La raison originelle de ce projet est la frustration documentée devant les pilotes existants et la découverte d'une solution adéquate, sûre, efficace et avantageuse

Je suis arrivé au vote électronique après avoir été consultant-chef de projet pour la PKI (identité numérique) de l'Administration Fédérale, ceci après avoir travaillé comme conseiller en systèmes et communication, sécurité et cryptographie pour des banques et assurances internationales, des organisations internationales ou des instituts universitaires (je viens des mathématiques -mon CV).

Après ce projet fédéral d'eID, j'ai en effet été approché par une des deux sociétés qui avaient remporté l'appel d'offres du canton de Genève; cette entreprise m'a demandé de rejoindre son conseil d'administration et de devenir le consultant pour le projet de vote électronique du canton, soutenu par la Confédération. Ma participation à cette entreprise me causant une incompatibilité avec mes relations à la Confédération (j'étais membre de diverses commissions fédérales, dont celle de la carte d'identité électronique), je suis devenu conseiller indépendant pour le projet de vote cantonal.

C'est avec cette position, et un audit pour la Chancellerie, que j'ai découvert à la fois les grandes lignes politiques, les structures organisationnelles et les détails techniques du vote électronique. Je me suis aperçu qu'il y a un large fossé entre la réalité profonde des systèmes pilotes et les critères de la lettre et de l'esprit (doctrine) des lois sur les droits politiques (j'ai souvent travaillé avec des juristes); ces systèmes ont aussi de graves vulnérabilités.

En raison de cette frustration, et en étudiant, tant localement et qu'internationalement, l'historique et les usages, les solutions et les critiques, ainsi que les éléments et outils disponibles, j'ai conçu un système véritablement démocratique (je peux revenir sur ces caractéristiques) et très sûr, et j'ai spécifié très précisément les méthodes et moyens d'implantation, défini la palette de communication (capitale pour un projet OSS et son marketing) et tracé l'organisation d'exploitation.

Le marché du vote électronique est vaste et mûr, ce projet a un avantage convaincant et son modèle économique est bien affirmé

Le marché suisse est mûr, car le Conseil Fédéral pousse vigoureusement les cantons à passer rapidement au vote électronique, avec le système de leur libre choix. La Chancellerie Fédérale a évalué le marché public indigène à 500 millions de francs pour les dix ans à venir.

Comme la quasi totalité des cantons ont des services informatiques limités et moyennement qualifiés, ils ne peuvent introduire seuls, et encore moins gérer un système d'un tel niveau technique, au chiffre précédent doivent donc s'ajouter le coût du conseil (et adaptation/intégration en régie) et de l'exploitation (cette dernière supposée globalement à quelques 18 million chaque année). Il faut savoir que le budget "votations" des seuls coûts spécifiques d'un canton moyen (~200'000 électeurs) se monte à plus de deux millions de francs par année, et que le mode helvétique de vote est pourtant cinq à dix fois moins cher que ceux des autres pays.
Selon les choix de commercialisation et d'exploitation, avec "xVote" le coût des votations pourrait être bien moindre qu'avec le vote papier actuel (voir un exercice estimatif dans ce document).

En passant, avec ce système considéré, la définition précise, le partitionnement de l'information et la stricte séparation des rôles autorisent l'exploitation par un prestataire tiers; en outre, les protocoles distincts, l'étanchéité cryptographique et les cloisonnements systèmes permettent la mutualisation de l'exploitation pour plusieurs cantons simultanément.

Sur la base de ce marché suisse, qui fait référence à l'étranger, c'est les marchés public des votations et élections des pays démocratiques et privé des personnes morales (sociétés anonymes, coopératives, associations) qui s'ouvrent. L'extension sera immédiatement possible, car le système considéré est -si nécessaire- non seulement indéfiniment adaptable (abstraction modulaire), mais il est surtout totalement configurable, car son architecture sépare l'objet bulletin librement et richement composable (visualisation, sémantique, syntaxe, traitement) de son flux standard (moteur indépendant).

Pour des raisons politiques évidentes, mais aussi pour capitaliser sur des outils et les plateformes, le réseau social, les compétences et la communication du monde de l'OSS, le système sera implanté et distribué sous licence Open Source (OSI, GPL). Le modèle économique est donc aussi celui usuel dans l'OSS des services associés : du conseil en amont, de l'adaptation et intégration sur demande, de l'assistance en aval, et de l'exploitation de tout ou partie (SaaS), etc.

