Discussion :

[Stéphane le calme]

En collaboration avec Galois, DARPA développe une machine à voter open source,
pour sécuriser les élections sans revenir aux bulletins de vote en papier

Depuis des années, des professionnels de la sécurité et des militants pour l’intégrité électorale ont poussé les vendeurs de machines à voter à mettre en place des systèmes électoraux plus sûrs et transparents, afin que les électeurs et les candidats puissent être assurés que les résultats des élections n’ont pas été manipulés.

Et si cet objectif pouvait être atteint grâce à un nouveau contrat de 10 millions de dollars lancé par la DARPA (Agence de recherche avancée de projets de défense) ? En lançant ce contrat, l’agence du ministère de la Défense à demander la conception et la mise en place d’un système de vote sécurisé qui sera insensible au piratage.

Le contrat de la DARPA qui s’oriente vers l’open source

Le système, unique en son genre, sera conçu par une entreprise basée dans l'Oregon, Galois, un prestataire gouvernemental de longue date ayant l'expérience de la conception de systèmes sécurisés et transparents. Le système utilisera un logiciel de vote entièrement open source, au lieu du logiciel propriétaire fermé actuellement utilisé dans la grande majorité des machines à voter, que personne ne peut examiner en dehors des laboratoires de test. Plus important encore, il sera construit sur du matériel open source sécurisé, conçu à partir de conceptions et de techniques sécurisées spéciales développées au cours de la dernière année dans le cadre d'un programme spécial de la DARPA. Le système de vote sera également conçu pour produire des résultats entièrement vérifiables et transparents, de sorte que les électeurs ne soient pas obligés de croire aveuglément que les machines et les agents électoraux ont fourni des résultats corrects.

Mais DARPA et Galois ne demanderont pas aux gens de faire aveuglément confiance à la sécurité de leurs systèmes de vote, comme le font actuellement les vendeurs de machines à voter. Au lieu de cela, ils publieront le code source du logiciel en ligne et apporteront des prototypes des systèmes au Def Con Voting Village cet été et l’année suivante, afin que les hackers et les chercheurs puissent librement examiner les systèmes eux-mêmes et effectuer des tests de pénétration afin de mesurer l’efficacité de leur sécurité. Ils travailleront également avec plusieurs équipes universitaires au cours de la prochaine année pour leur demander d’examiner les systèmes dans des environnements de test formels.

« Def Con est formidable, mais [les hackers] ne nous donneront pas autant de détails techniques que nous le souhaitons [concernant les problèmes rencontrés dans les systèmes] », a déclaré Linton Salmon de la DARPA qui supervise le projet. « Les universités nous donneront plus d'informations. Mais nous n’aurons pas autant de monde ni autant de visibilité quand nous le ferons avec les universités ».

Des prototypes pour aider l’écosystème à faire des personnalisations libres

Les systèmes Galois ne seront pas disponibles à la vente. Mais les prototypes qu’il crée seront disponibles pour que les vendeurs existants de machines à voter ou d’autres personnes les adoptent et les personnalisent librement, sans coûts de licence onéreux ni les millions de dollars qu’il faudrait pour rechercher et développer un système sécurisé à partir de zéro.

« Nous n’aurons pas de système de vote que nous pourrons déployer. Ce n’est pas ce que nous faisons », a déclaré Salmon. « Nous allons montrer une méthodologie qui pourrait être utilisée par d'autres pour construire un système de vote totalement sécurisé ».

Joe Kiniry est le principal scientifique de Galois qui dirige le projet dans son entreprise. Kiniry est impliqué depuis des années dans la sécurisation des élections au sein d'une société distincte qu'il dirige, Free & Fair. Il a consulté des gouvernements étrangers au sujet de leurs systèmes électoraux et sa société collabore avec des États américains pour concevoir des audits postélectoraux robustes. Toutefois, l’idée de créer un système de vote sécurisé ne vient pas de Kiniry; mais bel et bien de la DARPA.

