|
Alpha & Oméga
|
Citation :
Some recent proposals claim using blockchain technology adds security to electronic voting [37, 98, 99]. We show that blockchains do not address the issues discussed in §2 and might introduce new problems. We begin by reviewing blockchain technology (§3.1,§3.2). Those familiar with blockchain technology may skim or skip these subsections. Then §3.3 re-emphasizes and gives examples illustrating that blockchain voting is still online voting, and thus suffers the same vulnerability to serious failures described in §2. §3.4 discusses how blockchain-based electronic voting could create additional problems for election systems |
20/06/2021, 21h13
|
Le vote électronique
| Suivre |
|
|
Partager | Rechercher |
|
Alpha & Oméga
|
Citation :
Citation :
Citation :
Citation :
 Je te rappelle en plus que le code source des machines à voter en France (et dans le monde) ne sont pas librement consultable, donc il ne serait pas du tout étonnant que ce soit la même chose pour une blockchain de vote. Citation :
Citation :
Et ça fait deux papiers avec Tzioup qui indique que la blockchain ne permet pas de contrebalancer les vulnérabilités d'un vote en ligne (et des dizaines de papiers qui indiquent que le vote en ligne n'est pas viable du fait de sa faiblesse sécuritaire). |
|
20/06/2021, 21h45
|
|
Ron, es-tu d'accord avec mon précédent message? Vis-à-vis du fait que les gens perdront constamment leur clé privée, surtout quand elle ne sert qu'une fois tous les X ans.
Tu devras donc lier vote avec identité IRL, fatalement. Maintenant les arguments d'Anthodev sont imo mauvais car ils s'appliquent à la situation actuelle, en revanche le seul moyen de s'assurer que le système fonctionne correctement, c'est qu'il soit open source, blockchain incluse pour vérifier que toute la chaine fonctionne correctement. C'est donc la fin du vote anonyme. Maintenant deux questions: est-ce si grave? Et plus important, peut-on l'éviter? Qui ici pense que le vote électronique ne deviendra pas la norme à terme? Ça pose pleins de problèmes évidemment, mais je pense qu'à l'instar de la question de la vie privée, ça deviendra la norme sans que personne en dehors d'une poignée d'initiés ne se rende compte du danger. |
|
20/06/2021, 22h56
|
|
Alpha & Oméga
|
Avoir du open source ne signifie pas pour autant que les datas utilisés le seront. T'as plein de boîtes qui ont des données privées sur des logiciels open source par exemple. Tout ce qu'on demande à un tel système, c'est de garantir la vérification d'identité du votant et la robustesse de la restitution des résultats de façon anonyme. Après pour le choix de la techno bah faut voir ce qui sera le mieux; là j'ai pas d'avis ces tech (blockchain) sont pas mon domaine. Tout ce que je sais, c'est que c'est largement réalisable à l'heure actuelle, blockchain ou pas.
Mais oui quoi qu'il en soit, un vote électronique ne doit être qu'une possibilité offerte au citoyen; le vote physique doit perdurer en parallèle. |
|
21/06/2021, 00h59
|
|
Légende
|
La disponibilité du code source ne change rien.
Impossible de vérifier que le code partagé est celui tournant sur la machine. S'il est vraiment sur machine, impossible de vérifier qu'il est utilisé et qu'on pas de l'algorithmie câblée dans le hard qui fait le boulot à sa place. |
|
21/06/2021, 07h26
|
|
Alpha & Oméga
|
Qu'est ce qui empêcherait de doter tous les citoyens en age de voter d'une carte électronique comportant un identifiant unique d'identité ?
