|
Bases dans le droit suisse |
||||||
Une et une seule voix pour tout citoyen ayant le droit de vote (universalité et unicité). |
|
Universalité : CF art.136 al.2 part. LDP art.8a al.2 part., ODP art. 27d al.1a & 1b |
|||||
L'anonymat du votant et la confidentialité de son bulletin sont garantis inconditionnellement. |
Anonymat : ODP art 27f al.1 & 2, ODP art.27g al.1 & 4, ODP art.27h al.2 |
||||||
Le bulletin doit contenir la motivation du votant. |
|||||||
Le votant de ne doit pas pouvoir voter par procuration, ni obtenir une preuve lui permettant de vendre son vote. |
Non procuration : ODP art.27a al.4 |
||||||
Le contenu du bulletin ne peut être connu avant la clôture du scrutin. |
ODP art.27f al.5, ODP art.27m al.2 (inverse) |
||||||
L'urne ne doit contenir que et doit contenir tous les bulletins recueillis (fidélité et exhaustivité). |
Fidélité : ..., CF art.34 al.2note |
||||||
Les bulletins doivent pouvoir être recomptés sensément (vérifiabilité de leur authenticité et de leur intégrité). |
|||||||
Les réclamations (avant clôture) et contestations (après) doivent être résolvables sans ambiguïté. |
|||||||
L'ensemble de la session, ainsi que chaque vote, doit pouvoir être surveillé. |
|||||||
Toute tentative de fraude est empêchée, ou détectée sans délai. |
Note
: CF = Constitution
Fédérale, LDP = Loi
fédérale sur les
Droits Politiques, ODP = Ordonnance sur les Droits Politiques;
ATF = Arrêt du Tribunal Fédéral.
Par
ailleurs :
Il est aussi attendu d'un système de vote qu'il
soit
ergonomique, qu'il soit fiable (résistant aux pannes, tant du côté
serveur -continuité en mode dégradés, reprises sans pertes- qu'aussi du
côté du votant -poursuite sans recommencement après toute
interruption), qu'il soit économique (y compris offrir un
débit
confortable), et qu'il soit techniquement de qualité (architecture
élégante, outils puissants, code solide,
définitions de données sémantiquement
riches)
pour permettre une exploitation et une maintenance optimale.
Voir
aussi cette
liste
pour d'autres documents sur le vote électronique.
Et le
document "Les
pilotes fédéraux de vote électronique
face aux
principes du vote démocratique"
pour une comparaison rapide, générale et non
technique
des pilotes fédéraux de vote
électronique avec
ces Dix Critères essentiels du vote.
Pour répondre au critère (1) - justesse :
Le votant doit s'identifier de manière relativement forte, et une base de données centrale (registre des électeurs) doit contrôler son droit et enregistrer en direct son mode de vote (entrée pour le local, bulletin clos reçu pour la correspondance, habilitation délivrée pour internet -voir aussi 8 pour la bonne fin effective).
Pour répondre au critère (2) - secret :
Il faut garantir inconditionnellement la confidentialité et l'anonymat.
Pour garantir la confidentialité, le bulletin doit être rempli, confirmé et chiffré (clef de l'urne, voir 5-temporalité) localement sur le poste du votant, sans pouvoir être transporté en clair à distance ( ni laisser de traces localement, voir 10-sécurité).
De plus, pour garantir l'anonymat, l'obtention du droit de vote -habilitation- et de ses instruments (bulletin vierge, etc.) doit être fait dans une autre session logique que le dépôt du bulletin, en outre l'adresse IP de l'expéditeur du bulletin doit être différente1 de celle de la requête du droit de vote, et l'ordre d'arrivée des bulletins doit être distinct de celui des requêtes d'habilitation initiales, enfin la marque de droit de vote authentifiant le bulletin déposé (voir 7-recomptabilité) ne doit pas pouvoir être reliée à la requête de celle.ci.
Pour répondre au critère (3) - conformité :
L'expression du choix doit être compréhensible, et sa transcription de traitement et stockage inambigüe et inaltérable.
En particulier, la motivation que le votant a exprimée, puis vérifiée et confirmée, doit être maintenue explicite et intacte au cours du transport, de l'insertion dans l'urne, du stockage, et ce jusqu'au dépouillement inclus (sp. jusqu'à la fin de la période de recours).
Cela se fait par un verrouillage -c.-à-d. blocage cryptographique- du texte littéral du bulletin rempli, qui a lieu entre l'expression et la confirmation, puis de la préservation de ce verrou au travers de l'envoi (chiffrement) et des opérations subséquentes (voir 7-recomptabilité, et partiellement 8-prouvabilité).
Pour répondre au critère (4) - incessibilité :
Pour la non-procuration, le citoyen doit individuellement signer numériquement la carte de vote dématérialisée.
