REPUBLIQUE
ET CANTON
DE GENEVE

 

Ge.ch > Thèmes > Citoyenneté > Votations - Elections > Votations > E-Voting > Différentes approches Sécurité

DiffÉrentes approches · SÉcuritÉ

LA SECURITE DU VOTE PAR INTERNET

• Un modèle, le local de vote
• Les conditions de sécurité
  • 1. Les suffrages exprimés électroniquement ne doivent pas pouvoir être interceptés, modifiés ou détournés.
  • 2. Le contenu des suffrages exprimés électroniquement ne doit pas pouvoir être connu par des tiers avant le dépouillement.
  • 3. Seules les personnes ayant le droit de vote doivent pouvoir prendre part au scrutin.
  • 4. Chaque électeur ne dispose que d'une voix et ne peut voter qu'une seule fois.
  • 5. En aucun cas, même pendant le dépouillement, il ne doit être possible de faire un lien entre un électeur et son suffrage.
  • 6. Le site doit être en mesure de résister à une attaque en déni de service pouvant aboutir à la saturation du serveur.
  • 7.L'électeur doit être protégé contre toute tentative de vol d'identité.
  • 8. Le nombre de votes émis doit correspondre au nombre de votes reçus, toute différence doit pouvoir être expliquée et corrigée.
  • 9. La preuve qu'un électeur a voté doit pouvoir être faite.
  • 10. Le système n'accepte pas de vote électronique en dehors de la période d'ouverture du scrutin électronique.
  • 11. Le bon fonctionnement du système doit pouvoir être vérifié par les autorités désignées à cet effet.
• Conclusion
  
  

UN MODÈLE, LE LOCAL DE VOTE

Depuis l’introduction du vote secret, au 19e siècle, la question de la sécurité - entendue comme contrôle de la qualité d’électeur, garantie de l’anonymat et du secret du vote, décompte transparent et transcription fidèle de la volonté populaire - est au cœur des préoccupations des autorités chargées d’organiser les scrutins. Le local de vote dans sa forme actuelle reflète ce souci. Sa disposition intérieure est pensée pour protéger l’anonymat et le secret ; les bulletins de vote sont aussi simples et lisibles que possible ; les règles d’interprétation qui leur sont applicables visent par exemple ceux portant une marque distinctive (non-respect de l’anonymat du votant) ou qui ne transcrivent pas clairement la volonté de l’électeur (mauvais prénom pour un candidat ou mélange de prénoms et patronymes de divers candidats, par exemple).

A l’image de l’unité de lieu, de temps et d’action prônée par la tragédie classique, le local de vote réunit en un lieu unique l’identification des électeurs, le vote et le décompte des bulletins. Ces trois opérations cruciales pour la bonne tenue d’un scrutin ont lieu dans un périmètre totalement contrôlé par l’administration, souvent aidée ou contrôlée par des représentants des partis politiques qui s’assurent de sa neutralité.

L’enjeu du vote électronique est de maintenir ce périmètre contrôlé, c’est-à-dire de ne pas affaiblir les garanties offertes aux citoyens.

A cet égard, et malgré les apparences, les machines à voter introduisent une vulnérabilité importante dans le dispositif. Bien que ces machines soient disposées dans les locaux de vote, leur nombre rend problématique un audit préalable et fouillé de chacune d’elle. Peut-on en outre trouver pour chaque local de vote du personnel formé et compétent pour opérer ces machines sans erreur ? Poser la question c’est déjà y répondre. Ainsi, bien qu’elles s’inscrivent dans un périmètre géographique contrôlé - le local de vote - ces machines diminuent la maîtrise que détient l’administration sur les opérations de vote.

Qu’en est-il du vote par internet ? L’existence d’une seule « unité centrale » (en réalité plusieurs serveurs coordonnés) permet de recréer un périmètre contrôlé. A Genève, ces serveurs sont installés dans la salle informatique la plus sûre de l'Etat, dans les sous-sols du Nouvel Hôtel de Police. L'accès physique aux serveurs est très contrôlé et seul un petit nombre de techniciens est habilité à pénétrer dans ce local. L'accès par le réseau est quant à lui limité à une seule entrée via une fibre optique particulière qui constitue le seul lien avec le web. Ce lien est uniquement activé durant les scrutins.