Une fois le vote réalisé, la liste complète vote / clé d'identité est publiée, ainsi chaque citoyen est en mesure de vérifier la cohérence de son vote. L'anonymat est garanti en protégeant la liste identifiants d'identité / nom prénom. |
|
21/06/2021, 08h58
|
|
Alpha & Oméga
|
Citation :
Ou vu autrement: les isoloirs ne changent rien non plus. Qu'est-ce qui empêche de planquer des caméras dedans ? Qu'est-ce qui empêche de bourrer les urnes ? De faire voter les morts ? A un moment, il faut aussi savoir faire un peu confiance aux institutions pour réguler et surveiller le merdier sinon t'as jamais fini la paranoïa. C'est pas parce que tu mets du internet et de l'informatique dedans que tout change. Ça reste les mêmes problématiques mais gérées par des acteurs différents. Et comme dit plus haut, on a déjà les acteurs tout désignés pour la vérification en France. Aussi, comme dit par le poster précédent, un Id anonyme fourni aux électeurs peut tout à fait faire le job. Tu peux même le générer de façon unique avec un algo de hash. Je sais pas où ça en est niveau sécurité mais ça reste normalement très complexe à péter. Et sinon, et j'arrête après, c'est quoi au juste un "algorithme câblé dans le hard"? Moi ça me fait assez peur en tout cas. Ils ont peut-être câblé des algorithmes espions dans le hard de mon pc sans que je le sache. |
|
21/06/2021, 10h56
|
|
Alpha & Oméga
|
@ Barbe
c'est une très très mauvaise idée de pouvoir vérifier son vote après le scrutin en fait : ça permet à la corruption et au coup de force de se développer très facilement, tu peux vérifier que ta victime à bien voter comme il faut, sinon trois coup de battes et un incendie pour lui rappeler comment il faudra voter la prochaine fois. Personne ne doit savoir ce que tu as voté avant, ni après. |
|
21/06/2021, 11h19
|
|
Alpha & Oméga
|
La seule solution contre l'abstention est le vote par Internet, la participation risque de passer d'un seul coup a 250% des électeurs
 Plus sérieusement il me semble encore un peu tôt pour généraliser le vote électronique, il reste encore un partie de la population que ça rebuterait, justement dans le peu de ceux qui votent. |
|
21/06/2021, 11h40
|
|
Citation :
Y a aucune solution technologique actuelle (blockchain y comprit, n'en déplaise à Ron) qui permets de garantir à la fois que : - Le vote sera unique par personne et sans contrainte - Qu'il sera impossible de retrouver après coup le vote d'une personne donnée - Qui soit compréhensible et contrôlable par un citoyen lambda - Qui ne pose pas un risque global (vs localisé) en cas de faille/piratage etc.. Ce que permet actuellement le système de vote papier. Alors après, au nom de plus de simplicité, vous avez le droit d'accepter de renoncer ou relâcher certaines de ces garanties. Mais en ces périodes de remise en cause de l'Etat, de complotisme, de "onnouscachetout", si y a bien un truc auquel je ne toucherai pas aujourd'hui, c'est bien le système de vote actuel 
|
|
21/06/2021, 13h33
|
|
Alpha & Oméga
|
Citation :
Le keylogger ça dépendra de l'interface de saisie du vote. Si elle est suffisamment relou le keylogger il ira pas bien loin. Pour la contrainte, en effet, je vois aucun moyen de lutter contre ça, ça restera une faiblesse pour un tel système à n'en pas douter. |
|
21/06/2021, 13h44
|
|
Alpha & Oméga
|
Citation :
Pour atténuer le risque, la "vérification" pourrait se faire uniquement dans un cadre garantie par une institution : prefecture / mairie etc. On pourrait également proposer que chaque parti "tire au sort" XXX personnes après l'élection pour vérifier la cohérence de leur vote avec le résultat enregistré. Le vote à distance électronique va devenir une évidence dans le futur, autant s'y mettre dès maintenant et inventer les meilleurs façons de le rendre opérant. |
|
21/06/2021, 13h55
|
|
|
Il faut tout lire mes amis, j'ai ajouté qu'en plus du code source, la blockchain ou les données finales doivent être publiques aussi...
|
|
21/06/2021, 20h27
|
|
Alpha & Oméga
|
Citation :
La ou avec un vote electronique, tu as potentiellement un seul element a compromettre pour pouvoir compromettre l'ensemble de l'election. |
|
21/06/2021, 21h14
|
|
Alpha & Oméga
|
Oui, c'est d'ailleurs ce qui arrive régulièrement aux banques qui proposent leurs services en ligne. Tout le système se fait défoncer les doigts dans le nez c'est un vrai fiasco: de l'argent magique à gogo! Ah non en fait non, à part le phishing de particuliers pas attentifs, y'a pas grand chose en fait. Le mainframe est toujours bien safe... (et là on parle de systèmes pas nécessairement au top de la sécurité). Donc pour la fraude a grande échelle on repassera ou alors je veux bien que tu m'expliques comment ça marche; la seule vraie possibilité c'est de cibler les users indépendamment, pas le centralisé.
