Le vote par Internet n’est pas sûr et ne devrait pas être utilisé pour les élections publiques

 (blog.citp.princeton.edu)
6 points par GN⁺ 2026-01-23 | 4 commentaires | Partager sur WhatsApp
  • Le vote par Internet est un système impossible à sécuriser techniquement, et des décennies de recherche n’ont permis de trouver aucune solution
  • La manipulation des votes est possible à cause de malwares sur smartphone ou ordinateur, du piratage des serveurs et de l’intrusion dans les serveurs de gestion électorale, et un seul attaquant peut mener une fraude à grande échelle
  • Le vote par Internet E2E-VIV (vérifiable de bout en bout) présente lui aussi des vulnérabilités fondamentales, notamment la fiabilité des applications de vérification, l’absence de protection contre les reçus de vote et l’absence de mécanisme de résolution des litiges
  • VoteSecure de la Mobile Voting Foundation cumule tous ces problèmes, et même ses développeurs reconnaissent l’absence de sécurité complète et de protocole de résolution des litiges
  • Les scientifiques soulignent que la fiabilité du vote par Internet doit être évaluée uniquement à partir de recherches évaluées par les pairs, et non de couvertures médiatiques ou de documents promotionnels

L’instabilité fondamentale du vote par Internet

  • Le vote par Internet présente un risque de manipulation bien plus élevé que le vote papier
    • Un malware peut modifier sur l’appareil de l’électeur le choix qu’il a fait
    • Des manipulations par le serveur ou par des personnes internes au système de gestion électorale sont également possibles
    • Les attaques via Internet peuvent être menées à grande échelle depuis n’importe où dans le monde
  • Le vote papier n’est pas parfait, mais une fraude massive a plus de chances d’être détectée et sanctionnée
    • À l’inverse, le vote par Internet permet de modifier un grand nombre de suffrages avec une seule attaque

Les limites de l’E2E-VIV (vote par Internet vérifiable de bout en bout)

  • L’E2E-VIV a été conçu pour permettre à l’électeur de vérifier que son vote a été correctement comptabilisé, mais il présente les problèmes structurels suivants
    • Si l’application de vérification est infectée par un malware, elle peut afficher de fausses informations
    • En l’absence de fonction receipt-free, des achats de votes à grande échelle deviennent possibles
    • Concevoir une application qui satisfasse simultanément les exigences de fiabilité et d’absence de reçu est extrêmement difficile
    • Il faut exécuter séparément une application de vérification, mais dans la pratique très peu d’électeurs le font
    • Même si certains électeurs détectent une manipulation, ils n’ont aucun moyen de la prouver, ce qui empêche d’invalider l’élection
  • Par conséquent, la fonction de « vérification » de l’E2E-VIV n’apporte en pratique aucun renforcement réel de la sécurité
    • Dans la communauté scientifique, ces limites sont déjà reconnues depuis plusieurs années comme un constat partagé

Analyse du cas VoteSecure

  • La Mobile Voting Foundation de Bradley Tusk a annoncé, avec Free and Fair, avoir développé un SDK de vote par Internet appelé VoteSecure
    • Le communiqué de presse affirmait qu’un « vote mobile sûr et vérifiable » était désormais possible
  • Cependant, plusieurs experts en sécurité ont signalé de graves vulnérabilités de VoteSecure
    • Les chercheurs de Free and Fair ont eux-mêmes reconnu que « les problèmes soulevés sont réels, et nous ne savons pas comment faire mieux »
    • VoteSecure n’offre pas de protection contre les reçus de vote, dispose d’un protocole de résolution des litiges insuffisant et la vérification devient dénuée de sens en cas d’infection par un malware
    • Il existe également des risques d’achats de votes automatisés à grande échelle et de captation de vote (clash attack)
  • Free and Fair a expliqué que « VoteSecure n’est pas un système de vote complet, mais un cœur cryptographique »

Consensus scientifique et recommandations

  • Après des décennies de recherche, il n’existe aucune technologie permettant de rendre le vote par Internet sûr
    • Les recherches sur l’E2E-VIV ne résolvent pas non plus le problème fondamental
  • Les responsables électoraux et les médias doivent se méfier de la “science fondée sur les communiqués de presse”
    • La vérification de la fiabilité ne peut se faire qu’au moyen de travaux académiques évalués par les pairs
    • Les communiqués de presse ou la promotion d’entreprise ne peuvent pas servir de base pour juger de la fiabilité d’un système électoral

Groupe d’experts signataires

  • Cette déclaration est cosignée par 21 informaticiens spécialisés dans la sécurité électorale
    • Parmi les signataires figurent notamment Andrew Appel (Princeton), Ronald Rivest (MIT) et Bruce Schneier (Harvard)
    • Les signatures ont été données à titre personnel et ne représentent pas la position officielle de leurs institutions

À lire aussi

4 commentaires

 
bbulbum 2026-01-23

Et si la blockchain était utilisée ??
 
bbulbum 2026-01-23

Ah, comme c’est un problème de confiance de bout en bout, ce n’est probablement pas très pertinent.
 
GN⁺ 2026-01-23
Avis sur Hacker News

  • Je vis en Australie. Ici, on vote avec du papier et un crayon, dans des isoloirs en carton. Le coût augmente de façon linéaire, mais du point de vue de la confiance de la communauté, je pense toujours que le vote papier est bien supérieur aux machines
    Au Royaume-Uni, on m’a déjà proposé le vote à distance, et je pense que j’aurais été favorable à un vote en ligne sécurisé fondé sur le chiffrement homomorphe. J’ai déjà fourni mon KYC au gouvernement, donc je ne vois pas de problème de vérification d’identité
    En Australie, tous les bulletins sont examinés par des humains, et les partis ont le droit de surveiller le processus. Il n’y a quasiment aucun doute sur l’intégrité des élections, et c’est vérifié régulièrement. Dans le cas des États-Unis, je pense que la question centrale est : « à quel point cela pourrait-il être meilleur que le système actuel ? »

    • Moi aussi, je vote par correspondance avec un stylo. Le dépouillement se fait par scanner optique et il reste une trace lisible par un humain. C’est très économique et difficile à manipuler à grande échelle. Je ne ferai jamais confiance au vote par Internet. Le stylo et le papier suffisent
    • Le problème, c’est que si un électeur peut prouver que son vote a bien été compté, il peut aussi le prouver à quelqu’un qui le menace. Autrement dit, il y a un risque de briser le principe du vote secret
    • L’une des principales raisons pour lesquelles « ça marche, tout simplement », c’est que l’Australian Electoral Commission (AEC) est indépendante du gouvernement. Avec en plus le vote obligatoire et le vote préférentiel, cela permet de maintenir une démocratie en bonne santé
    • J’ai entendu dire que la Commission électorale indienne prenait cela très au sérieux. Le système d’administration électorale de l’Inde est assez impressionnant
    • Les systèmes papier échouent localement et de façon visible, alors que les systèmes Internet échouent silencieusement et à grande échelle

  • Les méthodes de fraude du vote papier sont connues depuis des siècles. Les procédures de réponse à ces fraudes sont donc elles aussi bien établies. Urnes scellées, observateurs neutres, dépouillement public : tout cela permet d’instaurer la confiance
    En revanche, les méthodes de fraude du vote par Internet sont mal connues du grand public. Même si le système était parfaitement sûr, la confiance resterait forcément plus faible. Tant que le vote secret est indispensable, le vote papier reste la meilleure solution

    • À titre de référence, l’affaire de la Battle of Athens dans le Tennessee en 1946 montre bien ce que peut produire un dépouillement frauduleux dans un espace fermé. Lien Wikipédia
    • Si une élection est tellement polarisée qu’il n’y a pas d’observateurs neutres, il suffit d’avoir des observateurs de chaque parti et d’enregistrer le dépouillement par caméra
    • Il y a aussi le scandale de la Box 13. Lien Wikipédia. Il existe des soupçons de manipulation de votes papier lorsque LBJ a obtenu son siège de sénateur
    • Le vote papier est simple, donc vérifiable par tout le monde. Le vote électronique est opaque, le vote à distance rend difficile la garantie du libre arbitre, et seul le vote secret permet d’empêcher l’achat de voix. Au final, la confiance vient du fait que « chacun peut vérifier par lui-même »
    • Je pense l’inverse. Si un système est suffisamment transparent et vérifiable, on peut lui faire confiance. Mais le défi essentiel reste la préservation de la vie privée

  • L’élément le plus important d’une élection, c’est la confiance ; l’efficacité passe au second plan. Le passage au vote électronique a sapé cette confiance et a facilité la manipulation par des acteurs hostiles. Le vote par Internet ne ferait qu’aggraver la situation. Il faut revenir au vote papier

    • Les États-Unis utilisent déjà majoritairement un système de vote papier + dépouillement électronique. Il n’est pas nécessaire de revenir en arrière
    • On vote déjà sur papier. Revenir à un système entièrement manuel augmenterait au contraire les erreurs et les bulletins nuls. Il est ironique de voir que ceux qui ont semé la méfiance envers les machines à voter étaient aussi ceux qui, autrefois, bloquaient les recomptages
    • Plus de 95 % des électeurs américains votent déjà sur une base papier. Statistiques Verified Voting
    • En Géorgie, quand on vote sur ordinateur, un reçu papier est imprimé, puis inséré dans un scanner pour le comptage. Les anciennes machines Diebold étaient vulnérables au piratage
    • En Californie, la vérification d’identité pour le vote par correspondance se fait uniquement sur la similarité de la signature. En pratique, c’est un système d’honneur. Disposition légale correspondante

  • La remarque selon laquelle un malware pourrait modifier le vote depuis l’appareil de l’électeur est pertinente. Mais les smartphones sont déjà utilisés pour la plupart des transactions sécurisées du quotidien.
    Il existe aussi un risque de piratage côté serveur, mais si les gouvernements conservent des données personnelles, c’est au fond aussi une question d’analyse risque/bénéfice.
    Pour l’instant, les bénéfices du vote en ligne sont inférieurs aux risques, mais si l’on imagine un modèle de démocratie participative en temps réel, la question pourrait être différente. Cela dit, le plus grand problème reste l’indifférence et la faible participation

  • Le vote par Internet facilite les manipulations à grande échelle. Mais la banque en ligne comporte elle aussi des risques comparables. Au fond, tout repose sur l’équilibre entre avantages et inconvénients. Les bénéfices du vote par Internet peuvent-ils compenser ses défauts ?

    • Pirater une banque est presque impossible. Avec des systèmes comme SWIFT, les transactions sont traçables et peuvent être annulées. Une élection n’offre pas une telle marge d’échec acceptable. Pirater une élection, c’est l’effondrement de la démocratie
    • Une fraude bancaire peut être réparée par l’assurance, mais la confiance dans une élection est irrécupérable
    • La banque en ligne n’est pas anonyme, alors que le vote doit l’être

  • Le coût et l’inefficacité du vote papier sont au contraire des avantages. Cela rend la manipulation plus difficile et amène les citoyens à participer directement au processus électoral, ce qui renforce le poids de la décision

  • Le vote comporte trois étapes : voter, dépouiller, conserver. Pour inspirer confiance, les trois doivent être transparentes et auditables.
    Le cas du Mexique est un bon exemple.

    1. Tout le monde vote sur papier dans son bureau de vote local
    2. Des bénévoles et des observateurs des partis dépouillent sur place
    3. Les résultats sont transmis électroniquement et les résultats papier sont affichés pendant une semaine
      Le système central ne fait qu’agréger, et n’importe qui peut comparer les résultats locaux aux résultats en ligne.
      Grâce à cette structure distribuée, les résultats sont rapides et la confiance élevée. Cela dit, des méthodes coercitives comme le « vote carrousel » existent toujours
    • Je ne comprends pas pourquoi les procédures de vote sont à ce point controversées uniquement aux États-Unis. Demander le vote papier serait qualifié de racisme, limiter les délais de dépouillement d’xénophobie. En Europe, c’est géré de façon bien plus rationnelle
    • Dans l’Idaho, on vote sur papier puis on dépouille électroniquement, avec possibilité de recomptage manuel si nécessaire. C’est la combinaison idéale : rapide, auditable et sans connexion Internet
    • Renoncer au vote secret ferait disparaître une grande partie des problèmes de transparence. Mais ce serait un choix qui ébranle les fondements de la démocratie
    • Même le vote électronique peut atteindre un niveau de fiabilité comparable si l’on met en place plusieurs couches de vérification
    • La France fonctionne presque de la même manière

  • La vidéo de Tom Scott sur « pourquoi le vote électronique est mauvais » est incontournable
    Vidéo partie 1 / Vidéo partie 2

  • Le problème, ce n’est pas la technologie, mais les acteurs auxquels on ne peut pas faire confiance. Le vote ne rapporte pas d’argent, donc il est difficile d’investir dans la sécurité au niveau du secteur bancaire.
    En plus, la manipulation de l’information et l’activité des bots déforment déjà l’opinion publique. Le vote papier reste préférable, mais en réalité nous vivons déjà dans un brouillard numérique

    • Je parie que l’administration Trump en 2026 essaiera d’imposer le vote électronique uniquement au nom de la « sécurité électorale ». Un fournisseur politiquement favorisé fournira le système, les procès se multiplieront et la confusion durera. Au final, il existe un risque sérieux que les deux partis finissent par ne plus faire confiance aux résultats

  • Je suis co-auteur de cet article et professeur à Georgia Tech. Je travaille sur la sécurité, la vie privée et les politiques publiques. Vous pouvez consulter mon CV. Je répondrai volontiers aux questions

    • Je serais curieux de savoir si vous avez examiné la méthode de vérification du système de vote électronique de Swiss Post
    • Le vote doit être directement vérifiable par tous les électeurs. Tout système plus complexe qu’un comptage manuel finira par perdre la confiance du public
 
brilliant08 2026-01-23

Je pense que les systèmes de vote électronique ne peuvent pas résoudre le problème de la vérification aléatoire de leur fiabilité par le grand public.
La vérification du code du système n’est possible que par une couche spéciale et sélectionnée, et il serait en plus difficile de faire confiance au fait que le code vérifié soit bien celui utilisé sur le terrain.
Quand on voit quelles controverses ont éclaté en Corée du Sud, où seul le processus de collecte des résultats des votes papier dans un système électronique a été numérisé, et quels troubles sociaux cela a provoqués, on peut à peu près déduire quel type de désordre social pourrait survenir si un système de vote entièrement électronique était introduit.