« DARPA cherchait une démonstration sexy pour le programme [matériel sécurisé]. Que pourriez-vous mettre sur du matériel sécurisé dont les gens allaient se soucier et qu’ils allaient vouloir comprendre ? », a déclaré Kiniry.

Ils avaient besoin d'un projet non classifié pour que la DARPA puisse en parler publiquement.

« Nous voulions quelque chose où il pourrait y avoir beaucoup de gens qui pourraient examiner cela ouvertement, le critiquer et trouver des problèmes », a déclaré Salmon.

Le projet va exploiter les lourdes ressources de la DARPA et sa grande expérience en matière de sécurité. Si cela fonctionne, il pourrait aider à résoudre un problème national urgent lié à la sécurité et à l'intégrité des élections.

« Si nous construisions un faux radar, il pourrait faire la démonstration d’un matériel sécurisé, mais il ne serait utile à personne. [DARPA] adore le fait que nous construisions un démonstrateur qui pourrait réellement être utile au monde », a déclaré Kiniry.

Deux types de machines à voter seront développés

Kiniy a déclaré que Galois allait concevoir deux types de machines à voter de base. Le premier sera un dispositif de marquage des votes qui utilise un écran tactile pour permettre aux électeurs de faire leur choix. Ce système ne compilera pas les votes. Au lieu de cela, il imprimera un bulletin de vote papier indiquant les choix de l’électeur afin que les électeurs puissent le consulter avant de le déposer dans un scanner optique qui permet de compiler les votes. Galois apportera ce système à Def Con cette année.

Les professionnels de la sécurité ont critiqué bon nombre des systèmes actuels de marquage des bulletins de vote actuellement sur le marché, car ils impriment des codes à barres sur le bulletin de vote que le scanner peut lire à la place de la partie lisible par les électeurs. Quelqu'un pourrait altérer le code à barres pour dire une chose, tandis que la partie lisible par l'homme en dit une autre. Kiniry a déclaré vouloir concevoir son système sans code à barres.

Le système de lecture optique va imprimer un reçu avec une représentation cryptographique des choix de l’électeur. Après les élections, les valeurs cryptographiques de tous les bulletins de vote seront publiées sur un site Web, où les électeurs pourront vérifier que leur bulletin de vote et leur vote en font partie.

« Ce reçu ne vous permet pas de prouver quoi que ce soit sur la façon dont vous avez voté, mais vous permet de prouver que le système a bien reflété votre intention et que votre vote est dans le décompte final », a déclaré Kiniry.

Les membres du public pourront également utiliser les valeurs cryptographiques pour comptabiliser les votes de manière indépendante, afin de vérifier les résultats des élections, de sorte que la tabulation des votes ne soit pas un processus fermé réservé aux seuls agents électoraux.

«Toute organisation [intéressée par la vérification des résultats des élections] qui embauche un ingénieur en logiciel moyennement intelligent [peut] écrire sa propre tabulation » , a déclaré Kiniry. « Nous nous attendons à ce que Common Cause, la League of Women Voters et les [partis politiques] aient tous leurs propres tabulateurs et vérificateurs ».

Le deuxième système que Galois envisage de construire est un système de lecture optique qui permet de lire à la main les bulletins de vote en papier marqués par les électeurs. Ils apporteront ce système à Def Con l'année prochaine.

Le projet de système de vote est né d'un programme plus vaste de la DARPA axé sur le développement de matériel sécurisé. Ce programme, appelé Sécurité du système intégré via matériel et micrologiciel (System Security Integrated Through Hardware and Firmware ou SSITH), a été lancé en 2017 et vise à développer du matériel sécurisé et des outils de conception permettant de le construire, de sorte que le matériel soit insensible à la plupart des attaques logicielles courantes.

Source : MB

Et vous ?

Que pensez-vous de cette initiative ?