|
|
22/06/2021, 00h31
|
|
Alpha & Oméga
|
Citation :
Et quelque chose me dit que foutre le bordel dans les élections pourrait être plus attractif pour certains acteurs étatiques que piquer des milliards. |
|
22/06/2021, 00h36
|
|
Alpha & Oméga
|
Marrant en effet, mais je demande à voir la tronche du SI de la banque en question. Quelque chose me dit que ça doit pas être la joie. Pas le temps de tout lire là mais ça détaille comment les types s'y sont pris ? Hack ou comme d'hab un employé qui a fail ?
Mais en vrai, un bon système tu peux pas rentrer sauf à entuber un type avec un haut niveau d'accès en interne. Et normalement ces types là sont briefés et y'a des sécurités. Genre j'ai bossé pour les stocks de l'armée un temps : si t'as le malheur de connecter un truc pas autorisé sur le réseau c'est merci monsieur au revoir monsieur. Et on était bien au courant des précautions à prendre. Alors oui le facteur humain est pas complètement à écarter mais c'est pas pire qu'une vraie élection je pense. Si on va par là, qu'est-ce qui empêche pas déjà un groupe mal intentionné de niquer le comptage? Comment ça transite les décomptes pour être centralisé et restitué ? |
|
22/06/2021, 00h57
|
|
Alpha & Oméga
|
Citation :
Donc meme si tu modifie les decompte au niveau central, c'est visible tout de suite, soit par les assesseurs qui voient une difference entre ce qu'ils ont reporte et ce qui a ete utilise pour le decompte, ou par ceux qui refont les comptes. Des systemes critiques qui sont impacte, ca arrive frequement, tiens une petite liste juste pour 2020: https://www.cert.ssi.gouv.fr/actuali...-2021-ACT-008/ Toutes ces failles ne sont pas issue d'ingenierie sociale mais bien de faille technique, et ne concerne pas que des petits acteurs. Par exemple Citrix a ete concerne (solution d'acces a distance utilise entre autre dans le milieu bancaire). Sans compte que l'on va parler d'un systeme qui va interesse les acteurs etatiques (type Russie, Chine) qui ont largement plus de moyens que des individus pour chercher/developer des failles de ces systemes contrairement aux systemes prives. |
|
22/06/2021, 01h41
|
|
Alpha & Oméga
|
OK en effet y'a des alertes et citrix oui je sais que c'est utilisé dans le travail à distance. Pulse qui est mentionné dans ton lien aussi d'ailleurs. Bon après souvent, ça présuppose que la personne ait pas été prudente avec son pc mais c'est vrai qu'on peut clairement pas l'écarter.
En fait tout dépend de la criticité mais à ma connaissance les super users, ils sont pas à distance (j'ai des collègues qui ont passé tout le confinement sur site à cause de leurs accès aux données justement; moi je suis plutôt côté software donc sans les mêmes accès j'ai pu taffer à distance en bon planqué). Encore une fois, le central, si tu veux le sécuriser tu peux. M'enfin on va tourner en rond et j'aurai pas le temps de réagir dans les jours qui viennent. Je veux bien admettre que ça fait trop peur et que les risques sont trop importants pour un sujet comme le vote électronique mais je reste convaincu qu'on en serait techniquement capable. Des systèmes critiques on en a et ils se font pas péter tous les 4 matins en vrai |
|
22/06/2021, 08h39
|
|
Alpha & Oméga
|
XKCD related :
 (Sinon la page Wikipedia dédiée au voté électronique répertorie assez bien les arguments en faveur et les arguments en défaveur, et ... enfin il semble assez clair que les risques qu'un tel procédé ajoute sont absolument considérables par rapport à l'intérêt des gains). Dernière modification par Crevard Ingenieux ; 22/06/2021 à 09h04. |
|
22/06/2021, 08h58
|
|
[Novae]
Alpha & Oméga
|
Faut peut être aussi prendre en compte que même si on permettait de voter de chez soit, beaucoup de personnes ne voteraient pas quand même.
