STAR-Vote: savoir-faire de l’UCLouvain au service du vote électronique texan

Article
Par · 20/08/2014

STAR-Vote est un projet de système de vote électronique développé conjointement par le bureau électoral du comté de Travis, près d’Austin au Texas, et plusieurs universités: la Rice University, l’Université de Californie à Berkeley et, seul participant non-américain au projet, l’UCLouvain.

Le Comté de Travis (région d’Austin, au Texas) compte environ un million d’habitants. Quelque 390.000 électeurs se sont présentés devant les urnes lors des élections présidentielles de novembre 2012.

Le comté texan désirait en effet moderniser le système de vote existant. Après avoir eu recours, avant 2001, à un système de lecture optique, le comté était passé à la solution de vote informatisé eSlate de Hart InterCivic. A l’usage, le système avait donné toute satisfaction (“pas d’ambiguïté de vote, interface conviviale, résultats rapides”) mais avait malgré tout soulevé quelques inquiétudes en matière de sécurité. Résultat: certaines versions n’avaient plus été certifiées. L’eSlate était par ailleurs arrivé en fin de vie. Aucune solution alternative existant sur le marché américain n’ayant été jugée intéressante par les responsables du bureau électoral du comté, il fut décidé de plancher sur le développement d’un système entièrement nouveau. Un comité prit forme, réunissant les responsables du Comté, des chercheurs universitaires (dont Olivier Pereira, co-directeur du Crypto Group de l’UCLouvain, le seul non-Américain de la bande) et un chercheur de Microsoft Research, agissant à titre quasi personnel (il a pris un congé de chez Microsoft pour pouvoir participer aux travaux) et à titre d’expert en vote électronique.

L’eSlate est un système de type DRE (Direct-Recording Electronic). Il se compose d’un écran flanqué d’un petit disque mobile que l’électeur actionne pour sélectionner son candidat. Il confirme ensuite son choix en appuyant sur un bouton.
Le système est connecté à un système de contrôle (le “Judge’s Booth Controller”) qui enregistre et stocke les votes. Pour pouvoir voter, chaque électeur se voit attribuer un code d’accès, généré aléatoirement par le système de contrôle. Les votes sont stockés en mémoire flash, qui fait office d’urne mobile, transportée ensuite vers le site de dépouillement.

Pourquoi l’UCL?

Les autorités texanes semblent avoir été intéressées par le déploiement grandeur nature (4.000 électeurs participants) auquel l’UCL a procédé, dès mars 2009, en confiant une élection interne (celle de son recteur) à un système électronique qualifié d’“universellement vérifiable”, c’est-à-dire “ne dépendant pas de tiers, d’organisateurs ou de concepteurs du système”.

“Dans le cas d’une élection papier ou informatique traditionnelle, l’électeur est contraint de faire confiance aux assesseurs ou à la boîte noire qu’est l’ordinateur.”

La solution mise au point par l’équipe des professeurs Jean-Jacques Quisquater et Olivier Pereira se base elle-même sur un développement antérieur. A savoir, la solution Helios développée conjointement par Olivier Pereira et Ben Adida, membre du Center for Research on Computation and Society (Université de Harvard). Helios est un système de vote entièrement électronique (sans recours au papier à un quelconque stade du processus de vote) qui a été conçu avec l’intention spécifique de garantir un contrôle de l’authenticité du vote, en permettant à chaque électeur de vérifier le bon déroulement de chacune des étapes du processus (enregistrement, transfert, décompte). Très tôt, Helios a été remarqué sur le marché, décrochant diverses récompenses, dont une décernée à l’occasion d’un “Electronic Voting Technology Workshop” organisé à Montréal en août 2009.

