Notre inquiétude au sujet du projet de loi eVoting PL 9931-A vient de l'excessive concordance du texte proposé avec les caractéristiques propres au système pilote actuel.

Ci-dessous, j'ai rédigé une esquisse de commentaires sur ce projet de loi, sans prétention et partielle, juste à titre de réflexion et d'exemple. C'est un document de travail, destiné à évoluer selon les remarques reçues.

On peut tout d'abord regretter que la loi ne traite que des votes (au sens strict "oui"/"non", art 57) et qu'il n'y ait pas la voie ouverte à l'élection électronique, pourtant immédiatement faisable avec la même infrastructure.

art 50.2 Par bulletin électronique, il faut comprendre le formulaire électronique au moyen duquel l'électeur, lors d'un vote électronique, répond aux questions faisant l'objet du scrutin.

Le bulletin se doit d'être un objet pouvant avoir plusieurs représentations structurées : une de traitement et de stockage, une d'interaction et d'enregistrement de la motivation et une de présentation statique.
La structure "bullletin" doit contenir aussi, outre le texte de questionnement et les éventuelles réponses de l'électeur, les règles de transformation formelles d'une forme à une autre, les règles de validation sémantique, voire des extensions de maintien des règles électorales.

En outre, il serait souhaitable que les "questions faisant l'objet du scrutin" couvrent aussi les élections.

art. 60.2 Le matériel de vote envoyé à l'électeur contient les éléments nécessaires pour exercer le vote électronique.

Le citoyen doit signer électroniquement sa carte de vote virtuelle, pour s'engager valablement. Il doit donc posséder une identité électronique valide, p.ex. l'avoir construite en ayant voté récemment électroniquement. Aussi, il n'est pas nécessaire que le matériel de vote contienne des éléments pour exercer le vote électronique. Le matériel peut, par contre, contenir des éléments pour construire ou renouveler une identité numérique

En particulier, il est même possible de ne pas envoyer de matériel de vote du tout. Ce qui est une source d'économie générale, et en particulier est plus pratique pour les résidents à l'étranger.

art 60.3 Pour exercer le vote électronique, l'électeur s'authentifie en ligne au moyen des éléments fournis, remplit le bulletin électronique et le valide en acquiesçant à l'acheminement des données vers l'urne électronique.

Si le l'électeur a déjà voté récemment, il possède une identité électronique (ou bien, s'il en possède indépendamment une valable et reconnue), il s'identifie avec celle-ci, et donc pas avec des éléments fournis.

art 60.4 L'électeur ne peut voter par la voie électronique que si le matériel informatique qu'il utilise présente un niveau de sécurité suffisant.

Le vote électronique doit avoir lieu au sein d'une machine virtuelle créée par-dessus le poste de l'électeur, en isolation de celui-ci; cette machine est alors saine et possède les caractéristiques nécessaires.
Il n'est donc peut-être pas nécessaire de mettre sur l'électeur la charge de cet article, et surtout la responsabilité en découlant; un simple devoir de diligence devrait suffire.

Le pilote cantonal a montré être gravement vulnérable : jusqu'à 40% de bulletins falsifiables par une attaque indétectable, dont le modèle a été validé en 2004 déjà par l'EPFL (Laboratoire de Sécurité et de Cryptographie, Dr Oeschlin). Or, sous une telle teneur de la loi, c'est les citoyens qui pourraient être tenus responsables de la réalisation effective de la falsification !

art 60.6 Le Conseil d'Etat édicte [...]. Il fait fréquemment tester la sécurité du système de vote.

Les tests d'intrusion ne sont qu'un "coup de sonde" très partiel et ne portent que sur les systèmes placés en avant du système de vote (essentiellement le pare-feu et tout au plus le serveur frontal).

Ainsi que le dit le Dr Hans-Urs Wili (chef de la section des droits politiques de la Chancellerie Fédérale) : "tester la porte du garage ne prouve rien de la voiture qui se trouve dans le garage".

art 60.7 Les applications informatiques liées au vote électronique doivent être clairement séparées des autres applications.

