IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Réseaux Discussion :

L'Estonie publie le code source de son système de vote électronique sur GitHub


Sujet :

Réseaux

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 938
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 938
    Points : 207 047
    Points
    207 047
    Par défaut L'Estonie publie le code source de son système de vote électronique sur GitHub
    L'Estonie publie le code source de son système de vote électronique sur GitHub,
    un geste pour encourager la démocratie ?

    La République d'Estonie qui a été la première nation à adopter le système de vote en ligne voudrait aller plus loin pour rassurer les utilisateurs quant à la sécurité de ce système. Pour pouvoir voter en ligne, les habitants avaient besoin de se munir de leur carte d'identité numérique. La sécurité du système repose en grande partie sur une infrastructure open source à chiffrement asymétrique de 2048 bits.


    Sur GitHub, le code source a été mis à la disposition du public afin que tout un chacun puisse vérifier son fonctionnement. Seulement, il convient de préciser qu'il ne s'agit que de la partie serveur. Si le côté client était publié, il aurait pu faciliter la conception d'interfaces de vote falsifiées, explique Tarvis Martens, président de l'Electronic Voting Committee. De plus, le code est de licence Creative Commons CC-BY-NC-ND (Creative Commons Attribution NonCommercial NoDerivs) qui ne permet ni la reprise à des fins commerciales, ni la modification du code source.

    Pour Tarvi Martens, c'est « l’étape suivante vers un système transparent ». Il explique au média estonien ERR News que « l’idée, qui a été le résultat d’une discussion réunissant de nombreux experts informatiques et le comité, a été mise en pratique aujourd’hui. Nous apprécions le fait que des experts représentant la société civile veuillent contribuer au développement et à la sécurité des e-élections ».

    Pour Barbara Simons, ancienne présidente de l’Association of Computer Machinery américaine, rien ne garantit que le code présent sur le dépôt est bien celui qui est employé : « Je pense qu’il est bon que le code source ait été publié, mais rien ne prouve qu’il s’agit bien du code utilisé durant l’élection. Nous savons que des changements de dernière minute peuvent être faits sans supervision indépendante ».

    Source : GitHub, ERR News

    Et vous ?

    Que pensez-vous de cette action ? Cela encouragerait-il les citoyens à faire entendre leur voix ?

    La France devrait-elle s'en inspirer ?

  2. #2
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    CC-BY-NC-ND n'est pas une licence open-source, au sens de l'OSI.

  3. #3
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Novembre 2006
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2006
    Messages : 436
    Points : 963
    Points
    963
    Par défaut
    J'allais le dire : publier le code source ne prouve en rien que c'est vraiment le code utilisé ! Qui sait, c'est peut être une feinte pour éviter tous soupçons...

  4. #4
    Membre expérimenté Avatar de supergeoffrey
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2010
    Messages
    802
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2010
    Messages : 802
    Points : 1 698
    Points
    1 698
    Par défaut
    Seulement, il convient de préciser qu'il ne s'agit que de la partie serveur.
    Le faite que le code client ne soit pas open-source, pourrait faire douter à un anonymat des votes. Rien ne dit que l'application de vote envoie les résultats uniquement au serveur avec le code open-source.

  5. #5
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2012
    Messages
    3 020
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 3 020
    Points : 16 093
    Points
    16 093
    Par défaut
    La raison avancée pour ne pas divulguer la partie cliente se tient, mais me semble tout de même assez légère.

    Certes, les internautes, dans leurs immense majorités, sont ignorants de ce qu'ils font. Le phishing ne leur évoque pas grand chose, alors essayer de les éduquer sur comment l'éviter... n'en parlons pas.

    Maintenant... si c'est une interface publique, et elle doit bien l'être si des gens doivent y accéder pour voter, il est relativement enfantin de repomper l'interface et de créer un faux site de vote qui renverrait toutes les informations vers un serveur corrompu.

    Dans tous les cas, c'est déjà un premier pas que ce pan de code soit divulgué. Reste que cela n'est sans doute pas suffisant pour convaincre les réfractaires que le vote électronique n'est pas manipulable ou manipulé.