Voir aussi :

Le système de vote en ligne de la Suisse comporte une porte dérobée jugée très grave par les chercheurs
Suisse : des experts ont décelé de graves problèmes dans le système de vote en ligne avant même le début du bug bounty prévu sur ce système
Suisse : jusqu'à 150 000 dollars offerts pour un bug bounty sur le système de vote en ligne dans le cadre d'un test d'intrusion public
La Corée du Sud mettra au point un système de vote basé sur la blockchain le mois prochain pour accroître la sécurité des services de vote en ligne
USA : une taxe sur les grandes entreprises de la Tech pour aider les sans-abri est votée à San Francisco mais de nombreuses voix s'élèvent contre

[Uther]

LE problème des outils de vote électronique ne peut pas totalement être résolu. Même si le logiciel est open-source et minutieusement contrôlé, reste le problème que je ne peux être sur que la machine que j'utilise contient bien ce logiciel et ne possède pas de faille hardware. Et je suis un ingénieur informatique, or le vote doit pouvoir être vérifiable par n'importe qui.

Une urne transparente est très facilement contrôlable par n'importe qui.

[AoCannaille]

[mh-cbon]

galois qui donne le vote aux américains.... Déjà ça c'est énorme. Rappelez que les américains sont les premiers pourvoyeurs de désordre et de corruption dans le monde et c'est une deuxième énormité, dans le même titre

c'est bien d'informer, mais faut arrêter de se bercer d'illusion, vous distribuez la propagande, la grande doxa.
vous êtes les pires en cela que vous lui donnez une image d'acceptabilité.

[Matthieu Vergne]

LE problème des outils de vote électronique ne peut pas totalement être résolu. Même si le logiciel est open-source et minutieusement contrôlé, reste le problème que je ne peux être sur que la machine que j'utilise contient bien ce logiciel et ne possède pas de faille hardware. Et je suis un ingénieur informatique, or le vote doit pouvoir être vérifiable par n'importe qui.

Une urne transparente est très facilement contrôlable par n'importe qui.

Je dirais que si ton ticket électronique affiche un numéro unique, non corrélé à ton identité ni à ton vote (UUID affiché avant de donner la moindre info), et que l'ensemble des votes sont recensés avec ces numéros uniques sur un site officiel publique, tu peux confirmer que le site a recensé ton vote (UUID présent) correctement (valeur du vote associé à l'UUID). On pourrait critiquer la possibilité de réutiliser le même UUID pour plusieurs votes, mais cela se verrait dès que deux votes différents sont faits avec le même UUID (50% de chance de le remarquer pour 1 réutilisation, 99.9% pour 10 réutilisations, que ce soit 10x le même ou 2x cinq numéros). Si on pose comme condition que l'élection complète est à refaire à la moindre observation de réutilisation, on n'aura guère intérêt à tenter d'orienter les votes par cette méthode.

On ne devrait pas avoir besoin que les systèmes intermédiaires soient auditables : un test unique de bout en bout devrait suffire. Donc que ce soit de l'open source ou pas n'apporte rien à la sécurité du système de vote lui-même.

[MiaowZedong]

LE problème des outils de vote électronique ne peut pas totalement être résolu. Même si le logiciel est open-source et minutieusement contrôlé, reste le problème que je ne peux être sur que la machine que j'utilise contient bien ce logiciel et ne possède pas de faille hardware. Et je suis un ingénieur informatique, or le vote doit pouvoir être vérifiable par n'importe qui.

Une urne transparente est très facilement contrôlable par n'importe qui.

Certes, mais il faut aussi en contrôler le dépouillement, puis la centralisation et totalisation des résultats

[Steinvikel]

LE problème des outils de vote électronique ne peut pas totalement être résolu. (...) je ne peux être sur que la machine que j'utilise contient bien ce logiciel et ne possède pas de faille hardware. (...) - entièrement d'accord -
Une urne transparente est très facilement contrôlable par n'importe qui.