Le projet Helios a d’ailleurs connu une suite commerciale. Dès 2008, à la spin-off BlueKrypt, créée en 2008, avait commencé par du simple conseil en sécurité. Après l’élection du recteur à l’aide du système Helios, la jeune pousse a intégré la solution d’e-vote à son catalogue et l’a adaptée afin de la rendre utilisable dans divers contextes (élections sociales de 2012, désignation de conseils d’administration en entreprises…)

Un système sur-mesure

Le comté texan avait des exigences et attentes spécifiques. “Le processus de maturation du vote électronique, aux Etats-Unis, repose sur des motivations quelque peu différentes de chez nous. Parmi les exigences texanes,” explique le professeur Olivier Pereira, “il y avait la nécessité de permettre à tous les votants, en ce compris des personnes aveugles ou souffrant de difficultés de manipulation d’un crayon, par exemple, de participer à une élection. Par ailleurs, les Américains votent directement pour toute une série de postes, pas exclusivement politiques- les juges, les sheriffs… La diversité de bulletins papier peut donc rapidement devenir un souci.” Un problème que la dématérialisation des bulletins et la possibilité de charger diverses listes dans un système électronique permettent de résoudre.

Olivier Pereira (UCLouvain): “Comme beaucoup dans la communauté académique, je ne considère pas que le tout-électronique soit recommandé pour des élections politiques. Combiner électronique et papier permet de garantir que la machine ne ‘trichera’ pas.”

Mais cela ne veut pas dire que le papier disparaît pour autant du scénario. Bien au contraire, il a été considéré, dans le cadre du projet STAR-Vote, comme complément indispensable au processus électronique.

“Helios était un système de vote purement électronique, sans papier. Comme beaucoup dans la communauté académique, je ne considère pas que le tout-électronique soit recommandé pour des élections politiques”, souligne le professeur Olivier Pereira. “Combiner électronique et papier permet de garantir que la machine ne ‘trichera’ pas.”

Les autres contraintes posées comme préalables par les autorités texanes portaient sur l’authenticité des résultats et la confidentialité des votes, une centralisation de la base de données, permettant à chacun de voter dans le bureau de son choix, et un coût “raisonnable”. Les développements se sont donc effectués afin de permettre une implémentation sur du matériel informatique standard.

“Les contraintes logicielles du système ont été dissociées de celles de support matériel, dont le coût est souvent prohibitif”. Les observateurs estiment en effet que du matériel de vote spécifique (les fameuses “machines à voter”, qui ne servent que pour ce seul exercice) est généralement au minimum trois fois plus onéreux que du matériel “off the shelf”. Non seulement le matériel, en lui-même, peut être plus onéreux mais sa maintenance fait souvent exploser les budgets. Sans compter que l’utilisateur se retrouve souvent pieds et poings liés à un seul fournisseur, qui cadenasse son contrat pour justifier son rôle.

Un vote “intégralement vérifiable”

La sécurité et la vérifiabilité du vote constituaient un gros chapitre du cahier de charges STAR-Vote. A commencer par un système de vote off-line (pas de connexion Internet) et le recours à une infrastructure câblée (pas question de connexion sans-fil).

Des retombées pour l’UCLouvain?

Olivier Pereira ne s’attend pas à des retombées “sonnantes et trébuchantes” de la participation de l’UCLouvain au projet STAR-Vote. “Nos contributions prennent essentiellement la forme de logiciels libres, de publications académiques et de compétences et développements cryptographiques. En crypto, si l’on veut associer un brevet, cela veut souvent dire que la solution ne sera pas utilisée… Le retour que l’on peut donc attendre du projet STAR-Vote se définit davantage en termes de renommée académique et de reconnaissance d’un savoir-faire.”

Avec l’espoir, malgré tout, de pouvoir évangéliser les avantages d’une solution de vote hybride (mi-électronique/mi-papier) auprès des autorités locales belges…

Le comité de développement du projet, s’appuyant notamment sur les compétences en cryptographie de l’UCLouvain, a dès lors mis au point une série de techniques – mathématiques, statistiques et cryptographiques. Via recours à des mécanismes statistiques, il sera par exemple possible de vérifier la validité du dépouillement par échantillonnage aléatoire. “Il sera ainsi possible de piocher, au hasard, quelques centaines de bulletins, pour vérifier que le décompte final est exact. Sans devoir recompter des millions de bulletins…”, indique Olivier Pereira.