  6. #6
    Membre éclairé
    Profil pro
    Inscrit en
    Novembre 2005
    Messages
    328
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2005
    Messages : 328
    Points : 695
    Points
    695
    Par défaut
    C'est sûr que c'est pas Diebold qui va mettre en ligne le code de ses machines.
    Ça obligerait à invalider les élections de deubelyou...

  7. #7
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    Août 2010
    Messages
    1 669
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 1 669
    Points : 3 816
    Points
    3 816
    Par défaut
    Le libre et l'open source c'est bien mais il y a des secteurs où c'est plus nuisible qu'autre chose. Tous les logiciels manipulant des données critiques ou dont la sécurité est un point central du programme se doivent d'être propriétaires jusqu'au bout des ongles et avoir des sources complètement fermées. Livrer les sources de ces logiciels permettent de comprendre comment celui-ci fonctionne et par conséquent de trouver facilement des solutions pour faire tomber les barrière de sécurité, s'emparer des données critiques en question et les exploiter. Paye ta sécurité sur des données où celle-ci est essentielle. C'est la raison pour laquelle je n'utiliserai jamais d'antivirus libre style ClamAV.

    Les résultats électoraux étant clairement des données sensibles, vous imaginerez alors tout le n'importe quoi que je pense de cette "idée" du gouvernement estonien. En plus les raisons qu'ils donnent pour ne pas livrer la partie cliente sont ridicule. Rien n'empêche une personne malveillante de créer un client dont le frontal serait identique à celui du client officiel mais dont le backend serait frauduleux tout en sachant communiquer comme il faut avec les serveurs du gouvernement estonien.

  8. #8
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 136
    Points
    23 136
    Par défaut
    Citation Envoyé par air-dex Voir le message
    Le libre et l'open source c'est bien mais il y a des secteurs où c'est plus nuisible qu'autre chose. Tous les logiciels manipulant des données critiques ou dont la sécurité est un point central du programme se doivent d'être propriétaires jusqu'au bout des ongles et avoir des sources complètement fermées. Livrer les sources de ces logiciels permettent de comprendre comment celui-ci fonctionne et par conséquent de trouver facilement des solutions pour faire tomber les barrière de sécurité, s'emparer des données critiques en question et les exploiter. Paye ta sécurité sur des données où celle-ci est essentielle.
    La sécurité par le "secret" ne vaut pas grand chose.
    Les méthodes de chiffrement (ex RSA) et de hachage (ex SHA-2) sont connus de tous et pourtant sont très sûre.
    On pourrait inventer ses propres méthodes personnelles et jouer sur le fait que le hackeur ne sache pas "comment on fait". Ainsi on a une infinité de possibilité. Sauf que la méthode qu'on aura inventé pourrait très bien ne pas résister à certains types d'attaques...

    Un code open-source permet d'avoir des révisions et des corrections de la part de tout le monde, les failles sont donc trouvées et corrigées assez rapidement. De plus, l'open-source permet d'éviter qu'une personne soit tentée de faire une protection par le "secret".

    Un programme sûr, ce n'est pas un programme dont on ne connaît pas les sources, c'est un programme qui, même si on connaissait les sources, resterait sécurisé.

    Les codes-sources d'un programme (ou des bouts de codes-sources) ça peut se voler. Un programme qui n'est pas "sûr" s'il passe en open-source, ce n'est pas un programme sûr.

  9. #9
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Citation Envoyé par air-dex Voir le message
    Le libre et l'open source c'est bien mais il y a des secteurs où c'est plus nuisible qu'autre chose. Tous les logiciels manipulant des données critiques ou dont la sécurité est un point central du programme se doivent d'être propriétaires jusqu'au bout des ongles et avoir des sources complètement fermées. Livrer les sources de ces logiciels permettent de comprendre comment celui-ci fonctionne et par conséquent de trouver facilement des solutions pour faire tomber les barrière de sécurité, s'emparer des données critiques en question et les exploiter. Paye ta sécurité sur des données où celle-ci est essentielle. C'est la raison pour laquelle je n'utiliserai jamais d'antivirus libre style ClamAV.