Une urne transparente oui (et son dépouillement également), le reste du système de centralisation des votes ...non. =/
Rien que le fait de regarder les écrans de PC des gens qui centralisent les résultats des bureaux de votes est "interdit" ...le discours que l'on ma tenu s'est qu'ils sont en relation écrites via chat, mail et réseaux sociaux, avec leur partis politiques et les instances de votes, et que ce qui s'y raconte est de l'ordre du privé et du secret. =,=' (indigné)
résultat quand bien même on est présent dans un bureau de vote, il n'est même pas possible de vérifier que le score qui a été transmit est bien la somme comptabilisé publiquement dans le bureau de vote.

Si ça c'est pas un paradoxe ou une anomalie majeure !
J'ai jamais compris pourquoi il y avait interdiction de révéler les résultats au fur et à mesure de leur comptage... on a bien le résultat des iles un jour avant... qu'est-ce que ça peux bien faire de suivre une progression de résultat quand tout les bureaux de votes on cessé de récolter des bulletins ? on est bien d'accord, rien ?

on a un vrai problème de transparence dans notre système actuel.

Je dirais que si ton ticket électronique affiche un numéro unique, non corrélé à ton identité ni à ton vote (UUID affiché avant de donner la moindre info), et que l'ensemble des votes sont recensés avec ces numéros uniques sur un site officiel publique, tu peux confirmer que le site a recensé ton vote (UUID présent) correctement (valeur du vote associé à l'UUID).

...et même là, tu peux être tracé suivant la méthodologie :
ex1) "entrer l'UUID du bulletin à consulter" > tu le rentre et tu valide > tu visionne le bulletin et il correspond.
la plateforme enregistre le profilage /fingerprinting /id_publicitaire ...associé au bulletin recherché --> maintenant on connais l'auteur du bulletin avec une certitude non négligeable.
...pire, on lui demande de s'authentifier avant faire sa requête, bref, il y a des tas de mise en oeuvre débiles à lister.
la meilleure serait de télécharger les résultats COMPLETS une simple liste des dizaines de millions d'UUID associés à leurs bulletins, et assurer que les UUID sont délivrés pseudo-aléatoirement (complètement c'est pas possible, il faut éviter les doublons). Et ensuite faire soit même la recherche de l'UUID dans cette liste (ctrl + f).

On pourrait critiquer la possibilité de réutiliser le même UUID pour plusieurs votes, mais cela se verrait dès que deux votes différents sont faits avec le même UUID (...)

Je ne pense pas avoir bien saisi ton cheminement... si les UUID sont réutilisés, cela ne pose absolument aucun problème du moment que c'est sur un autre vote (une autre élection, un autre tour, etc.) --> l'UUID étant attribué aléatoirement, il n'y a aucune garantie d'être attribué à la même personne. --> UUID à réaffecter après chaque résultat.

On ne devrait pas avoir besoin que les systèmes intermédiaires soient auditables : un test unique de bout en bout devrait suffire. Donc que ce soit de l'open source ou pas n'apporte rien à la sécurité du système de vote lui-même.

J'avoue que le concept m'est plutôt obscure : comment garantir que le système est inviolable, ou à minima, suffisamment robuste, sans pouvoir auditer chaque partie qui le compose ?
Il serait alors difficile d'en lister toutes les potentielles attaques pour le tester.
Je me trompe ?

[Uther]

Certes, mais il faut aussi en contrôler le dépouillement, puis la centralisation et totalisation des résultats

N'importe qui peut se porter volontaire pour contrôler le dépouillement, et les résultats officiels sont publiés par bureau de vote pour que la centralisation puisse être contrôlée.

J'ai jamais compris pourquoi il y avait interdiction de révéler les résultats au fur et à mesure de leur comptage... on a bien le résultat des iles un jour avant... qu'est-ce que ça peux bien faire de suivre une progression de résultat quand tout les bureaux de votes on cessé de récolter des bulletins ? on est bien d'accord, rien ?