Le registre des électeurs pour le vote électronique, registre qui doit être totalement séparé des serveurs/applications desservant directement le vote électronique, peut être à proximité d'autres applications. L'urne, par contre devrait être suffisamment isolée des serveurs de traitement du vote électronique.

art 60.8 Le code source des applications permettant de faire fonctionner le vote électronique, de même que les documents liés à la sécurisation du système, à l'exception des résultats de l'audit prévu à l'alinéa 6, ne peuvent être communiqués à des tiers en application de la loi sur l'information du public et l'accès aux documents, du 5 octobre 2001.
art 60.9 Les membres de la commission électorale centrale y ont toutefois accès en tout temps.
art 60.10 Le code source peut en outre être éprouvé, sans toutefois être reproduit, par tout électeur qui justifie d'un intérêt scientifique et purement idéal et qui s'engage à en respecter la confidentialité. Le Conseil d'Etat fixe les conditions et modalités de ce test.

Tout comme le fonctionnement du local de vote et du dépouillement se doivent d'être accessibles et scrutés, le code source d'un système de vote électronique se doit d'être publié; même si cela n'est pas encore suffisant pour assurer la transparence démocratique.
La sécurité de ce programme ne doit pas provenir du secret de son texte (algorithmes & protocoles), mais du bon enchainement des états parcourus et du secret des clefs cryptographiques mises en œuvre.

Au surplus, l'étude du texte d'un programme source est une tâche ardue, elle nécessite d'être faite à tête reposée et dans des conditions optimales; au besoin avec plusieurs personnes, avec du temps, ses propres outils (logiciels) et dans son propre environnement de travail.

art 64.2 Les bulletins électroniques sont nuls s'ils ne peuvent être correctement lus.

Un bulletin électronique est un objet qui doit être fortement structuré, avec des règles de validité draconiennes. De ce fait, le bulletin (au sens strict ici) peut être indécodable (jeu de caractères), peut être décodable mais illisible (lexique), être lisible, mais incompréhensible (syntaxe), compréhensible, mais inutilisable (sémantique), utilisable à priori, mais mal formé (surchargé).

art 74.1 La chancellerie d'Etat procède à un nouveau décompte des bulletins et, le cas échéant, des bulletins électroniques avant la validation de l'opération électorale lorsque les besoins de la récapitulation l'exigent.
art 74.2 Ce décompte est effectué sous la surveillance de la commission électorale centrale.

La preuve de bonne fin doit être tirée de l'ensemble des données journalisées.
Les bulletins ne doivent pas seulement être recomptés, mais aussi vérifiés pour leur authenticité (provenance d'électeurs -anonymes- habilités), leur intégrité (non falsifiés), leur exhaustivité (il n'en manque pas), leur complétude (il n'y a pas de surplus), leur originalité (il n'y a pas eu d'échange).
Le recomptage doit pouvoir être fait sur des machines et avec des logiciels tiers.

art 75B.3 La commission électorale centrale peut en outre procéder à des contrôles, en tout temps, indépendamment d'une opération électorale.
art 75B. 4 Toute irrégularité constatée par un membre de la commission électorale centrale doit être aussitôt rapportée à son président, qui transmet l'information à la Chancellerie d'Etat ou, avant les opérations de dépouillement, au service des votations et élections.
art 75B.5 Tout membre de la commission électorale centrale peut faire constater ses observations dans les procès-verbaux prévus aux articles 71 et 73, alinéa 2.

Pour que la commission électorale puisse réellement procéder à un contrôle des opérations de vote, celle-ci doit pouvoir s'appuyer sur un sous-système de l'architecture informatique dont elle a seule le contrôle, en exclusion de l'administration publique. Ce sous-système doit être partie prenante nécessaire du protocole de vote triangulaire : Habilitation [Administration] <--> Poste électeur <--> Scrutation [Commission]).
L'existence de cette entité informatique de scrutation devrait être exigée dans la loi, car elle est la représentation de la commission électorale dans la transcription "cyber" du processus de vote.

art 79 al. 1 Les registres et les bulletins, ainsi que les données relatives au vote électronique, sont détruits en présence d'un délégué du service des votations et élections:
a) à l'expiration d'un délai de 50 jours à compter de la validation d'une opération électorale;
b) [...].

La formulation ouvre la voie à beaucoup d'interprétations.
Premièrement, une saine gestion des systèmes nécessite la création continuelle et automatique de copies de sauvegarde, y compris distantes (délocalisées).
Secondement, des systèmes évolués de stockage peuvent distribuer, dupliquer, journaliser les données.
Ensuite, la notion de destruction n'est pas claire : elle peut aller de la suppression de l'accès système (purement logique et aisément réversible) à celle du support (p.ex. disques physiquement détruits).

D'autres solutions sont possibles.