Accueil
Blog
Cybersécurité

Vote électronique et vérifiabilité de bout en bout

Femme utilisant un ordinateur portable pour illustrer la vérification de bout en bout du vote électronique
Télécharger le livre électronique
Nous vous remercions ! Nous espérons que vous l'apprécierez !
Oups, quelque chose ne va pas, nous ne pouvons pas télécharger l'ebook.

Lorsque l'on évoque le vote électronique, on pense rapidement aux élections présidentielles : troquerons-nous un jour l'enveloppe papier contre notre téléphone portable ? 

Le vote électronique dans différents domaines et avec différents champs d'application

Mais en réalité, le vote électronique est appliqué dans de nombreux autres domaines, principalement privés, tels que les assemblées d'actionnaires, les assemblées de propriétaires, les élections syndicales, les élections et les assemblées de clubs sportifs, d'associations professionnelles et d'universités. 

En outre, les systèmes de vote électronique ont des portées différentes et vont des dispositifs de vote utilisés lors des élections dans des pays tels que le Brésil ou les États-Unis aux outils de vote électronique basés sur l'internet qui couvrent l'ensemble de la chaîne de valeur de l'événement électoral, de l'inscription des électeurs au dépouillement des résultats et à leur vérification ultérieure.

En fonction du type d'événement et de la catégorie de système de vote électronique appliquée, le vote devra respecter des conditions minimales plus ou moins strictes. Par exemple, lors d'une assemblée générale ou d'une réunion d'actionnaires, le vote n'est généralement pas secret. La technologie du vote électronique pour ces événements est donc beaucoup plus simple en termes de cryptographie. Cependant, comme il s'agit d'événements où le temps est très limité, la convivialité de la solution de vote électronique appliquée doit être excellente, afin que des centaines ou des milliers de personnes puissent voter en quelques secondes sans incident. Et, si l'événement est en ligne ou hybride, l'identité des votants doit également être dûment garantie.

Qu'est-ce que la vérifiabilité de bout en bout et quand s'applique-t-elle ?

Le vote électronique vérifiable de bout en bout s'applique aux votes pour lesquels le secret du vote est une condition nécessaire, principalement les élections. 

La vérifiabilité de bout en bout des systèmes de vote électronique fait référence à la capacité de maintenir le secret du vote à partir du moment où l'électeur vote sur son appareil jusqu'à ce que le vote soit dépouillé. Les systèmes vérifiables de bout en bout permettent en outre aux électeurs et aux auditeurs externes de valider que le décompte est correct sans révéler le sens du vote de l'électeur. Ces deux propriétés apparemment incompatibles, la traçabilité et l'anonymat du vote, sont rendues possibles par une combinaison complexe de technologies basées sur la cryptographie. 

La bonne nouvelle est que vous n'avez pas besoin de connaître en détail le fonctionnement de ces technologies, car il existe des organismes de certification accrédités qui vérifient pour vous si les fournisseurs de services de vote électronique respectent ces mesures. La mauvaise nouvelle est que la plupart des fournisseurs ne respectent pas ces exigences et que certains ont même falsifié leurs certifications. Il est donc important d'apprendre à distinguer le bon grain de l'ivraie.

Vote électronique fiable et sécurisé

La cybersécurité est l'un des aspects les plus importants d'un système de vote électronique. Mais le concept de cybersécurité est très large. Une attaque qui révèle la liste des noms des électeurs (violation de la confidentialité) n'a pas le même impact qu'une attaque qui révèle le signe de vote de chaque électeur (violation de l'anonymat). De même, un système qui tombe en panne pendant quelques minutes (défaut de disponibilité) n'a pas le même impact qu'un système qui permet au vote d'avoir lieu (défaut d'intégrité). Si un attaquant se fait passer pour un électeur (défaut d'authenticité), les conséquences seront plus graves si l'attaque ne peut être identifiée et corrigée à temps (défaut de traçabilité). 

La confidentialité, l'intégrité, la disponibilité, l'authenticité, la traçabilité et l'anonymat sont les 6 caractéristiques auxquelles le système de gestion de la sécurité de l'information du fournisseur doit prêter attention. Il existe des normes telles que l'ISO 27001 ou l'ENS (National Security Scheme) - qui, dans sa catégorie élevée, est encore plus exigeante que l'ISO - qui établissent les minima auxquels un fournisseur doit se conformer pour garantir ces caractéristiques. 

Pour s'assurer que les certifications de votre fournisseur sont valides et non contrefaites :

  1. Vérifier que l'organisme de certification a inscrit le fournisseur de services de vote électronique sur son site web (par exemple, AENOR, Adok ou Applus). 
  2. Vérifiez ensuite que l'organisme certificateur est accrédité par l'ENAC (l'organisme du ministère de l'industrie chargé de veiller à la qualité de ces audits) pour délivrer ces certifications et qu'il figure sur son site internet. 