Le fonctionnement pour les investisseurs, plus encore que l'IPO, est clairement la revente à une grande entreprise capable d'assurer non seulement la maintenance, mais surtout le maximum de services autour (conseil en organisation et technique, adaptation, intégration, fourniture de matériel et logiciels tiers, assistance, exploitation, sauvegarde & secours), idéalement en synergie avec de ses autres produits. L'acheteur potentiel sera typiquement un constructeur/service informatique réputé, tels SUN ou une grande SSII.
En fait, ce pourrait être très rapide, car, dès la phase pilote, des partenariats de coprestations seront noués et un tel repreneur pourrait en faire partie.

Présentation générale : des atouts gagnants, une méthodologie décisive

Le système a pour nom de travail "xVote", un nom définitif sera attribué par la suite, plus marketing et porteur d'un axe de communication.

Ainsi qu'indiqué précédemment, la conception de ce système est la conséquence de la frustration découlant de l'étude des pilotes fédéraux actuels (que j'ai pu étudier de très près), et de celle des projets proposés dans d'autres pays, qui ne correspondent de loin pas aux principes démocratiques, n'ont pas de qualités techniques suffisantes, ne sont pas économiquement avantageux, ne protègent pas le citoyen, manquent radicalement de transparence, et sont très vulnérables.

Les principes généraux qui ont guidés la conception, ont été intégrés avec succès dans le résultat, et qui rendent xVote si résistant aux critiques les plus dures :

Bien sûre, hormis à l'encontre des critiques des (très rares) néo-luddistes, qui rejettent a priori tous modes de votes non traditionnels.

En tout premier lieu ... vient bien sûr l'adéquation ! Son atout différenciateur.

Adéquat :

Le système applique strictement les dix critères du vote démocratique, en particulier électronique, selon les bases légales et doctrinaires.

Pour mémoire, les dix critères d'un vote démocratique sont, selon la loi, la jurisprudence et les usages établis :

1

  1. justesse 

  1. Une et une seule voix pour tout citoyen ayant le droit de vote (universalité et unicité). 

2

  1. secret 

  1. L'anonymat du votant et la confidentialité de son bulletin sont garantis inconditionnellement. 

3

  1. conformité 

  1. Le bulletin doit contenir la motivation du votant. 

4

  1. incessibilité 

  1. Le votant de ne doit pas pouvoir voter par procuration, ni obtenir une preuve lui permettant de vendre son vote. 

5

  1. temporalité 

  1. Le contenu du bulletin ne peut être connu avant la clôture du scrutin. 

6

  1. exactitude 

  1. L'urne ne doit contenir que et doit contenir tous les bulletins recueillis (fidélité et exhaustivité). 

7

  1. recomptabilité 

  1. Les bulletins doivent pouvoir être recomptés sensément (vérifiabilité de leur authenticité et de leur intégrité). 

8

  1. prouvabilité 

  1. Les réclamations (avant clôture) et contestations (après) doivent être résolvables sans ambiguïté. 

9

  1. transparence 

  1. L'ensemble de la session, ainsi que chaque vote, doit pouvoir être surveillé. 

10

  1. sécurité 

  1. Toute tentative de fraude est empêchée, ou détectée sans délai. 

(détails et références dans ce document).

Un point critique et un grand atout d'xVote est d'avoir entièrement résolu l'apparente opposition entre les critères de justesse -une et une seule voix, donc l'identification du citoyen-, de transparence et de prouvabilité d'une part et d'autre part le critère de secret -soit la confidentialité et particulièrement l'anonymat du bulletin.

Le secret est inconditionnellement garanti dans xVote, pourtant l'identification est forte, la transparence est totale et la prouvabilité absolue.

Protecteur :

Le système protège efficacement les logiciels et flux sur le poste de vote, protège absolument les liaisons par Internet (confidentialité, intégrité, authenticité), il protège les serveurs et les divers niveaux de criticité des informations que les serveurs contiennent ou manipulent (échelonnées en profondeur), il protège les données des éventuelles pannes ou sinistres. Il est notable que le système protège inconditionnellement le votant des atteintes pouvant venir de l'intérieur de l'administrationa (et donc disculpe par avance l'administration de tout soupçon).

