[Actualité] Système de vote par Email mis en place au New Jersey suite à l'ouragan Sandy

[l4r3nZu]

Les chercheurs en sécurité ont quelques réserves vis à vis du système de vote par Email mis en place au New Jersey suite à l'ouragan Sandy.



La décision du New Jersey afin de permettre aux électeurs bloqués par la tempête de vote par E-mail lors de l'élection de mardi peut être une réponse innovante suite à une catastrophe naturelle. Mais les chercheurs en sécurité ont prévenu que cette décision sans précédent pourrait être le déclenchement d'une autre tempête mais cette fois ci d'ordre politique.

Au cours du weekend, le gouverneur Kim Guadano a annoncé que les électeurs touchés par la tempête pourrait demander par E-mail un bulletin de vote, le remplir à la maison , le scanner et le renvoyer à un service administratif.

Cependant, il a fallu moins de 24 heures au professeur Matt Blaze de l'université de Pennsylvanie pour trouver des failles avec cette solution de contournement :
Les emails non cryptées peuvent être falsifiés ou altérés. Les ordinateurs utilisés pour envoyer les e-mails, dont beaucoup seront dans les lieux publics comme des bibliothèques ou des abris, pourrait falsifier ou bloquer les choix des électeurs. Et l'ordinateur qui reçoit les e-mails pourrait être tout aussi vulnérables étant donné que les électeurs vont envoyer leur bulletin de vote sous forme de fichiers joints, le PC de réception aura besoin d'ouvrir les pièces jointes envoyées par des utilisateurs inconnus, l'une des pratiques les plus courantes menant à des infections de logiciels malveillants.

Le New Jersey n'est pas un état clé lors de l'élection nationale, de plus le segment des électeurs pour le vote électronique reste assez petit, il est donc peu probable qu'il affecte la course présidentielle ou du Congrès. Blaze suggère même que le système informatique responsable du dépouillement des votes envoyés par E-mail soit directement connecté aux systèmes traditionnels de comptage des voix, ce qui pourrait entacher les élections entières, même au-delà des bulletins de vote envoyés par E-mail.

Source : Forbes

Ce système de vote en ligne pourrait être à l'avenir un frein ou un levier pour la démocratie ?

[el_slapper]

Citation:

Envoyé par l4r3nZu

(.../...)

Ce système de vote en ligne pourrait être à l'avenir un frein ou un levier pour la démocratie ?

Un frein.

Le seul moyen de garantir que l'informatique d'une banque n'invente pas de mouvements, c'est la trace d'audit. Le 6 novembre 2012 à 8h42m28s, monsieur slapper a retiré 40 €uros au distributeur de la Société Marseillaise de Crédit à Juan-les-Pins(j'étais à 1000 bornes, c'est un exemple). Une fois que c'est traçé, on peut remonter, et detecter et corriger les éventuelles erreurs.

Donc, pour garantir qu'il n'y a pas eu d'erreur, il faut garder une trace du vote : le 22 avril 2012, monsieur slapper a voté Jacques Cheminade à 10h22m39s(ça, c'est vrai; enfin, je ne suis pas sur de l'heure exacte). Trace qui peut servir à faire pression sur les electeurs.

Toute autre solution electronique peut être truquée de manière astucieuse. Je préfère les urnes transparentes.

[andry.aime]

Citation:

Envoyé par el_slapper

Toute autre solution electronique peut être truquée de manière astucieuse.

C'était le cas en 2008 à Springfield:

http://www.youtube.com/watch?v=1aBaX9GPSaQ

http://www.youtube.com/watch?v=1aBaX9GPSaQ

[fregolo52]

Citation:

Envoyé par l4r3nZu

Ce système de vote en ligne pourrait être à l'avenir un frein ou un levier pour la démocratie ?

Ce système, oui!
Il n'y a plus d'anonymat.
Comme tout vote en ligne, en fait.
Bon, mettre une vraie solution de vote en ligne (comme j'ai pu le faire pour élire les DP/CE de ma SSII) prend beaucoup trop de temps.