L'idée est de ne pas fausser l'élection en entrainant une sur-mobilisation d'une partie de l'électorat qui n'aurait pas voté mais qui se déplace pour favoriser ou s'opposer à un candidat placé a une position ou on ne l'attendait pas.

le fait de regarder les écrans de PC des gens qui centralisent les résultats des bureaux de votes est "interdit" ...le discours que l'on ma tenu s'est qu'ils sont en relation écrites via chat, mail et réseaux sociaux, avec leur partis politiques et les instances de votes, et que ce qui s'y raconte est de l'ordre du privé et du secret. =,=' (indigné)

C'est pas vraiment un problème, vu que les chiffres transmis par le bureau de vote sont officiellement publiés. Et comme ils sont généralement repris dans la presse, c'est facile de vérifier que les chiffres annoncés dans le bureau de vote correspondent aux chiffres publiés.

[Matthieu Vergne]

...et même là, tu peux être tracé suivant la méthodologie :
ex1) "entrer l'UUID du bulletin à consulter" > tu le rentre et tu valide > tu visionne le bulletin et il correspond.
la plateforme enregistre le profilage /fingerprinting /id_publicitaire ...associé au bulletin recherché --> maintenant on connais l'auteur du bulletin avec une certitude non négligeable.
...pire, on lui demande de s'authentifier avant faire sa requête, bref, il y a des tas de mise en oeuvre débiles à lister.
la meilleure serait de télécharger les résultats COMPLETS une simple liste des dizaines de millions d'UUID associés à leurs bulletins, et assurer que les UUID sont délivrés pseudo-aléatoirement (complètement c'est pas possible, il faut éviter les doublons). Et ensuite faire soit même la recherche de l'UUID dans cette liste (ctrl + f).

Aucune entrée n'est nécessaire. Les numéros sont dans l'ordre croissant pour une recherche manuelle évidente. Un simple coup d’œil doit suffire, nul besoin d'outil. Si je t'imprime la liste sur papier, ça doit être aussi facile : tu tourne les pages jusqu'à ce que le premier numéro soit trop grand, puis tu retrouves ton numéro sur la page d'avant.

Comme tu le dis, ce sont des méthodes débiles : la liste est publique, nul besoin d'outil pour y accéder. Et certainement pas de s'authentifier, qui irait à l'encontre même du principe de l'UUID aléatoire.

Je ne pense pas avoir bien saisi ton cheminement... si les UUID sont réutilisés, cela ne pose absolument aucun problème du moment que c'est sur un autre vote (une autre élection, un autre tour, etc.) --> l'UUID étant attribué aléatoirement, il n'y a aucune garantie d'être attribué à la même personne. --> UUID à réaffecter après chaque résultat.

Je parlais d'une réutilisation au sein d'une même élection.

J'avoue que le concept m'est plutôt obscure : comment garantir que le système est inviolable, ou à minima, suffisamment robuste, sans pouvoir auditer chaque partie qui le compose ?
Il serait alors difficile d'en lister toutes les potentielles attaques pour le tester.
Je me trompe ?

Pour valider que ton vote soit pris en compte correctement, il faut un test de bout en bout. Auditer les étapes intermédiaires n'a aucun intérêt.

Si tu veux valider la préservation du secret, il te faut auditer le point d'entrée : celui-ci ne doit pas prendre plus d'information que l'UUID et le vote à lui associer. S'il prend par exemple une identité, alors il te faut pouvoir auditer tous ce qu'il y a derrière au moins jusqu'à l'endroit où l'identité est effacée. Pour le reste, tu t'en fiche complètement, ce n'est qu'un dispositif de traitement d'informations qui seront de toute façon rendue publique à la fin. C'est le test de bout-en-bout qui valide que la chaine de traitement a bien amené l'information du début à la fin sans la corrompre. Peu importe que ce soit par une urne, par internet, ou par pigeon voyageur.