Machines à voter : la mauvaise solution à un faux problème

Comment garantir l'anonymat et, dans le même temps, la possibilité de vérifier publiquement le résultat ? Après l'expérience du 22 avril, difficile de comprendre le maintien des machines à voter.

Transparence contre boîte noire

Vote papier et vote électronique, les différences sont énormes, et cela saute aux yeux de tous les électeurs qui ont eu affaire à des ordinateurs de vote ce dernier week-end. D'un coté, on a une procédure simple, transparente et compréhensible par tous, basée sur l'utilisation d'enveloppes et bulletins papier qu'enfants et personnes âgées maîtrisent sans problème ; de l'autre, une procédure faisant intervenir une boîte noire informatique qui engendre des multiples inquiétudes allant de la facilité d'utilisation à la fiabilité des machines, et plus fondamentalement à la sincérité du scrutin.

Le vote électronique : des risques pris ?

La question est importante, et mériterait une réponse plus détaillée que celle que je vais donner ici en quelques lignes. Je conseille donc aux lecteurs intéressés de lire les opinions d'experts de renommée mondiale comme Andrew Appel (www.cs.princeton.edu/%7Eappel), ou la prise de position de l'ACM (www.acm.org/usacm/weblog/index.php?p=73), et aussi d'analyser la grande masse d'information recensée sur Ordinateurs-de-vote.org (http://ordinateurs-de-vote.org).

L'introduction du vote électronique vient avec des risques de différente nature : sociologique, technique, politique. Je vais me limiter ici aux aspects strictement techniques, même si les autres mériteraient tout autant d'être étudiés.

Les procédures de vote sont un problème difficile et fascinant pour un informaticien, parce qu'elles demandent de garantir deux propriétés fondamentales, et apparemment contradictoires :

- l'anonymat : on ne doit pas pouvoir savoir ce que chaque électeur vote, pour éviter qu'il subisse des pressions ;
- la vérifiabilité publique du résultat : comme les enjeux d'une élection politique sont énormes, l'incitation à commettre des fraudes est bien réelle, et donc tout le monde doit pouvoir se convaincre, "à lui tout seul", sans faire confiance à aucun expert, de la sincérité du scrutin.

Comme les experts en sécurité informatique savent bien, ces deux propriétés, même prises séparément, sont très fragiles : il suffit de peu pour les mettre à mal, et ce peu peut se trouver dans n'importe lequel des multiples aspects qui composent un système informatique...  Cela peut être une émission à radiofréquence corrélée avec le choix de l'électeur et produite involontairement par la machine (ceci est bien connu en sécurité, chercher Tempest dans les moteurs de recherche) ; ou alors une erreur involontaire de programmation qui fausse le résultat du scrutin ; ou encore une manipulation malveillante de la part d'un tiers, etc.

Avec le vote papier, tant bien que mal, on a forgé une longue expérience qui a abouti, dans chaque pays, à des procédures précisément codifiées dans lesquelles tous les détails comptent et qui donne de bons résultats sur l'anonymat et la vérifiabilité. En France, par exemple, l'urne transparente n'est pas un gadget, et l'obligation de prendre deux bulletins au moins avant de rentrer dans l'isoloir non plus. Un ingrédient important de ces procédures est la possibilité, pour chaque citoyen, de participer activement et contrôler "toutes" les phases du vote.

Avec le vote électronique, et plus particulièrement avec la variante mise en oeuvre en France, qui dématérialise complètement le vote en ne gardant aucune trace physique vérifiable indépendamment, le citoyen - et cela même s'il est un expert en informatique - est tout simplement dans l'impossibilité de vérifier le bon déroulement du scrutin : il perd toute trace de son vote au moment où il presse le bouton, ou touche l'écran.

C'est très différent de ce qui se passe quand cette même personne utilise un guichet automatique : là, il touche aussi un écran, pour obtenir 20 euros, mais il peut vérifier tout de suite qu'on lui a bien donné 20 euros, et il peut vérifier sur son relevé mensuel qu'on lui a bien débité 20 euros et pas plus. En cas d'erreur, il a toutes les pièces en main pour demander une rectification.

Dans le cas du vote, l'exigence d'anonymat interdit de publier la liste de votants avec leurs choix : l'électeur ne peut vérifier sur aucun relevé si le vote qu'on a comptabilisé pour lui est bien celui qu'il a émis.

Est-ce que cela viendrait à l'esprit à un quelconque citoyen, ou à des journalistes attitrés, de se ruer sur des professeurs de physique des matériaux, ou des chercheurs en chimie, pour leur demander s'il y a bien un problème avec les urnes transparentes? Bien sûr que non.

Alors, si maintenant tout le monde s'affole et cherche des informaticiens, des chercheurs en sécurité, des experts pour savoir si les ordinateurs de vote sont sûrs, c'est que la réponse est déjà en leur possession : ils ne savent pas se convaincre "tout seuls" qu'il n'y a pas de problème.

Et ils ont raison : c'est cela, le vrai problème.

Quel avenir pour le vote électronique ?

Je suis depuis longtemps un fervent optimiste, passionné des technologies, et donc, si je me tourne vers l'avenir, je me dis qu'on va peut-être arriver, un jour, à concevoir un système de vote électronique qui garantit l'anonymat et la vérifiabilité par tous de la sincérité du scrutin.

Mais attention, si un des lecteurs pense avoir la bonne idée, il faudrait d'abord qu'il la teste avec la règle de trois (www.pps.jussieu.fr/)  des mécanismes de votes. Et il ne suffit vraiment pas que le code source soit disponible(www.pps.jussieu.fr/).

Le seul avantage qui peut être objectivement mis en avant par les défenseurs de ces machines par rapport au vote papier est la vitesse du dépouillement.

Cet argument, qui ne pèse pas bien lourd en soi, quand on sait qu'on ne fait pas d'élections politiques tous les jours, peut avoir une certaine valeur aux Etats Unis, où le bulletin des électeurs ressemble à la liste des courses du supermarché, et il a été une des raisons du deploiement de ces machines là-bas.

Mais avec la simplicite du mode de scrutin Francais, quand on regarde le compte-rendu des longues queues, des retards et des cafouillages qui se sont produits le 22 avril, on se rend bien compte qu'on est en train d'importer la mauvaise solution à un faux problème.

Plus fondamentalement, on a tous bien de mal a comprendre l'intérêt d'avoir peu après 20h00 des résultats qui, étant invérifiables, peuvent très bien être faux, quand on sait depuis longtemps comment faire pour avoir en quelques heures de plus des résultats vérifiables par tous.

Je crois que le temps est venu pour les pouvoir publics de sonner la fin de la recréation et de remettre un peu d'ordre en instaurant sans plus tarder une moratoire sur les ordinateurs de vote, comme cela a été fait par exemple au Quebec il y a quelques mois (www.assnat.qc.ca/fra).