Third (T) : Pensez-vous que Madame Enguehard ait raison, ou croyez-vous au contraire que la blockchain peut résoudre les problèmes soulevés par celle-ci dans son article ?

 
Jean-Paul Delahaye (JPD) : Je suis en accord avec Madame Enguehard, le vote électronique est une fausse bonne idée. La blockchain ne résout rien.

Certes, les blockchains en elles-mêmes sont robustes. Le fait que tous les validateurs du réseau vérifient en permanence la cohérence des transactions rend extrêmement difficile la création de faux votes. Ainsi, il n’y a jamais eu de faux Bitcoins créés (excepté lors d’un incident temporaire en 2010¹). Le contrôle collectif fait que ces faux Bitcoins ne pourraient pas être validés. Si un attaquant inscrit sur la blockchain une fausse transaction, les validateurs n’auront plus la même version de la blockchain que l’attaquant. Comme les validateurs sont nombreux, c’est leur version de la blockchain qui prévaudra. La fausse transaction ne sera donc pas inscrite dans la blockchain.

Cependant, les systèmes d’exploitation des ordinateurs utilisés par les personnes qui interagissent avec la blockchain ne seront jamais sûrs à 100%. Il y aura toujours des bugs ! Même si les entreprises qui les commercialisent s’efforcent de les corriger il reste toujours des bugs. Ceux-ci peuvent être découverts et exploités par les hackers² avant leur correction, et cela se produit régulièrement. