|
| From: | Xavier Roche |
| Subject: | [Fsfe-france] Re: Quelques elements supplementaires sur le vote electronique verifie |
| Date: | Thu, 11 Nov 2004 11:44:42 +0100 |
| User-agent: | Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.3) Gecko/20040910 |
David MENTRE wrote:
Il y a moyen de *prouver mathématiquement* qu'un code est sans bogue, oui, avec du logiciel libre. Question classique : est-ce que je peux avoir confiance dans un compilateur, un assistant de preuve, un OS ?
Oui, je suis persuadé que l'on peut. De même que l'on peut "prouver" qu'un système ABS est sans failles ou bogues, prouver qu'un système de pilotage d'un engin spatial ne va pas provoquer d'erreurs de pilotage, qu'un système de régulation de centrale nucléaire est fiable etc. C'est sûr car le constructeur, une fois qu'il a un système fiable, ne va pas s'amuser à le changer au dernier moment.
Mais ici on est dans un cas plus fondammental: le problème de confiance ne dépend pas de la fiablité technique, mais de la confiance que l'on peut mettre dans les acteurs qui organisent le scrutin. C'est une question de confiance "humaine".
En clair: un fabriquant peut très bien avoir un système de vote fiable, mais qu'il pourra truquer pour X raisons (argent, idéologie, chantage).
Stallman disait qu'un système de vote, même reposant sur du libre, ne pouvait pas être sûr, car on ne peut savoir si les machines, au final, comporteront exactement les composants "validés". Le fabriquant, les techniciens de maintenance, beaucoup de monde peut modifier la machine et la truquer durant le scrutin.
Les composants électroniques, par exemple, se comporteront de manière légèrement différente en temps de scrutin. Il suffit de modifier de quelques % les résultats dans des secteurs clés, comme cela a peut être été le cas récemment aux Etats Unis, et le tour est joué. Pendant la guerre froide, les USA faisaient -parait-il- en sorte d'exporter des microprocesseurs "buggés" vers les pays soviétiques. De temps en temps, des erreurs de calcul, infimes, discrètes, étaient générées. Au final, des calculs scientifiques pouvaient être faussés, les fusées pouvaient s'écraser, etc.
La fraude, la malhonnêteté, la tricherie, le cynisme, tout cela est parfaitement naturel. Parfaitement humain. Mais lors d'un scrutin papier, tout le monde peut procéder à des vérifications. J'ai souvenir de certaines municipalités communistes que je ne citerai pas qui voyaient d'un très mauvais oeil le fait d'avoir des observateurs de l'opposition dans les bureaux de dépouillement - le bourrage des urnes était ainsi quasi impossible. De même, aujourd'hui, quand un vote est truqué en Biélorussie (voir en Ukraine ..), les observateurs ne sont pas dupes. Parce que les procédures manuelles sont entâchées d'irrégularités assez graves pour justifier la nullité du scrutin. Personne n'est dupe.
Demain, avec le vote électronique, la grosse société X jurera la main sur le coeur que "tout c'est bien passé" grâce à ses systèmes "infaillibles". Les observateurs observeront des boites noires qui enregistreront effectivement les votes. Tout se déroulera sans accros. Et au final, on fera confiance au système pour digérer les résultats.. ou pas. Le vote pourra être trafiqué pendant (truquage par bureaux), ou après (décompte final), et tout le monde n'y verra que du feu.
Bien sûr, pour le vote, on aura des experts chargés de vérifier le bon déroulement du scrutin. Des experts de la même société qui mettra en place les machines, ou d'une société concurrente. Des experts corruptibles ou pas, de toute manière il y aura mille et une manières de trafiquer un système aussi complexe. Sans même avoir besoin d'aller jusqu'aux composants électroniques.
Demandez à un admin d'une organisation "exposée" ce qu'il doit faire en cas d'intrusion constatée après coup sur une machine. Réponse: démontage des disques, flashage des eproms de la carte mère, et réinstallation complète. Parce que les binaires ont très bien pu être modifiés pour rendre invisible un cheval de troie, ou même le noyau lui même. Pire, le BIOS peut avoir été flashé sur la carte mère (certaines virus se contentent de l'effacer, mais le modifier serait également possible) pour planquer un code quelconque (c'est fou ce qu'on peut faire en assembleur avec quelques kilos-octets - les premiers virus, qui parazitaient les vecteurs disque, résistaient au reset, se reproduisaient tranquillement et faisaient planter une machine, et tenaient sans problèmes sur 480 octets). Et tout ça, sans accès physique à la machine ou à ses composants.
Bref trop de risques. On peut rendre un code non buggé, "sécurisé". Mais cela ne rendra pas les gens honnêtes dans le même temps. En crypto, un des principes pour analyser un système, c'est de considérer le milieu comme "hostile" - c'est à dire de considérer que tout composant extérieur, ou acteur, est suspect. D'être parano. Etre vraiment parano a ici un avantage: éviter toute surprise. "Only the paranoid survive" (Andy Grove)
--- Xavier Roche roche at httrack dot com
| [Prev in Thread] | Current Thread | [Next in Thread] |