Un challenge posé à l’utilisateur qui se connecte permet de vérifier sa qualité d’électeur. La garantie de l’anonymat et du secret du vote ainsi que la transparence du décompte renvoient à l’architecture du système et aux procédures qui sont décrites ci-dessous.

A défaut de pouvoir contrôler le réseau, l’Etat crypte les données de telle manière qu’elles sont illisibles et inutilisable par un tiers, quel qu’il soit. Ce cryptage, inviolable, repose sur des algorithmes commandés par des nombres aléatoires purs, générés par une machine quantique.

Reste un « acteur » hors du périmètre contrôlé : le PC de l’électeur. Il existe plusieurs manières de le maîtriser. Genève a choisi d’étendre un applet java sur le PC des électeurs, à l’ouverture de la session de vote. Cet applet reste sur le serveur de vote (il n’est pas téléchargé au sens propre du terme) et ne quitte donc jamais le périmètre contrôlé. Ce petit programme vérifie l’exécution de la transaction de vote, crypte les données qui circulent sur le réseau et empêche les virus ou chevaux de Troie qui se trouveraient le cas échéant dans le PC de l’électeur d’effectuer leur sale besogne, que ce soit l’invalidation du vote ou l’espionnage quant à son contenu. Parmi ses fonctions, cet applet protège donc aussi le droit de vote des utilisateurs du vote en ligne, car il prévient la manipulation qui rendrait un vote illisible et donc invalide.

Il est dès lors possible de dire que le vote par internet a recréé le modèle du local de vote, en reproduisant malgré la distance le contrôle des autorités électorales sur un ensemble de procédures essentielles et en permettant le contrôle populaire par délégation sur le décompte des suffrages. En cela, le vote par internet est sensiblement plus sûr que l’autre canal de vote à distance, le vote postal, qui n’offre par exemple pas de garantie que le vote envoyé est effectivement reçu ni compté.

Cet article détaille les mesures prises dans le cadre du projet genevois de vote par internet pour mettre en œuvre le périmètre contrôlé et protéger les droits populaires des utilisateurs d’internet.

LES CONDITIONS DE SÉCURITÉ

Le vote par internet doit être simple et rapide pour l’utilisateur tout en ayant un haut niveau de sécurité. La traduction opérationnelle de cette double exigence est rassemblée dans les onze "commandements" suivants :

1. Les suffrages exprimés électroniquement ne doivent pas pouvoir être interceptés, modifiés ou détournés.
2. Le contenu des suffrages exprimés électroniquement ne doit pas pouvoir être connu par des tiers avant le dépouillement.
3. Seules les personnes ayant le droit de vote doivent pouvoir prendre part au scrutin.
4. Chaque électeur ne dispose que d'une voix et ne peut voter qu'une seule fois.
5. En aucun cas, même pendant le dépouillement, il ne doit être possible de faire un lien entre un électeur et son suffrage.
6. Le site doit être en mesure de résister à une attaque en déni de service pouvant aboutir à la saturation du serveur.
7. L'électeur doit être protégé contre toute tentative de vol d'identité.
8. Le nombre de votes émis doit correspondre au nombre de votes reçus, toute différence doit pouvoir être expliquée et corrigée.
9. La preuve qu'un électeur a voté doit pouvoir être faite.
10. Le système n'accepte pas de vote électronique en dehors de la période d'ouverture du scrutin électronique.
11. Le bon fonctionnement du système doit pouvoir être vérifié par les autorités désignées à cet effet.

La suite du texte est une description des mesures prises pour répondre de façon suffisante, au regard de l'objectif visé, à chaque commandement.

1. LES SUFFRAGES EXPRIMÉS ÉLECTRONIQUEMENT NE DOIVENT PAS POUVOIR ÊTRE INTERCEPTÉS, MODIFIÉS OU DÉTOURNÉS

Le respect de ce commandement définit l'architecture même du système. Il s'agit ici de protéger la communication entre le citoyen et le serveur de vote par plusieurs mesures agissant comme autant de couches superposées.

La base : une connexion SSL

Une connexion basée sur le protocole de communication sécurisée SSL128 ("Secure Socket Layer") est établie entre le poste du citoyen et le serveur. Ce protocole crypte les communications avec des serveurs internet fonctionnant selon une infrastructure à clé publique ("Public Key Infrastructure" ou PKI). Dans la PKI, un tiers garant associe un "certificat digital" au serveur. Ce certificat garantit à l’usager l’identité du serveur. Dans le cadre du vote par internet, ce certificat est renouvelé au maximum tous les trois mois, ce qui correspond au rythme des votations fédérales. Les scrutins qui auraient lieu durant la même période utiliseront le même certificat.

Actuellement, le SSL 128 est basé sur des clés de cryptage de 128 bits de longueur. Comme tous les PC ne disposent pas nécessairement de clés de cette taille, le système les installe le cas échéant pour la durée du vote.

Les serveurs de vote sont authentifiés par un certificat numérique généré par l'Etat. Le citoyen peut vérifier qu'une liaison sécurisée est utilisée en s'assurant que le cadenas affiché au bas de l'écran de son navigateur est bien visible. En outre, il peut en contrôler l'empreinte numérique (en anglais "Digital Print") qui est imprimée sur la carte de vote. Le citoyen est même invité à le faire par un message spécifique.

L'élément complémentaire exclusif : le canal sécurisé

A l'intérieur de la connexion SSL, est construit pour la session de vote, un canal sécurisé spécifique utilisant les dernières avancées en matière de cryptographie appliquée par l’emploi d’aléas quantiques.

Au début de la session, le votant fournit son numéro de carte de vote, qui est unique pour un scrutin. Grâce à lui, une clé symétrique de session est négociée entre le serveur et le PC. Tous les éléments sensibles de la transaction seront désormais hautement cryptés grâce à cette clé de session : intention de votes, données d'authentification, code de contrôle etc. La durée de vie de cette clé unique est la durée de la session de vote.

Le numéro de carte de vote active un applet java sur le serveur de vote. Cet applet reste sur le serveur et ne quitte donc jamais le périmètre contrôlé. Il vérifie l’exécution de la transaction de vote, crypte les données qui circulent sur le réseau et empêche les virus ou chevaux de Troie qui se trouveraient le cas échéant dans le PC de l’électeur d’effectuer leur sale besogne, que ce soit l’invalidation du vote ou l’espionnage quant à son contenu. Parmi ses fonctions, cet applet protège donc aussi le droit de vote des utilisateurs du vote en ligne, car il prévient la manipulation qui rendrait un vote illisible et donc invalide.

Architecture des serveurs

Plusieurs types de serveurs sont impliqués dans le vote par internet :

• le serveur d'accueil de l'Etat de Genève donne l'accès aux informations relatives aux scrutins mais ne contient aucun lien vers les autres serveurs, le votant doit taper l'adresse complète du site de vote afin d'éviter les détournements vers des sites pirates;
• le serveur de pages internet, protégé par le certificat SSL, maîtrisé par l'Etat, durcit et optimisé par configuration, qui n'est accessible que durant la période de vote, le reste du temps une page d'erreur est affichée;
• le serveur d'application, maîtrisé, durcit et optimisé par configuration, héberge la logique métier du vote ainsi qu'une partie de la logique de chiffrement utilisé par le canal sécurisé;
• enfin le serveur de base de données, lui aussi maîtrisé, durcit et optimisé par configuration, contient les tables du registre des électeurs et les tables de l'urne électronique incluant plusieurs mécanismes de confidentialité et de contrôle d'intégrité.

Cette architecture sécurisée de défense en profondeur, dont tous les composants sont complètement maitrisés par l'Etat, est considérée comme étant au meilleur niveau de l’état de l’art en matière de sécurité. Elle respecte et surpasse toutes les bonnes pratiques en la matière.

Internet et la résolution des noms de domaine

Sachant que la navigation sur internet dépend des serveurs de noms de domaine ("Domain Name Server" ou DNS qui sont les poteaux indicateurs de l'internet), la mise à jour de ces derniers est forcée à une fréquence beaucoup plus élevée que la normale (quelques minutes au lieu de quelques jours). Ainsi toute tentative de détournement se verra immédiatement détectée et contrée.