[l4r3nZu]

Citation:

Envoyé par l4r3nZu

Ce système de vote en ligne pourrait être à l'avenir un frein ou un levier pour la démocratie ?

Je pensse que tout systeme informatique ou non peut etre corompu. L'anonymisation des données n'est pas un caractéristique lié à l'informatique car il existe de nombreuses solutions pour contourner ce probleme.

Il faut juste s'en donner les moyens

Un article interresant

[fregolo52]

Citation:

Envoyé par l4r3nZu

Je pensse que tout systeme informatique ou non peut etre corompu. L'anonymisation des données n'est pas un caractéristique lié à l'informatique car il existe de nombreuses solutions pour contourner ce probleme.

Il faut juste s'en donner les moyens

Un article interresant

tout a fait, j'ai hésité à mettre "à distance" à la place de "en ligne".
C'est comme payer avec sa carte bancaire, tu as plus de chance de te faire "pirater" ta carte via la VPC par téléphone que sur Internet.

[Paul TOTH]

déjà dans notre système on trouve des électeurs fantômes et des contestations de dépouillement...si on passe par l'informatique autant dire qu'on autorise tous les débordements

[Paul TOTH]

Citation:

Envoyé par l4r3nZu

Je pensse que l'avantage de l'informatique sera un systeme plus carré diminuant l'erreur ou la fraude humaine . Et si fraude il y a celle ci serai de plus grande ampleur et necessitera plus de moyens . Un candidat à une mairie , de senat , europeen aura il les moyens de corrompre un systeme informatique ?

ahhhh mais il ne faut pas croire à l'inviolabilité des systèmes informations !

diminuant les erreurs ? qui n'a jamais reçu deux avis d'imposition, un prélèvement incohérent sur un compte bancaire, une facture fantaisiste ? pourtant c'est important non ? et on traite ça tout le temps, c'est du connu, y'a pas d'erreur à avoir ?

la fraude humaine ? ben elle est rarement due à la machine (je viens de me relire les Robots d'Asimov) mais elle serait forcément présente ! l'enjeu est trop important pour garantir un système intègre.

[ManusDei]

Citation:

Envoyé par l4r3nZu

Un candidat à une mairie , de senat , europeen aura il les moyens de corrompre un systeme informatique ?

Oui.
Pas besoin de payer, il "suffit" d'avoir un hacker très compétent et pas très honnête parmi les militants. Ou alors, tu peux avoir un hacker très compétent dans les militants, mais qui n'aime pas le candidat, donc va laisser des traces pour faire annuler l'élection et pourrir la réputation du candidat.

Le papier a l'avantage de la traçabilité, et surtout de la transparence. L'urne est visible et accessible tout au long de la journée, entre le moment où elle est mise en place, et le moment où elle est vidée (et n'importe qui peut aider et assister au dépouillement). L'urne électronique, moi citoyen je ne la vois pas, moi citoyen je ne peux pas y accéder, moi citoyen je ne peux pas participer au dépouillement, et moi citoyen je ne peux pas garder l'urne toute la journée pour éviter un bourrage de l'urne.

[BenoitM]

Vote en ligne, je suis plutot contre.
Vote électronique, c'est pratique et assez rapide quand il n'y a pas de problème informatique mais ca pose des problèmes transparances et surtout un coût qui peut être très élèvé en fonction des technologies utilisées.


Pour moi a part pour compter les voix plus rapidement, l'informatique n'a pas grand interêt.

[transgohan]

Citation:

Envoyé par l4r3nZu

Je pensse que l'avantage de l'informatique sera un systeme plus carré diminuant l'erreur ou la fraude humaine . Et si fraude il y a celle ci serai de plus grande ampleur et necessitera plus de moyens . Un candidat à une mairie , de senat , europeen aura il les moyens de corrompre un systeme informatique ?

Ma carte bancaire est gelée jusqu'à dimanche prochain à cause d'une erreur informatique (qui mettrai plus d'une semaine à être corrigée selon ma banque). Donc désolé si je ne perçois pas la même chose que toi vis à vis de l'informatique.

En attendant j'attends la réception d'un courrier de ma banque me servant de preuve pour des retraits en guichet sans rien avoir à présenter d'autre...
Mais le pire dans tout ça, c'est que si quelqu'un intercepte ce papier il peut me vider mon compte.

[l4r3nZu]

Mais j'avoue qu'un probleme majeur pourrait etre la confidentialité , car internet ne pourra pas remplacer l'usage d'un isoloir et la vigilance d'un bureau de vote pour garantir cette confidentialité.Si le vote par internet est démocratisé , on ne peut pas etre sure que les personnes ne voteront pas sous pression comme par exemple la famille ou autre.

[el_slapper]

Citation:

Envoyé par l4r3nZu

Mais j'avoue qu'un probleme majeur pourrait etre la confidentialité , car internet ne pourra pas remplacer l'usage d'un isoloir et la vigilance d'un bureau de vote pour garantir cette confidentialité.Si le vote par internet est démocratisé , on ne peut pas etre sure que les personnes ne voteront pas sous pression comme par exemple la famille ou autre.

je n'avais pas vu ce point-là, mais c'est un argument de plus contre.

Comme disait Staline, "l'important, dans une election, ça n'est pas qui vote, c'est qui compte"(peut-être apocryphe, mais j'aime bien). En informatisant le décompte, on prive le citoyen du contrôle sur le décompte. Et on en arrive à la situation que toton Jo dénonçait : celui qui contrôle le décompte, contrôle l'election.

[Freem]

Je pense également que ce serait une erreur monstrueuse de faire confiance à des logiciels pour compter.
Y compris des logiciels open-source, d'ailleurs: les algo de sécu, ça se casse si on y mets les moyens, et le vote d'un président des USA, c'est quand même hautement stratégique pour avoir le pouvoir...

Eventuellement, un logiciel au code source ouvert ET très simple, sur une machine aux plans des CI publiés le tout placé sur un réseau physiquement non relié à internet présent les mairies pourrait me faire changer d'avis.

En gros, remplacer l'urne par une machine, mais la laisser dans le même endroit (un isoloir dans un bâtiment officiel) et l'isoler réellement d'un maximum de vecteurs d'attaques (internet).
Reste à trouver un intérêt à un tel système, autre que celui de déranger des fonctionnaires une journée par an (je suis même pas sûr qu'ils soient payés pour ça d'ailleurs, faudra que je demande à mon père qui y participe)

[ManusDei]

Citation:

Envoyé par Freem

Reste à trouver un intérêt à un tel système, autre que celui de déranger des fonctionnaires une journée par an (je suis même pas sûr qu'ils soient payés pour ça d'ailleurs, faudra que je demande à mon père qui y participe)

Ce n'est pas nécessairement des fonctionnaires qui tiennent les bureaux de vote. Uniquement des représentants des candidats en présence (qui peuvent être n'importe qui).

Seul le responsable du bureau de vote est indemnisé (mais je crois que la mairie doit prévoir le repas de midi pour tout les représentants).

Et pour le dépouillement, il suffit de se pointer et de dire "je veux être là", tout citoyen a le droit de contrôler ou de participer au dépouillement.

[icsor]

Citation:

Envoyé par ManusDei

Ce n'est pas nécessairement des fonctionnaires qui tiennent les bureaux de vote. Uniquement des représentants des candidats en présence (qui peuvent être n'importe qui).

Non, pas uniquement des représentants des candidats, c'est comme pour les dépouillement, ce sont de simples citoyens (mais il me semble qu'il faut être inscrit sur les listes électorales de la commune par contre).