    Les résultats électoraux étant clairement des données sensibles, vous imaginerez alors tout le n'importe quoi que je pense de cette "idée" du gouvernement estonien. En plus les raisons qu'ils donnent pour ne pas livrer la partie cliente sont ridicule. Rien n'empêche une personne malveillante de créer un client dont le frontal serait identique à celui du client officiel mais dont le backend serait frauduleux tout en sachant communiquer comme il faut avec les serveurs du gouvernement estonien.
    La sécurité par l'obscurité, ça ne marche pas. C'est exactement l'inverse : le code open-source permet de détecter beaucoup plus de problèmes.

    Et dans ce cas précis, seul le code open-source permet aux électeurs d'avoir confiance dans le processus de vote par internet. Même si c'est nécessaire mais pas suffisant.

  10. #10
    Membre confirmé
    Profil pro
    Inscrit en
    Décembre 2006
    Messages
    176
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2006
    Messages : 176
    Points : 501
    Points
    501
    Par défaut
    J'ajouterai même que quand on garde quelque chose secret, c'est aussi important de le garder secret que d'être averti quand ça ne l'est plus.

    Tu prend les fréquences utilisés par les radar, c'est top secret. Si c'est volé par les russes alors ils peuvent faire tomber tout nos avions. Si on sait qu'ils ont les fréquences il suffit de les changer, et le secret n'a plus de valeur.

    Or si t'a un système fermé, il n'y à que celui qui le viole qui sais qu'il est entré.

    Si c'est open-source, tu peu beaucoup plus facilement voir la faille, colmater, et, dans notre cas, invalider le résultat de tes élections et en refaire.

  11. #11
    Membre éclairé
    Profil pro
    Inscrit en
    Novembre 2005
    Messages
    328
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2005
    Messages : 328
    Points : 695
    Points
    695
    Par défaut
    Comme j'en parlais plus tôt, c'est justement parce ces données sont critiques que je ne les laisserai pas à des sociétés privées.
    Quand on voit les liens d'une entreprise comme Diebold, chargée de gérer les votes électroniques aux USA (ou du moins dans certains états), ça donne vraiment pas envie de leur confier des votes...
    Un des premiers principes d'une élection, c'est justement la transparence.
    Comment assurer la transparence d'une élection avec l'opacité d'un code propriétaire ?? C'est complètement contradictoire.

    Cordialement

  12. #12
    Membre averti
    Homme Profil pro
    Consultant fonctionnel
    Inscrit en
    Août 2010
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Irlande

    Informations professionnelles :
    Activité : Consultant fonctionnel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2010
    Messages : 98
    Points : 318
    Points
    318
    Par défaut
    Citation Envoyé par hn2k5 Voir le message
    Comme j'en parlais plus tôt, c'est justement parce ces données sont critiques que je ne les laisserai pas à des sociétés privées.
    Et dire que dans notre beau pays, toutes les demandes de visas passent par des société privées prestataires où l'on fourni à ceux ci les données personnelles et biométrique des ressortissants

  13. #13
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Citation Envoyé par Homo_Informaticus Voir le message
    Et dire que dans notre beau pays, toutes les demandes de visas passent par des société privées prestataires où l'on fourni à ceux ci les données personnelles et biométrique des ressortissants
    Intéressant, je ne savais pas ça. Ca ne relève pas des autorités consulaires ? Tu as des détails ?

  14. #14
    Membre du Club
    Homme Profil pro
    Inscrit en
    Mars 2006
    Messages
    47
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Secteur : Industrie

    Informations forums :
    Inscription : Mars 2006
    Messages : 47
    Points : 63
    Points
    63
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    De plus, le code est de licence Creative Commons CC-BY-NC-ND (Creative Commons Attribution NonCommercial NoDerivs) qui ne permet ni la reprise à des fins commerciales, ni la modification du code source.
    Ben c'est sûr que celui qui veut falsifié des votes,va arrêter parce qu'il a pas le droit de modifier le code . La licence l'interdit...