De plus les mécanismes suivants garantissent au citoyen un dialogue avec le serveur légitime de l’Etat :

1. L'électeur peut comparer l'empreinte du certificat digital du serveur de vote à l'empreinte reproduite sur sa carte de vote. Si ces deux empreintes ne correspondent pas, il est instruit de mettre fin à la session de vote et d'appeler la ligne téléphonique d'assistance.
2. Une vérification « automatique » de l'identité du serveur de vote est effectuée lors de la phase d'authentification de l'électeur. Lorsque le système demande à l'électeur ses identifiants, il affiche un code alphabétique unique, reproduit sur la carte de vote et lié au numéro de cette carte. Seul le serveur de l'Etat peut associer un numéro de carte de vote donné au code numérique correspondant. Ce code est traité comme une image cryptée et ne peut en aucun cas être lu et reproduit par un tiers qui espionnerait les échanges sur l'internet. Si d'aventure le code affiché à l'écran ne correspondait pas à celui figurant sur sa carte de vote, l'électeur est instruit de mettre fin à la session de vote et d'appeler la ligne téléphonique d'assistance.

2. LE CONTENU DES SUFFRAGES EXPRIMÉS ÉLECTRONIQUEMENT NE DOIT PAS POUVOIR ÊTRE CONNU PAR DES TIERS AVANT LE DÉPOUILLEMENT

Pour réaliser ce principe, les serveurs du système sont installés dans la salle informatique la plus sûre de l'Etat de Genève, dans les sous-sols de l’Hôtel de Police. Elle bénéficie de tous les contrôles d'accès propre à la Police. Seul un petit nombre de techniciens sont habilités à pénétrer dans ce local, jamais seuls. L'accès physique aux serveurs est ainsi très contrôlé; quant à l'accès par le réseau, il est limité à une seule entrée via une fibre optique particulière qui constitue le seul lien avec le web. Cet accès est uniquement activé lors des scrutins.

Grâce à l’architecture à clé publique, chaque suffrage est crypté individuellement par une clé de chiffrement asymétrique détenue par les contrôleurs désignés par le Conseil d'Etat (un pour chaque parti politique, sur leur proposition) pour assurer le contrôle démocratique des scrutins. La clé publique est insérée dans l'application et est utilisée de manière transparente par tous les citoyens pour crypter leur vote. La clé privée, servant au déchiffrement, est protégée par deux mots de passe définis par les contrôleurs et connus d'eux seuls. Sans la présence des contrôleurs, qui représentent par délégation l’ensemble des citoyens, il est impossible de dépouiller le contenu de l'urne électronique.

En outre, le cryptage des suffrages réalisé par la clé symétrique de session (canal sécurisé) perdure lors du stockage dans l’urne. Les suffrages sont ainsi conservés dans une double enveloppe cryptée jusqu’à leur dépouillement.

Pour chaque sujet de votation, il n’y a que trois suffrages possibles : « oui », « non » ou « blanc ». Avec si peu de possibilités, le code pourrait être aisément découvert. Dès lors, chaque réponse est complétée par un texte arbitraire avant cryptage, ce qui rend le cryptage inviolable. La problématique est la même (mais moins sensible) en cas d'élection, là encore le secret du vote est garanti par l'ajout d'un texte arbitraire avant cryptage.

 

3. SEULES LES PERSONNES AYANT LE DROIT DE VOTE DOIVENT POUVOIR PRENDRE PART AU SCRUTIN

4. CHAQUE ÉLECTEUR NE DISPOSE QUE D'UNE VOIX ET NE PEUT VOTER QU'UNE SEULE FOIS

Ces deux "commandements" sont liés et complémentaires, la façon de les prendre en compte est imbriquée, et la solution tient à la façon dont un scrutin est organisé.

Genève est l’un des rares cantons à disposer d'un registre des habitants centralisé et informatisé. Ce registre, tenu constamment à jour, permet de définir très exactement la liste des citoyens ayant le droit de vote. Six semaines avant un scrutin, un registre des électeurs est extrait du registre des habitants : il détermine exactement quelle personne a le droit de vote pour le scrutin à venir et pour quels(s) sujet(s).

Trois semaines avant la date du scrutin, chaque électeur reçoit à domicile une carte de vote, un bulletin de vote et la documentation officielle. La carte est personnelle et ne peut être utilisée que pour un seul scrutin. C'est elle qui matérialise le droit de vote. Elle permet indifféremment le vote à l’urne le dimanche matin, le vote par correspondance et le vote par internet.