Vous savez blanc bonnet, bonnet blanc. Personnellement les politiques pour moi sont à peu près tous les mêmes et voter pour l'un ou l'autre voudrait dire que j'approuve leurs légitimités. |
|
22/06/2021, 09h42
|
|
Alpha & Oméga
|
Citation :
De toute façon, pour moi, l'interet du vote eletronique, c'est pour voter "plus". (systeme de vote plus complexe/notes etc... ou voter pour plus de choses @democratie participative). Si c'est pour rester comme on est actuellement, ca n'a pas grand interet comparé aux risques... |
|
22/06/2021, 10h12
|
|
|
Citation :
1/ La plupart des gens ne sont pas développeurs, donc sont incapables de comprendre ce que fait ledit code source et devraient donc à minima faire confiance à une de leur connaissance pour s'assurer que c'est legit (contrairement au système actuel ou sauf handicap majeur, n'importe qui peut comprendre le système) 2/ Quand bien même t'as un pote développeur, y a aucune garantie que ce dernier comprenne correctement ce que fait le système. Que ce soit parce que c'est pas son langage de prédilection, que le mec est mauvais, ou tout simplement qu'il ne prenne pas assez de temps pour comprendre ce que fait le code source (parce qu'une review de code utile, c'est autrement plus chronophage et complexe que lire un roman de gare). 3/ Quand bien même le mec est un pro de la techno utilisée et fait consciencieusement son taf de relecture, ça reste un process humain, avec les limites qui vont avec. Les exemples ne manquent pas de projets en open source (certains depuis + de 10 ans), avec des mecs brillants qui y contribuent, et pourtant on y découvre toujours régulièrement des failles de sécurité importante. Ex, openSSL, une librairie très utilisée : https://www.openssl.org/news/vulnerabilities.html 4/ Quand bien même ce process serait sans faille, ça fait bien longtemps que ton programme n'est plus traduit directement en code machine. Y a pleins de couches qui se superposent, et il faudrait vérifier chacune de ces couches (compilateur, etc...). Et ça ne concerne pas que le software, le hardware physique est impacté aussi, cf par exemple la faille Meltdown sur les CPU Intel notamment : https://en.wikipedia.org/wiki/Meltdo..._vulnerability) 5/ Quand bien même tu as vérifié tout ça, c'est très compliqué de t'assurer facilement que c'est bien le code que tu as vérifié qui tourne réellement sur la machine que tu as utilisé toi pour voter |
|
22/06/2021, 10h28
|
|
Alpha & Oméga
|
Citation :
Et il y a d'autres problématiques à prendre en compte :
|
|
22/06/2021, 19h18
|
|
|
Vous me citez encore sans lire c'est fou. Vous savez coder, bravo à vous nous sommes tous très impressionnés mais maintenant il faut retourner au message d'origine et lire le message en français, peut-être que j'aurai du l'écrire en algorithme:
- Code source publique, on peut imaginer le forcer à être clair - C'est compliqué et pas exempt de failles, mais on a bien compris le fonctionnement, cool. - Merde, mais du coup on sait que ce qu'on a lu fonctionne, mais comment on sait que c'est ce qui est utilisé, c'est impossible!! - Retournons sur le message de Mimu, ah oui effectivement si on rend également publique le résultat des votes (que ce soit la blockchain ou autres) alors chacun peut vérifier que son vote est compté normalement, chacun peut vérifier que des personnes mortes n'ont pas voté, qu'il n'y a pas 5 millions de votes en cyrilliques, etc. - D'où ma conclusion que le vote électronique signifie la fin du vote anonyme Je ne sais pas pourquoi vous êtes bloqué sur l'open source, c'est juste une partie de ce que j'ai écrit. Pour ceux qui pensent qu'on fait bien tout le reste sur internet, par exemple toute la finance, je suis d'accord avec vous d'un côté, de l'autre je pense pouvoir affirmer que c'est également un des milieux les plus corrompus qui existe, je sais pas si c'est le bon poster pour le vote. Par contre j'utilise le même argument pour vos scénarios ridicules de keylogger et phising et autres, je pense que si on arrive à sécuriser l'économie mondiale sur internet, on peut réussir à sécuriser vos votes Mélenchon. |
|
22/06/2021, 20h26
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|