  15. #15
    Membre averti
    Homme Profil pro
    Consultant fonctionnel
    Inscrit en
    Août 2010
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Irlande

    Informations professionnelles :
    Activité : Consultant fonctionnel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2010
    Messages : 98
    Points : 318
    Points
    318
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Intéressant, je ne savais pas ça. Ca ne relève pas des autorités consulaires ? Tu as des détails ?
    J'ai travaillé dans un Consulat (et pas un petit pays paumé, je ne le citerais pas mais c'était la capitale d'un pays monarchique qui se trouve au delà de la manche ), et je peux t'assurer que les données sont saisies par un logiciel fourni par le Ministère de l'Intérieur, puis ces données sont envoyées à un prestataire privé ( on parle bien de photos, données biométriques comme les empreintes digitales, données d'état civil etc...).

    Pour vérification, les passeports biométriques des ressortissants sont lus sur des super ordinateurs sous Vista sans Service Pack, sans antivirus, directement relié au réseau Internet et non interne qui sont de vraies passoires.

    Cela ne choque personne à part les informaticiens qui ne sont pas écoutés. Alors maintenant quand j’entends parler d'audit, de CNIL et compagnie, cela me fait bien rigoler.

    Dans les pays où l’État a confié la réception des demandes à un prestataire privé, les frais de dossier doivent être versés à ce prestataire. Ce dernier peut aussi réclamer à l'étranger des frais de service supplémentaires.
    Source d'au dessus : http://vosdroits.service-public.fr/F18141.xhtml

  16. #16
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Ah ouais, quand même...

  17. #17
    Membre éclairé
    Profil pro
    Inscrit en
    Novembre 2005
    Messages
    328
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2005
    Messages : 328
    Points : 695
    Points
    695
    Par défaut
    Vous verrez, un jour ils fourniront réellement les clés de l'Elysée ou de la Maison blanche - sans se cacher - à un prestataire privé et ils nous expliqueront que c'est nécessaire pour diminuer les coûts...
    Et ils s'étonneront ensuite de ne plus rien maîtriser...

  18. #18
    Membre éprouvé
    Avatar de Cafeinoman
    Homme Profil pro
    Couteau suisse d'une PME
    Inscrit en
    Octobre 2012
    Messages
    628
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Couteau suisse d'une PME

    Informations forums :
    Inscription : Octobre 2012
    Messages : 628
    Points : 1 256
    Points
    1 256
    Par défaut
    Citation Envoyé par hn2k5 Voir le message
    Vous verrez, un jour ils fourniront réellement les clés de l'Elysée ou de la Maison blanche - sans se cacher - à un prestataire privé et ils nous expliqueront que c'est nécessaire pour diminuer les coûts...
    Et ils s'étonneront ensuite de ne plus rien maîtriser...
    Non, un jour ils donneront à de grandes compagnies les mêmes droits régaliens que les états (polices, justice, finance...) sur les terrains qu'ils possèdent...

    Sinon pour en revenir au sujet initial, la photo montre une estonien fier de voter, qui nous présente sa carte d'identité électronique branchée à son ordi par le biais d'un lecteur de puce USB. alors certe le l'interface web est duplicable, le lecteur USB est bidouillable, mais casser le cryptage de la puce d'une carte nationale d'identité me semble compliqué... il faudrait au moins la puissance de calcul de la NSA!

    Tout ça pour dire que non, il n'y a pas de raison de ne pas divulguer le code complet...

Discussions similaires

  1. Nokia publie le code source de Nokia X Plate-forme
    Par Malick dans le forum Android
    Réponses: 0
    Dernier message: 14/03/2014, 23h32
  2. Macro pour afficher le code source et son résultat
    Par Third Joker dans le forum Programmation (La)TeX avancée
    Réponses: 37
    Dernier message: 28/08/2013, 11h34
  3. Réponses: 3
    Dernier message: 20/11/2011, 00h05
  4. Réponses: 0
    Dernier message: 15/11/2011, 12h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo