Notre inquiétude au sujet du projet de loi eVoting PL 9931-A vient de l'excessive concordance du texte proposé avec les caractéristiques propres au système pilote actuel.
Ci-dessous, j'ai rédigé une esquisse de commentaires sur ce projet de loi, sans prétention et partielle, juste à titre de réflexion et d'exemple. C'est un document de travail, destiné à évoluer selon les remarques reçues.
On peut tout d'abord regretter que la loi ne traite que des votes (au sens strict "oui"/"non", art 57) et qu'il n'y ait pas la voie ouverte à l'élection électronique, pourtant immédiatement faisable avec la même infrastructure. |
|
art 50.2 Par bulletin électronique, il faut comprendre le formulaire électronique au moyen duquel l'électeur, lors d'un vote électronique, répond aux questions faisant l'objet du scrutin. |
Le
bulletin se doit d'être un objet pouvant avoir plusieurs
représentations structurées : une de traitement
et de stockage, une d'interaction et d'enregistrement de la
motivation et une de présentation statique. En outre, il serait souhaitable que les "questions faisant l'objet du scrutin" couvrent aussi les élections. |
art. 60.2 Le matériel de vote envoyé à l'électeur contient les éléments nécessaires pour exercer le vote électronique. |
Le citoyen doit signer électroniquement sa carte de vote virtuelle, pour s'engager valablement. Il doit donc posséder une identité électronique valide, p.ex. l'avoir construite en ayant voté récemment électroniquement. Aussi, il n'est pas nécessaire que le matériel de vote contienne des éléments pour exercer le vote électronique. Le matériel peut, par contre, contenir des éléments pour construire ou renouveler une identité numérique En particulier, il est même possible de ne pas envoyer de matériel de vote du tout. Ce qui est une source d'économie générale, et en particulier est plus pratique pour les résidents à l'étranger. |
art 60.3 Pour exercer le vote électronique, l'électeur s'authentifie en ligne au moyen des éléments fournis, remplit le bulletin électronique et le valide en acquiesçant à l'acheminement des données vers l'urne électronique. |
Si le l'électeur a déjà voté récemment, il possède une identité électronique (ou bien, s'il en possède indépendamment une valable et reconnue), il s'identifie avec celle-ci, et donc pas avec des éléments fournis. |
art 60.4 L'électeur ne peut voter par la voie électronique que si le matériel informatique qu'il utilise présente un niveau de sécurité suffisant. |
Le
vote électronique doit avoir lieu au sein d'une machine
virtuelle créée par-dessus le poste de l'électeur,
en isolation de celui-ci; cette machine est alors saine et possède
les caractéristiques nécessaires. Le pilote cantonal a montré être gravement vulnérable : jusqu'à 40% de bulletins falsifiables par une attaque indétectable, dont le modèle a été validé en 2004 déjà par l'EPFL (Laboratoire de Sécurité et de Cryptographie, Dr Oeschlin). Or, sous une telle teneur de la loi, c'est les citoyens qui pourraient être tenus responsables de la réalisation effective de la falsification ! |
art 60.6 Le Conseil d'Etat édicte [...]. Il fait fréquemment tester la sécurité du système de vote. |
Les tests d'intrusion ne sont qu'un "coup de sonde" très partiel et ne portent que sur les systèmes placés en avant du système de vote (essentiellement le pare-feu et tout au plus le serveur frontal). Ainsi que le dit le Dr Hans-Urs Wili (chef de la section des droits politiques de la Chancellerie Fédérale) : "tester la porte du garage ne prouve rien de la voiture qui se trouve dans le garage". |
art 60.7 Les applications informatiques liées au vote électronique doivent être clairement séparées des autres applications. |
Le registre des électeurs pour le vote électronique, registre qui doit être totalement séparé des serveurs/applications desservant directement le vote électronique, peut être à proximité d'autres applications. L'urne, par contre devrait être suffisamment isolée des serveurs de traitement du vote électronique. |
art 60.8 Le code
source des applications permettant de faire fonctionner le vote
électronique, de même que les documents liés à
la sécurisation du système, à l'exception des
résultats de l'audit prévu à l'alinéa
6, ne peuvent être communiqués à des tiers en
application de la loi sur l'information du public et l'accès
aux documents, du 5 octobre 2001. |
Tout
comme le fonctionnement du local de vote et du dépouillement
se doivent d'être accessibles et scrutés,
le code source d'un système de vote électronique se
doit d'être publié; même si cela n'est
pas encore suffisant pour assurer la transparence démocratique. Au surplus, l'étude du texte d'un programme source est une tâche ardue, elle nécessite d'être faite à tête reposée et dans des conditions optimales; au besoin avec plusieurs personnes, avec du temps, ses propres outils (logiciels) et dans son propre environnement de travail. |
art 64.2 Les bulletins électroniques sont nuls s'ils ne peuvent être correctement lus. |
Un bulletin électronique est un objet qui doit être fortement structuré, avec des règles de validité draconiennes. De ce fait, le bulletin (au sens strict ici) peut être indécodable (jeu de caractères), peut être décodable mais illisible (lexique), être lisible, mais incompréhensible (syntaxe), compréhensible, mais inutilisable (sémantique), utilisable à priori, mais mal formé (surchargé). |
art 74.1 La
chancellerie d'Etat procède à un nouveau décompte
des bulletins et, le cas échéant, des bulletins
électroniques avant la validation de l'opération
électorale lorsque les besoins de la récapitulation
l'exigent. |
La preuve de bonne
fin doit être tirée de l'ensemble des données
journalisées. |
art 75B.3 La
commission électorale centrale peut en outre procéder
à des contrôles, en tout temps, indépendamment
d'une opération électorale. |
Pour que la
commission électorale puisse réellement
procéder à un contrôle des opérations
de vote, celle-ci doit pouvoir s'appuyer sur un sous-système
de l'architecture informatique dont elle a seule le contrôle,
en exclusion de l'administration publique. Ce sous-système
doit être partie prenante nécessaire du protocole de
vote triangulaire : Habilitation [Administration] <--> Poste
électeur <--> Scrutation [Commission]). |
art 79 al. 1 Les
registres et les bulletins, ainsi que les données relatives
au vote électronique, sont détruits en présence
d'un délégué du service des votations et
élections: |
La
formulation ouvre la voie à beaucoup
d'interprétations. D'autres solutions sont possibles. |