Pour l'invendabilité, le votant obtient bien un récépissé lui prouvant personnellement le dépôt de son bulletin dans l'urne; mais ce récépissé n'est pas probant devant un tiers, car le votant peut -mais seul lui- avoir construit un autre contenu de bulletin validant aussi le récépissé.
Pour répondre au critère (5) - temporalité :
Le bulletin doit être crypté -sur le poste du votant et avant de le quitter- sous une clef de chiffrement asymétrique, dont la clef duale de déchiffrement (d"ouverture" de l'urne) n'est pas disponible avant la clôture du scrutin.
Pour se faire, la clef de déchiffrement doit être dispersée -à sa création, sans fuites- entre l'administration et les diverses factions politiques de la commission électorale (scrutateurs) et n'être reconstructible qu'avec la recombinaison suffisante des parties.
Pour répondre au critère (6) - exactitude :
Pour être certain qu'il n'y a eu ni "bourrage" de l'urne (fidélité), ni soustraction de bulletins valables (exhaustivité), chaque bulletin doit être authentifié (voir 7-recomptabilité) pour garantir provenir d'un votant habilité, et les bulletins reçus doivent être chaînés de manière infalsifiable (double autorité et notarisation) pour empêcher toute suppression ultérieure.
Pour répondre au critère (7) - recomptabilité ;
Chaque bulletin porte le texte littéral de son contenu et de la motivation du votant, il a été scellé par une marque (estampille électronique) sur le poste du votant2 avant chiffrement sous la clef de l'urne. Cette estampille garantit l'authenticité (habilitation) et l'intégrité (inaltérabilité) du bulletin.
Cette estampille a été construite avec une étape d'anonymisation empêchant qu'elle soit reliée à un votant spécifique reconnaissable, tout en garantissant être représentante authentique d'un certain votant individuel3.
Pour répondre au critère (8) - prouvabilité :
Chaque opération est journalisée, chaque information et chaque étape sont signées par l'entité opérante, chaque acte important donne lieu à l'émission d'un récépissé pour son bénéficiaire (p.ex. l'habilitation se fait après signature électronique de la carte de vote, le dépôt du bulletin est quittancé).
La présence de deux autorités (et du poste du votant comme troisième partie prenante), l'anonymisation et l'intraçabilité, ainsi que le partitionnement strict des informations (p.ex. flux disjoints entre transactions nominalement identifiées et transactions anonymement authentifiées) permet la preuve de bonne fin -dépôt du bulletin intact- sans révélation du secret du vote.
Pour répondre au critère (9) - transparence :
Le critère de transparence fait partie de l'usage établi du vote démocratique (la nécessaire scrutation), mais est aussi une conséquence implicite des deux critères précédents : 7-recomptabilité et 8-prouvabilité.
La transparence statique passe par la publication complète (documentation et texte source électronique), elle est nécessaire4 pour sa critique et donc sa confiance, mais elle n'est pas suffisante, car le code exécuté peut ne pas être celui étudié.
La transparence dynamique nécessite un second groupe de serveurs participant au protocole de vote, et opérant pour le compte de la commission électorale (scrutation par le contrôle politique).
De surcroit, pour permettre une surveillance distribuée et diffuse dans la population, le poste* du citoyen votant doit être un noeud de passage obligé des transactions du protocole opérant avec l'administration et le contrôle politique.
(*) le logiciel s'exécutant sur le poste du citoyen est sous son contrôle, c'est le seul endroit où le public peut être certain que l'exécutable est identique au source étudié - en l'ayant compilé et chargé personnellement.
Pour répondre au critère (10) - sécurité :
Ce critère de sécurité5 explicite une conséquence découlant des trois premiers critères.
Le critère (1-universalité) -vu comme droit d'expression- implique indirectement et partiellement la disponibilité du moyen de vote et son bon fonctionnement; donc la protection contre le sabotage et contre les attaques en déni de service.
Les critères (2-secret) et (3-conformité) impliquent la protection contre des attaques de tiers (piratage) visant à perturber le scrutin, respectivement par prise de connaissance du choix vote, ou par falsification de ce choix.
Au delà, la seule potentialité d'un piratage indétecté, par pré-connaissance6 ou par falsification, est une attaque virtuelle effective, car elle induit la perte de confiance dans le résultat qui pourrait avoir été manipulé et donc décrébilise le scrutin.
La sécurité contre une attaque dans le protocole est atteinte, d'une part par l'utilisation de normes efficientes et ayant été bien scrutées publiquement, d'autre part par la fondation de l'authentification et de la confidentialité de chaque transactions et de tous les objets importants sur une hiérarchie rigide des clefs cryptographiques.
La sécurité contre le piratage purement technologique se fait tant par la résistance des serveurs eux-mêmes (qualité d'écriture et des outils du logiciels d'application et durcissement des systèmes hôtes), que par leur protection physique et logique, mais aussi par l'isolation de l'ensemble du processus de vote sur le poste du votant (protection contre les maliciels, étanchéité aux traces).