Côté protection du vote proprement dit, STAR-Vote mettra en oeuvre diverses techniques cryptographiques. La non-répudiation du vote sera par ailleurs garantie par la trace papier qui l’accompagne systématiquement (voir ci-dessous). “La dimension papier, que nous avons donc ajoutée au scénario que proposait Helios, a une dimension de permanence et de tangibilité utile pour le votant”, souligne Olivier Pereira. “Il lui permet de vérifier que le vote enregistré par la machine correspond bien à son intention. Cela complète parfaitement les avantages du vote électronique.”

Comment ça marche?

La solution – un logiciel disponible en open source – met en oeuvre des techniques cryptographiques évoluées (chiffrement homomorphe, basé sur clés publiques), garantes de la confidentialité du vote et qui procurent en outre une “preuve mathématique du traitement correct de l’élection.”

Pour le dépouillement, le processus de décryptage ne peut se faire que moyennant recours à plusieurs clés privées indépendantes.

A l’issue de son vote, chaque électeur reçoit un numéro de suivi ou de traçage (“tracking number”). Chaque vote déclenche en effet un processus d’impression: l’imprimante délivre un document en deux parties. L’une est un bulletin de vote “lisible par l’électeur” et qui sera glissé dans une urne (à des fins de preuve ou duplicat du vote purement électronique – le “double” papier servira notamment pour vérifier, par échantillonnage statistique, l’exactitude des décomptes).

L’autre partie du document imprimé fait office de “reçu”. “Il comporte en quelque sorte l’empreinte digitale du vote”, déclare Olivier Pereira. Cette “empreinte”, non intelligible en soi, consiste en une séquence unique de lettres et de chiffres, qui servira de clé de vérification en cas de besoin. La vérification pouvant être opérée aussi bien par les autorités, des observateurs indépendants que par l’électeur.

Voilà ce à quoi pourrait ressembler le “reçu” que recevra l’électeur texan comme preuve et moyen de vérification de son vote. Avec ou sans QR code (la décision doit encore être prise).

Au moment du dépouillement, le système publie en effet, sur un site Internet, la liste complète de tous les “numéros de suivi” (“tracking numbers”) émis, afin que chaque votant (ou un tiers) puisse éventuellement vérifier l’authenticité de la procédure. Il pourra ainsi vérifier que la séquence personnelle qui a été attribuée à son vote figure bel et bien dans la liste de tous les bulletins de vote ayant été pris en compte et que le résultat annoncé concorde bien avec la liste de bulletins.

Dans le cas texan, la décision finale n’a pas encore été prise d’ajouter, en plus de cette séquence de chiffres et de lettres, un code QR qui aurait le même objectif (mais qui serait lisible, “décryptable”, par simple lecture via smartphone ou tablette). “La décision finale de recourir à ces deux traces n’a pas été prises. Peut-être un test sera-t-il effectué, la première année, et la solution pourra éventuellement être adaptée en fonction de la réaction des votants”.

Une autre étape de vérification de l’intégrité des votes intervient à la fin de l’élection. Qualifiée de “risk limiting audit”, la vérification consiste à vérifier, de manière statistique, qu’il y a bel et bien concordance entre les bulletins papier et le résultat annoncé. “La concordance entre les urnes papier et électronique est vérifiée par la sélection aléatoire de bulletins dans les deux urnes et par la vérification de leur concordance. Pour ce faire, des techniques cryptographiques sont à nouveau employées pour s’assurer que la confidentialité des votes est maintenue”, explique Olivier Pereira.

Où en est aujourd’hui le projet STAR-Vote?

La phase de conception est “pratiquement bouclée”. L’appel d’offres pourrait être lancé à l’automne. Impossible de prédire aujourd’hui s’il sera limité à des fournisseurs ou prestataires américains…