Pour en revenir à la question de départ, tout ce qui peut mettre un voile entre le vote et le résultat est pour moi un frein à la démocratie. C'est pour cela que j'aime le système français des urnes et que je n'aime pas les machines à voté française.

[fregolo52]

Citation:

Envoyé par icsor

Non, pas uniquement des représentants des candidats, c'est comme pour les dépouillement, ce sont de simples citoyens (mais il me semble qu'il faut être inscrit sur les listes électorales de la commune par contre).

tout à fait, quand je vais voter, le "président" du bureau est un conseillé et les autres personnes qui tiennent le bureau de vote sont des citoyens (dont une personne de mon immeuble)

Citation:

Envoyé par icsor

Pour en revenir à la question de départ, tout ce qui peut mettre un voile entre le vote et le résultat est pour moi un frein à la démocratie. C'est pour cela que j'aime le système français des urnes et que je n'aime pas les machines à voté française.

Il n'y a pas un retour en arrière ?
Perso j'ai voté sur des machines en 2007 (présidentielle et législative) et après c'est revenu au papier.

[powdaddy]

Pour être plus précis: Kim Guadagno n'est que "Lieutenant Governor" du New Jersey (une sorte de vice gouverneur). Le gouverneur en poste est Chris Christie

[Elros]

Le vote électronique peut éviter les erreurs humaines (et encore vue le nombre de fois que l'on compte les bulletins !), permet d’avoir les résultats beaucoup plus rapidement.
Mais, tout système informatique est « piratable », donc, si vous voulez avoir des risques plus importants de fraudes c’est la meilleure façon.
Et puis voter à partir d’internet, il y’aura des tentatives de fishing et autres pour récupérer le compte des électeurs ou modifier leur vote.

Le vote papier est mieux encadré, et reste à mon sens la solution la moins compliquée/couteuse à sécuriser.

Elros

[Fagus]

"Cependant, il a fallu moins de 24 heures au professeur Matt Blaze de l'université de Pennsylvanie pour trouver des failles avec cette solution de contournement : "

Article un peu gentil. Pas besoin d'être le professeur truc, ni de 24h, c'est évident.

Mais bon sang ! Déléguer au courriel une question de sécurité, c'est du délire aigu grave !

Le courriel, ça a été conçu à l'âge d'or des bisounours d'internet, au temps où tout le monde il était gentil : c'est comme une carte postale.

Quand j'étais petit, j'envoyais des mails spoofés (c'est à dire semblant venir de l'adresse de quelqu'un d'autre), sans aucune difficulté. C'était tellement simple qu'on avait juste besoin d'une console dos. C'était (littéralement) à la porté d'un enfant de 12 ans pas trop attardé !
Aujourd'hui, c'est à peine plus dur, il faut juste son serveur.
L'autre jour, je recevais des courriels de la poste, venant de serveurs virtuels loués avec complaisance en belgique et me dirigeant vers un faux site pour voler mes codes bancaires. (Un enfant de 16 ans doué le fait).

En 1/2 journée, un pro pourrait écrire un script qui génère des images de faux bulletins préremplis, spoofe diverses adresses mail crédibles et les envoie en se faisant passer pour les autres (en scannant un bête annuaire, on a les noms des gens...)

Alors qu'en plus, depuis des années, le courriel est sécurisable sans aucun effort : il suffit d'installer un certificat SMIME, c'est gratuit et ça m'a pris avec surprise un SEUL clic sur ma suite mail. On résoudrait alors le problème des identités, de la modification en vol des mail, de leur espionnage (à condition de garantir la sécurité des deux pc en contact)


---------

Frein à la démocratie ?
En Inde, qui en nombre d'électeur est une plus grosse démocratie que nous, c'est électronique. Mais juste, le décompte : système à ma connaissance isolé, sur des machines déployées dans les bureaux de vote.
C'est déjà plus crédible qu'un truc foireux par internet, où on sent un peu que si on trouve une faille, elle sera automatisée et exploitée en masse