Transparent :

Le système permet le recomptage sensé des bulletins par des tiers en toute confiance. Il enregistre de manière probante tous les éléments pertinents des actions effectuées, en totale validité et sans risque d'atteinte à l'anonymat et au secret du vote. Ce faisant, il permet sur cette base la résolution de l'ensemble des réclamations ou contestations. Le système concentre la garantie du secret, d'anonymat et de bonne fin sur le poste du votant qui peut ainsi s'en assurer personnellement (le poste forme le sommet d'une circulation triangulaire avec l'habilitation -l'administration-, et la scrutation -le contrôle politique).

Agréable :

L'acte de vote est très clair et permet une utilisation même agréable pour le votant, le système offre toute liberté pour le rythme (durée, interruption), il assure la variation de langue et l'adaptation à chaque culture. Il sauvegarde (anonymement et sécuritairement) l'état et permet la reprise sur arrêt ou rupture. L'électeur ressent l'importance et la fascination de son acte.

De qualité :

Le système suit les normes et standards en vigueur, il met en oeuvre le meilleur de l'état de l'Art et de l'excellence des outils pour assurer la fiabilité, la portabilité, l'interopérabilité, la configurabilité, l'extensibilité et la maintenabilité. Il est adapté à l'utilisation tant en Suisse qu'à l'international, et pour l'usage public ou le privé. Le système permet avec facilité tant l'installation sur site qu'en hébergement tiers (infogérance).

Souple :

Il couvre -sans modification du système- tous types de votation et d'élection, toutes modalités de comptabilisation, tout aspect de bulletin, etc.

Efficace :

Rapidité de l'implantation (validée) et efficacité du résultat (dont le débit de crête et la quantité globale), simplicité et justesse d'exploitation.

En sous-jacent, la démarche est basée sur la recherche et le bénéfice d'une profonde culture générale, scientifique et technique.

Description succincte et générale :

Architecture générale :

Le système est principalement (mais pas uniquement) scindé en deux parties strictement distinctes : l'une effectuant le traitement nominal, et l'autre le traitement anonyme. Le protocole est triangulaire entre le poste du votant et ces deux parties, et effectue une anonymisation de la transaction entre la partie nominale et la partie anonyme. Diverses autres protections maintiennent cloisonnées les liaisons entre les deux parties.

Les données nominales ne sont pas mémorisées dans le système lui-même, mais uniquement dans le site de l'administration publique (ou l'organisme tenant le registre des actionnaires/coopérateurs pour une entreprise privée).

Protocoles et flux :

Les transactions entre le poste de l'utilisateur et les divers serveurs, entre les serveurs (et entre le poste utilisateur et d'autres postes) mettent en oeuvre divers protocoles normalisés, et dont les données sont encapsulées dans plusieurs couches imbriquées, selon les destinataires échelonnés en profondeur) en protégeant la confidentialité, l'intégrité et l'authenticité. Une identité numérique est créée ou renouvelée, celle-ci sert -via des fonctions découplant du système- à l'authentification ultérieure ou à la signature de la carte de vote. L'accès aux serveurs peut avoir lieu directement, ou via un intermédiaire, ou encore toute une chaîne aléatoire d'intermédiation, masquant radicalement l'adresse du poste de l'utilisateur (donc son lieu et son identité).

Serveurs :

Ils fonctionnent en machine virtuelle, plus exactement en application virtuelle prêtes à l'emploi, avec un échelonnement en profondeur et (sur chaque site) une grappe d'absorption de la charge, avec des fonctions de stockage local fiable (y compris pour les sauvegardes anonymes et automatiques des états-électeurs dans le site de scrutation), et une sauvegarde distante des données traitées localement (les nominales sont reçues de l'administration par l'habilitation, au besoin et une à une, et -abouties- lui sont retournées et purgées), les liaisons sont sécurisées en VPN entre les (sites-)serveurs.

Outils :

Pour cette étape finale de l'implantation (transcription du concept détaillé), ce sont les outils des systèmes à haute criticité qui ont été choisis (aussi car maitrisés), ainsi que le cadriciel le plus portable et souple, de même, ce sont les logithèques les plus adéquates et les produits les mieux adaptés qui ont été sélectionnés pour les compléter.

Utilisation :
(point de vue du citoyen, résumé très simplifié du fonctionnement sous-jacent)

Soit l'électeur a téléchargé l'installateur de l'application de vote (depuis un site sécurisé, il est en possession de la trace du certificat de ce site), a déroulé cette installation gigogne et distribuée, et lance l'application de vote localement, soit il utilise le service de bureau déporté et lance directement l'application à distance.
L'application se contrôle et obtient les éléments du vote courant, qu'elle vérifie; elle s'apprête à entrer en contact avec le service d'habilitation (autorisation de vote).