Le vote électronique sécurisé dès sa conception

Parmi les six piliers de la cybersécurité évoqués ci-dessus, le plus sensible est l'anonymat. C'est pourquoi la vérifiabilité de bout en bout est si importante. Dans un système vérifiable de bout en bout, le vote est chiffré de manière irréversible sur l'appareil de l'électeur avant d'être envoyé aux serveurs du fournisseur. Ainsi, même si un attaquant parvient à briser tous les systèmes de sécurité du fournisseur, il lui est mathématiquement impossible de révéler le signe de vote de chaque électeur. Par conséquent, outre les certifications, il est très important que vous vérifiiez que votre fournisseur applique correctement cette norme. 

Les systèmes vérifiables de bout en bout sont considérés comme sûrs de par leur conception. En d'autres termes, quelles que soient les mesures de sécurité du fournisseur, ces systèmes garantissent que l'anonymat du vote est préservé même dans un scénario de catastrophe absolue où tout le reste a échoué.

Qu'est-ce qui peut se passer si nous choisissons le mauvais fournisseur ?

La plupart des solutions de vote électronique destinées au secteur privé ne remplissent pas certaines des conditions expliquées dans ce billet : disposer d'un système vérifiable de bout en bout et être audité par une entité de certification accréditée. Mais quelles peuvent être les conséquences de l'utilisation de l'un de ces systèmes bon marché?

Supposons que votre club sportif utilise le vote électronique pour ses élections. Mais au lieu de faire appel à un fournisseur disposant d'un système vérifiable de bout en bout et audité par un organisme de certification accrédité, vous optez pour une société à la crédibilité douteuse qui crypte les votes une fois qu'ils atteignent votre serveur, mais pas avant. Au milieu du processus électoral, alors que les bureaux de vote sont encore ouverts, le président du club est tenté de vérifier les résultats pour voir s'il doit redoubler d'efforts pour mobiliser sa base. Comme le système n'est pas vérifiable de bout en bout, en théorie, un employé du fournisseur de services de vote électronique pourrait accéder aux résultats à l'avance pour en informer le président. 

Cette situation ne doit pas nécessairement être une situation de fait. Les fournisseurs à bas prix, bien que moins sûrs, ne doivent pas être moins honnêtes ou moins responsables. Mais le simple fait de soupçonner qu'une telle chose puisse se produire pourrait amener un électeur à contester le processus. Et si le fournisseur de vote électronique n'est pas en mesure de démontrer que son système est sécurisé de par sa conception, le vote pourrait être annulé par un juge, avec tous les coûts monétaires et de réputation que cela implique. La situation pourrait être encore pire si un pirate parvenait à intercepter les votes avant qu'ils ne soient cryptés.

La fin du vote par correspondance

Chez Kuorum, nous organisons des votes en ligne vérifiables de bout en bout depuis 2013 avec une technologie auditée en ISO 27001 et ENS Alto. Cette technologie garantit les 6 piliers de la sécurité du vote expliqués dans ce billet. De plus, les mécanismes anti-coercition de notre logiciel de vote électronique sont déjà plus sûrs que ceux du vote par correspondance. C'est pourquoi des associations professionnelles, des clubs et fédérations sportives, des entreprises et des associations du monde entier nous font confiance. Si vous souhaitez obtenir plus d'informations sur nos services , n'hésitez pas à nous contacter sans engagement.

Partager
Articles recommandés
Voir tous
Mécanismes anti-coercition pour le vote électronique
Cybersécurité
Mécanismes anti-coercition pour le vote électronique
7 août 2024
4
min lire
Vote électronique et vérifiabilité de bout en bout
Cybersécurité
Vote électronique et vérifiabilité de bout en bout
5 août 2024
7
min lire
La cybersécurité pour les entreprises - comment protéger les informations
Cybersécurité
La cybersécurité pour les entreprises - comment protéger les informations
22 mars 2023
4
min lire
Réserver une démo

Planifier une démonstration de produit de 30 minutes avec nos experts

Numéro valide
Nous avons reçu votre message !
Nous vous contacterons dans les plus brefs délais.
Oups, quelque chose ne va pas, le formulaire ne peut pas être soumis.
Les roses sont rouges, les violettes sont bleues et les sites web comme celui-ci utilisent des cookies pour améliorer l'expérience de l'utilisateur. Si vous continuez, nous comprenons que vous avez pris connaissance de notre politique en matière de cookies et que vous en acceptez l'utilisation.
Configurer les cookiesAccepter