La mitigation d'une attaque sur l'existence du transport (liaison réseau) se fait par le bon usage des protocoles de connection, les possibilitiés de reprises différées et la multiplicité des liaisons possibles.
Notes des références légales :
CF34al2
: La Constitution fédérale (art. 34, al. 2) et la
jurisprudence constante du Tribunal fédéral (cf.
par
exemple ATF 121 I 187) protègent la libre formation de
l’opinion des citoyens et l’expression
fidèle et
sûre de leur volonté. Il découle de
cette
garantie constitutionnelle que les citoyens sont en droit
d’exiger
que le résultat d’une votation ou d’une
élection
ne soit pas reconnu s’il n’est pas
l’expression
fidèle et sûre de la libre volonté des
citoyens.
Circulaire
du CF 20/09/2002
Visibilité (1)
: Le vote traditionnel – y compris le vote par bulletin
manuscrit et les fiches de saisie permettant le comptage
électronique
des voix – repose sur l’existence bien
réelle d’un
registre électoral, de certificats de capacité
civique,
de bulletins, de fiches de saisie, d’une urne, de signatures
manuscrites, etc. Les endroits où peuvent
s’opérer
des manipulations sont donc visibles au sens propre, ce qui permet
–
en cas de panne ou d’abus –
d’opérer des
contrôles ou des recomptages au vu et au su de
chacun.
Rapport
du Conseil Fédéral 02.009 sur le vote
électronique,
chances, risques et faisabilité (p. 16)
Visibilité (2)
: "Le vote doit répondre aux principes suivants: suffrage universel,
périodicité, égalité, secret,
liberté, sécurité et transparence du processus."
"Autre principe à considérer dans la mise en place d'un
cadre juridique permettant le vote par internet à distance: la
transparence. [...] Cela est d'autant plus important que la
dématérialisation accrue du vote pourrait donner une
impression d'opacité du processus aux électeurs, ce qui
n'est pas compatible avec l'esprit d'une démocratie."
Pour atteindre l'équivalence fonctionnelle de transparence,
l'auteur propose trois moyens : "Mise en place d'une chaîne de
contrôles", "L'accès au code source du logiciel de vote",
"L'audit du processus"
Philippe Mercorio,
Faculté de droit - faculté des études
supérieures, Université de Montréal
ATF114Ia47
: Les électeurs ont, selon les circonstances, même
droit
à un recomptage des suffrages qui ont
été
comptés de manière traditionnelle (ATF 114 Ia
47).
Ibid
1Pour que l'adresse numérique internet (IP) de l'ordinateur servant au vote soit différente, il doit être possible de s'interrompre et de reprendre -sans recommencer le processus- depuis un autre poste, ou encore d'utiliser un surréseau d'intraçabilité pour délivrer le bulletin (une chaîne d'intermédiaires cloisonnés).
2Le verrouillage a lieu entre le remplissage et la confirmation. Voir critère (3-conformité). La confirmation a lieu sur la version verrouillée; la syntaxe transmise à l'affichage n'est pas identique à celle pour le remplissage (bien qu’homologique). De plus, l'affichage peut être effectué par une voie distincte.
3L'estampille est à la fois la signature numérique du bulletin originel par une clef asymétrique anonyme validée, et la partie publique de cette clef complétée par sa validation (anonymisée) la rendant authentique.
4Pour être étudié avec efficience, le logiciel doit mettre en oeuvre le plus systématiquement possible des normes usuelles, des algorithmes décrits dans la littérature courante, et se baser sur des bibliothèques standards. Il devrait être aussi fortement calqué sur les principes centraux et les pratiques usuelles du vote, ayant émergé par la nécessité de l'histoire. L'écriture du programme source doit suivre les règles stylistiques et de modularisation (procédurisation contractuelle, encapsulation, types abstraits, ...). Ces modalités permettent alors une compréhension aisée, car pouvant être macroscopique et tirer parti de savoirs antérieurs.
5La mitigation du risque se fait soit en diminuant la probabilité d'occurrence du danger, soit en limitant l'étendue du dégât conséquent du danger (pour le rétablir, ou au moins le circonscrire). Ici, cette mitigation se fait soit en empêchant l'attaque, soit en la décelant au plus tôt avant qu'elle n'opère des dégâts, ou de manière à annuler à temps ces dégâts.
6La pré-connaissance (enfreignant la temporalité-5) permettrait de mobiliser conditionnellement les électeurs opposés aux résultats intermédiaires d'un scrutin. Cette attaque n'est effective que si la durée d'une session est longue (ce qui est d'ailleurs le cas dans le droit actuel -3 semaines).
© Jean-Paul Kroepfli