Pour voter, le citoyen doit compléter sa carte de vote avec sa date de naissance et la signer. Ensuite, il peut l'envoyer par poste avec son bulletin de vote rempli et scellé dans une enveloppe bleue, le tout inséré dans une enveloppe grise servant au retour vers le Service des votations et élections (SVE). Ou, s'il préfère voter à l'urne, il peut se rendre avec sa carte de vote au bureau de vote et, après avoir remis sa carte de vote, glisser son enveloppe bleue dans l'urne traditionnelle.

La carte de vote garantit donc le principe "un homme – un vote" puisque, quand elle a été utilisée, elle ne peut l’être une seconde fois.

Afin de rendre le vote par internet aussi aisé qu'avec la méthode traditionnelle, un code PIN, caché par un film métallique, figure sur la carte de vote. Ce code alphanumérique est différent pour chaque électeur et change à chaque scrutin. Pour retranscrire son code PIN lors du vote en ligne, l'électeur doit gratter le film métallique à la façon d’un billet de loterie. Le principe "un électeur – un vote" est garanti par le fait qu'une carte grattée est considérée comme ayant été utilisée et ne permet plus de voter par un autre canal.

La carte de vote comporte aussi un numéro personnel à seize chiffres qui permet d’emblée de filtrer les non-citoyens. Ce code, changé à chaque scrutin, n'offre qu'une chance sur un milliard de trouver au hasard une valeur valable pour un scrutin donné. Un code-barre correspondant à ce numéro personnel est utilisé par le SVE pour enregistrer les votes par correspondance, ce qui bloque le vote par internet de la carte enregistrée.

Les électeurs qui ont découvert leur code PIN mais qui n’ont pas voté par internet, peuvent voter par correspondance ou à l'urne. Une vérification particulière sera alors effectuée sur la base du registre avant l'enregistrement du vote.

5. EN AUCUN CAS, MÊME PENDANT LE DéPOUILLEMENT, IL NE DOIT ÊTRE POSSIBLE DE FAIRE UN LIEN ENTRE UN ÉLECTEUR ET SON SUFFRAGE

L'anonymat et le secret du vote sont garantis par trois mesures :

1. L'urne électronique, qui contient les votes cryptés, est sans lien aucun avec le registre électoral. Ce dernier est intégré au système afin de contrôler qu'un citoyen ne puisse voter deux fois, soit par internet soit par correspondance.
2. Le fichier des votes est brassé avant le dépouillement pour empêcher une reconstitution du scrutin à l'aide des fichiers de journalisation de la base de données.
3. Le registre électoral utilisé dans le système ne contient pas d'éléments nominatifs, seul des identifiants numériques y figurent. Ainsi, un accès à ce registre ne permettrait pas de connaître les identités.

6. LE SITE DOIT ÊTRE EN MESURE DE RÉSISTER À UNE ATTAQUE EN DÉNI DE SERVICE POUVANT ABOUTIR À LA SATURATION DU SERVEUR

Pour protéger le système contre une attaque en déni de service ou une attaque de masse, nous avons intégré des sondes particulières, chargées de détecter certains événements. Elles réagissent notamment lorsque :

• une même adresse IP demande une même page trop souvent;
• des tentatives d'identification systématiques ont été constatées (suite de numéros en séquence ou trop rapides);
• requêtes anormales et non prévues sur certaines pages;
• pannes d'un équipement quelconque (serveurs, système de disque, mur pare-feu, matériel réseau);
• arrêt d'un logiciel (base de données);
• modification anormale d'un système de fichier;
• présence indue dans la salle machine;
• etc.

Lorsqu'une sonde se déclenche, le système appelle automatiquement un opérateur sur son bip et une procédure d'urgence est lancée. Ces procédures ont été soigneusement planifiées avec des degrés d'intervention jusqu'au plus haut niveau de l'Etat.

Selon le type de problème rencontré, différents niveaux de réaction sont prévus :

• le problème est facilement corrigé et une information est faite aux autorités, voire aux citoyens;
• le problème met en danger le vote par internet, il doit être arrêté et le scrutin se poursuit par correspondance et par le vote à l'urne.
• des votes erronés ont été enregistrés sans pouvoir être éliminés, il faut annuler tous les votes par internet et envoyer de nouvelles cartes de vote aux électeurs concernés; c'est l'équivalent d'un sac de courrier postal qui contiendrait des votes falsifiés.
• dans le pire des cas, il faudrait stopper le vote par internet et poursuivre uniquement par le vote au local de vote; c'est l'équivalent d'un blocage complet de la poste, ou pire de la destruction (en cas d'incendie) des votes par correspondance.