Si le citoyen possède déjà une identité numérique, il s'authentifie simplement avec celle-ci.
Si l'électeur n'a pas (encore) d'identité numérique, il a reçu sa carte de vote (papier) par la poste et utilise les codes qui s'y trouvent pour s'authentifier (en les complétant par sa date de naissance et -pour les citoyens suisses- avec sa/une de ses commune[s] d'origine[s]); une identité numérique personnelle lui est alors délivrée, celle-ci est normalisée et peut être utilisée universellement.

L'application entre en contact avec l'habilitation et reçoit la carte de vote virtuelle pour le scrutin. Elle génère un jeton de droit de vote, l'anonymise et la joint à la carte de vote, et requiert du citoyen la signature électronique de celle-ci. L'application retourne la carte de vote complétée et signée à l'habilitation et reçoit le jeton de droit de vote validé par celle-ci, avec un bulletin de vote.

Le citoyen complète le bulletin de vote dématérialisé selon ses choix. Lorsqu'il a fini, le jeton de droit de vote scelle le bulletin (garantie d'authenticité et intégrité) et le citoyen vérifie ses choix. Le bulletin scellé est chiffré sous la clef publique de l'urne électronique et envoyé par un cheminement intraçable à l'urne.
Le citoyen reçoit un récépissé lui garantissant l'inclusion de son bulletin dans le scrutin (non probant pour un tiers, ce qui empêche la vente de voix).

Situation :

Selon une approche typiquement mathématique, tout a été soigneusement défini et contrôlé (souplement à géométrie variable, en adéquation à chaque point), tant pour l'architecture et les protocoles mis en oeuvre, les algorithmes et les éléments de programme intégrés, les outils et logiciels tiers employés, le matériels et les services utilisés, les méthodes et l'organisation suivies, etc. Il en est de même des principes et moyens de communication sociale qui seront actionnés pour l'émulation et la promotion.

Ces points sont mentionnés indirectement dans la description de la charge de travail de la fonction de développement.

Courte liste de documents introductifs :

Les documents sont donnés ici par leurs liens.

On voit que le système est simple et clair à utiliser, et surtout que le vote lui-même se pratique tout à fait normalement. Un facilité d'usage contrastant avec l'efficience et la sécurité apportées par ce système.

Vous y verrez le cheminement suivi par une commission électorale ou service des votations, des préparatifs à la clôture, et de la mutualisation pluriétatique, L'ensemble est contrôlé usuellement par les autorités, en particulier avec l'observation politique (scrutation). D'autre part, la totalité des réclamations et contestations (y.c. juridiques) sont directement résolubles. Dans la caractéristique unique de transparence, sont illustrés au passage le schéma de méfiance collaborative et d'urne de cristal (white box).

Montre l'utilisation de plusieurs sites afin de partitionner l'information, l'échelonnement en profondeur des serveurs (et orthogonalement grappe d'équilibrage dynamique du second niveau), les liens sécurisés et avec intraçabilité, etc. et particulièrement la position centrale du poste du votant (clef de voute, garantie publique de bonne fin).

Pour donner un certain sens de la sécurité du système, sans qu'il vous soit nécessaire de vous pencher sur les détails, le schéma de la hiérarchie des clefs cryptographiques utilisées/générées et sa légende (tous deux PDF-1p).

Dans une version préliminaire, les spécialistes du cyberespace de la police fédérale (division sûreté de l' État) s'étaient écriés devant ce schéma :

"Ce système est inattaquable!".

Il y a d'autres documents qui pourraient vous être utiles en introduction.
Certains p.ex. sur la machine virtuelle isolant du poste du votant (PDF-1p) -la protection contre les attaques par maliciels ou par recherche de traces-
ou comme la description capitale des dix critères doctrinaires et surtout légaux (HTML ou PDF-6p) du vote électronique.

Mais, bien entendu, l'ensemble des documents vous est accessible.


a) ^   La meilleure sécurité du monde n’empêchera jamais les fuites au sein même de l’administration. C’est la raison pour laquelle une bonne protection des données suppose que seules les informations dont les autorités ont absolument besoin leur soient transmises. -- Hanspeter Thür, préposé fédéral à la protection des données, publié dans Le Temps 2009/04/27