aurait pas d'utilité pratique (dans le système que [b]je[/b] propose) parce qu'il faudrait de toute façon aller tirer son identifiant et son mot de passe au sort n'est pas valable.

Il ne s'agit pas de nier l'utilité du vote électronique, vous le savez et poussez à outrance ! La remarque de Guislain dans son #169 n'en est pas moins judicieuse, et c'est un argument qu'il faut se préparer à contrer ! D'autant que comme je l'ai expliqué après votre propre propos (ai-je été assez clair ?), la publication des pseudos entraîne de facto la nécessité de redistribuer le 'couple' pseudo/mdp puisque les 2 ne sont pas liés et que donc l'association d'un pseudo valide avec n'importe quel mdp valide sera considéré comme valide ! Il me paraît FONDAMENTAL, compte tenu des énormes doutes et même des fraudes avérées ayant eu lieu, que tout système comportant de l'informatique soit particulièrement sécurisé, surveillé, et puisse être contrôlé [i]facilement[/i].

Et votre JE est proprement lassant, même si vous vous affichez ouvertement égocentrique, ce que vous rendez bien réel !
Bien sûr, vous êtes le seul à être objectif, et bien sûr, c’est les autres qui ne comprennent pas !
VOTRE solution, ou rien! Ou plutôt VOTRE solution, ou le matraquage !
En ce sens, il est probable que vous ne compreniez jamais l’enjeu des techniques d’animation qui permettent d’aller rapidement vers un consensus. Je suis quinqua, mais à voir vos manières, je ne me sens pas trop sclérosé encore ! Merci Jacques :lol:

Je rêve, ou on s'approche d'un système qui peut fonctionner ?

Ne vous étonnez pas, il y a déjà des systèmes qui peuvent fonctionner. Et même qui fonctionnent. Des systèmes de vote électroniques/internet je veux dire. Et même des systèmes qui fonctionnent de façon satisfaisante pour certains types de consultation. Des consultations où les enjeux ne seraient pas trop importants.

Par contre je ne crois pas (mais ici c’est un point de vue, contrairement à mes arguments antérieurs) que complexifier le vote électronique (dont les problèmes de vérifiabilité viennent essentiellement de sa complexité technique), surtout en y ajoutant la nécessité de se déplacer et d’imprimer quelques dizaines de millions de bulletins, soit de nature à le rendre plus pratique (au sens utilisable dix ou cent fois plus souvent) que le vote papier.

A mon avis, il vaut mieux l’utiliser, sous sa forme la plus pratique et la plus simple, à ce pour quoi il est le plus adapté, à savoir un sondage généralisé. Généralisé à tout le monde, à tous les sujets, et à tous les temps, et plus sérieux que le vote à main levée parce que permettant un niveau de discrétion (plutôt que de secret) plus élevé. Et passer au vote papier si on (y compris un petit nombre de citoyens) s’aperçoit que le consensus apparaît impossible parce que des conflits d’intérêt rendent le risque de tentative de compromission trop important en probabilité et en gravité.

a parte…
je suis désolé pour le double-post (sûr de n’avoir posté qu’une fois), et il semble que le problème soit récurrent depuis quelques temps
une précédente fois j’ai supprimé le doublon, qui a supprimé les 2…
problème de cohérence de la base de données ?

[Voilà, c’est réglé. ÉC ]

SCHEMA VOTE INTRANET

Je me suis amusé à préparer un schéma qui représente une idée sur le vote en ligne mais par Intranet locale. C’est la première fois que je fais une présentation sur power point, soyez indulgent s’il vous plais :).

Quelques petites explications par rapport au schéma :

1. Le réseau Intranet et complètement coupé d’internet, jusqu’à utilisé deux câbles télécom différents. Celui ci ne serait activé qu’en jour électoral. Chaque commune possédera son réseau Intranet propre et aucun lien filaire ou hertzien ne devra être établie entre plusieurs communes.

2. Un logiciel permettant de se connecter au serveur d’identification (SERVEUR ID) serait distribué aux citoyens connectés au réseau, un identifiant et un mot de passe leur serait attribué. Le logiciel sera codé, chiffré et protégé en écriture. Plusieurs codes et méthode de chiffrages devront être établie. A chaque nouvelle élections le code source devra être chiffré et protégé selon un autre protocole.

3. En jour électoral, les citoyens se connecterons via leur logiciel distribué au serveur ID de leur commune, celui ci demandera :

• Identité (via carte d’identité)
• Identifiant
• Mot de passe

4. Les électeurs se connecteront au serveur et inscriront leurs identifiants SUR le serveur même, et non faire des demandes d’identification (c’est à dire que l’électeur entre directement sur le serveur mais à besoin que les identifiants soit juste pour vous ouvrir toutes les portes, et non lui demandé d’ouvrir toutes les portes si les identifiants sont justes) afin de ne laisser aucune trace sur les ordinateurs personnel (celui de l’électeur)

5. Une fois identifié, le serveur ID vous assigne une lettre ou un chiffre (ici prenons les chiffres) par exemple « 2 » puis vous envoie sur le Serveur VOTE avec comme seule identité le « 2 ».

6. Le Serveur VOTE vous assigne alors à l’ISOLANTE 2 (Isolante = ISOLoir + imprimANTE). Une Webcam connecté en permanence et également présente.

7. Le logiciel vous demande votre choix de vote. Après validation le bulletin s’imprime avec sa correspondance code barre (ou non) avec comme témoin les images de la webcam retransmise sur l’écran de l’électeur.

8. Le vote terminé le Serveur VOTE vous renvoie au Serveur ID, celui ci demande une signature électronique, puis vous envoie par courrier un justificatif de vote (avec pourquoi pas le vote effectué mais uniquement en version code barre (afin de conserver l’anonymat du vote en cas d’infraction de la lettre envoyée).

9. En fin de journée, le Server VOTE pourra imprimée les statistiques et les résultats des suffrages exprimés.

10. Les bulletins seront comptés par un ordinateur déconnecté de tout réseaux et se servira des codes barres pour effectuer le calcul.

11. Les résultats devront être communiqués par téléphone par le représentant en cour.

Le seul problème dans tout ca, c’est que une fois le bulletin imprimé je ne sais pas ou et comment le stocker :rolleyes:

Comme à chaque élection depuis 2004 je me suis retrouvé derrière une personne à qui il a fallu expliquer longuement avant qu’elle entre dans l’isoloir où se trouve la machine à voter comment utiliser celle-ci, puis qu’il a fallu piloter à la voix une fois entrée dans celui là.

Pour ceux qui ne connaissent pas, c’est plus simple qu’un lave-vaisselle.

(si quelqu’un n’a pas compris : je me moque non de ces personnes mais de ceux qui cherchent à améliorer le suffrage universel en les oubliant)