Des procédures similaires sont d'ores et déjà prévues pour le vote par correspondance et le vote par internet ne crée pas de risque nouveau.

Nous avons en outre soigneusement configuré le hardware du système (routeurs, serveurs, firewalls, etc …) pour l’empêcher de réagir aux commandes inattendues. Toute commande que le système reçoit du PC de l’électeur et qui ne s’inscrit pas dans le déroulement normal d’une session de vote ne provoquera aucune réaction du système ou mettra fin à la session. De la sorte, des pirates informatiques potentiels ne peuvent pas recueillir d'information sur le système.

7. L'ÉLECTEUR DOIT ÊTRE PROTÉGÉ CONTRE TOUTE TENTATIVE DE VOL D'IDENTITÉ

La meilleure façon de protéger l'électeur contre toute tentative de vol d'identité passe par la mise en place d'un moyen fort d'authentification. La possibilité d'utiliser une infrastructure à clé publique avec attribution à chaque citoyen d'une carte ou clé à puce avec son certificat personnel d'identité a été envisagée. En raison des réflexions sur le même thème menées par la Confédération, le canton a renoncé à créer des identités digitales pour ses citoyens, dans l’attente de l’émission d’un identifiant fédéral.

Pour le moment, les mesures suivantes sont prises :

1. Tout d'abord, la grandeur du numéro d'identification est une protection contre toute tentative de fraude systématique. En effet avec seize chiffres, dont quatre sont nécessaires pour identifier le scrutin et six pour identifier la personne, il n'y a qu'une chance sur un milliard de trouver un numéro valable pour un scrutin : une attaque massive n'a que très peu de chance de succès (la session est interrompue si les chiffres composant le numéro d'identification sont saisis à raison d'un ou plus d'un toutes les deux secondes). Ce numéro est par ailleurs attribué aux électeurs de façon aléatoire.
2. Le fichier clé est celui qui contient les informations relatives aux votants avec les codes secrets. Or, ce fichier ne quitte jamais les enceintes de l'administration, il est stocké de façon cryptée et il faudrait la collusion d'une dizaine de personnes pour se l'approprier.
3. Le challenge posé à l'électeur dans la phase d'authentification fait appel à la combinaison d'un élément que l'électeur possède, son code PIN, et de deux informations qu'il détient, sa date de naissance et sa commune d'origine. Il n'existe aucun registre public contenant de ces deux informations. Il est ainsi très difficile de voter pour un tiers. La seule possession de la carte de vote ne suffit pas.

En outre, des contrôles sont effectués d'office :

• Dans le cas du vote postal, chaque carte de vote est contrôlée pour s'assurer qu'elle soit signée et que ce soit la bonne date de naissance qui y figure. Dans le cas contraire, l'ensemble du matériel de vote est renvoyé au citoyen. Cette situation se présente entre 2'000 et 4'000 fois pour chaque scrutin. Les réactions des citoyens peuvent indiquer une tentative de fraude, elles sont donc toutes analysées.
• Environ 1'000 signatures sont comparées avec les signatures de précédents scrutin. Toute différence importante est analysée.
• Lors d'élections, il est effectué entre 4'000 et 8'000 appels téléphoniques de citoyens pour s'assurer que ce sont bien eux qui ont voté.

8. LE NOMBRE DE VOTES ÉMIS DOIT CORRESPONDRE AU NOMBRE DE VOTES RECUS, TOUTE DIFFÉRENCE DOIT POUVOIR ÊTRE EXPLIQUÉE ET CORRIGÉE

Afin de ne perdre aucune information, tous les serveurs décrits plus haut sont dédoublés et les espaces de stockage sont eux-mêmes répartis sur deux jeux de disques séparés. En outre, tous les équipements de connexion sont dédoublés.

Pour assurer la simultanéité de l'enregistrement du vote lui même et du fait que le votant ait voté, les principes transactionnels du système de gestion de base de données Oracle sont utilisés. Ce dernier assure en un seul bloc l'écriture dans les deux fichiers séparés des votants et des votes, après avoir vérifié que le votant n'ait pas déjà voté.

9. LA PREUVE QU'UN ÉLECTEUR À VOTÉ DOIT POUVOIR ÊTRE FAITE

Une des différences entre un système de vote électronique et un système de télébanking est l’impossibilité de donner à l’utilisateur la preuve du contenu de sa transaction. Lors d'une opération de télébanking, ou lors de n’importe quelle transaction d'achat par internet, l’utilisateur peut voir le résultat : il reçoit ce qu’il a commandé, il peut constater les nouvelles positions de ses comptes bancaires, etc.

Dans le cas du vote électronique, la loi interdit de transmettre une preuve formelle du vote car cela est contraire au principe de l’anonymat et du secret de vote. Cependant, il est possible de donner une quittance d'enregistrement du vote. Pour cette raison, à la fin de la procédure de vote, une page de confirmation est affichée que le citoyen peut imprimer. Elle indique le jour et l'heure du vote.

A tout moment pendant les trois semaines de scrutin, l'électeur peut savoir grâce à internet si son vote a été enregistré. Il lui suffit de donner son numéro d'identification (figurant sur la carte de vote). Le système qui enregistre, tant les votes par internet que les votes par correspondance, indiquera alors le mode, la date et l'heure du vote enregistré.
 

10. LE SYSTÈME N'ACCEPTE PAS DE VOTE ÉLECTRONIQUE EN DEHORS DE LA PÉRIODE D'OUVERTURE DU SCRUTIN ÉLECTRONIQUE

Ce principe est garanti par la visibilité du serveur web du système de vote par internet. Celui-ci n'est accessible sur le réseau que pendant une période déterminée qui commence, selon la loi, trois semaines avant le scrutin (deux pour un scrutin cantonal) et se termine le samedi précédent le scrutin à 12h00. Le blocage est réalisé tant par le serveur lui-même que par les "firewall" du réseau. Des processus automatiques assurent la synchronisation des machines et la gestion de cette liaison.

11. LE BON FONCTIONNEMENT DU SYSTÈME DOIT POUVOIR ÊTRE VÉRIFIÉ PAR LES AUTORITÉS DÉSIGNÉES À CET EFFET

A Genève, chaque opération électorale est contrôlée par des citoyens désignés par les partis politiques et nommés par le Conseil d'Etat. Pour contrôler le bon fonctionnement du système, il est mis à leur disposition une urne de contrôle, des cartes de vote de contrôle (environ une cinquantaine) et autant de bulletins de vote vierges. Les contrôleurs doivent effectuer un double vote de contrôle, à savoir saisir par internet des votes dans l’urne de contrôle tout en remplissant les bulletins correspondant et en notant sur ces derniers le numéro de la carte de vote de contrôle utilisée.

Dès la fin du scrutin, les bulletins de vote de contrôle sont dépouillés et comptés par les contrôleurs eux-mêmes, et le résultat est comparé avec le dépouillement de l'urne de contrôle effectués par le système. Ces deux décomptes doivent être identiques et chaque bulletin de contrôle peut être identifié. Les résultats issus de ce contrôle sont exclus des résultats officiels.

Il est possible d'imaginer que les contrôleurs (ou des experts désignés par eux) reproduisent le processus de décryptage et de dépouillement électronique pour s'assurer de son bon fonctionnement.

Comme l’urne de contrôle est identique aux 68 urnes officielles utilisées à Genève, ce processus prouve la validité du fonctionnement du système du début à la fin du scrutin.

CONCLUSION

Aujourd'hui, le système de vote par internet développé par l'Etat de Genève répond aux exigences de sécurité indispensables à l'exécution d'un scrutin populaire. Il offre un niveau de protection et de suivi supérieur au système de vote par correspondance et surpasse ceux déployés par certains établissements bancaires.

A l'avenir, il continuera à faire l'objet de réflexions et d'améliorations successives afin de maintenir ce niveau face aux évolutions technologiques et à l’évolution des risques.

Il reste soumis à un contrôle démocratique constant effectué par les contrôleurs sur délégation du Souverain. Les bases de sa légitimité se trouvent donc réunies.

Rév : juillet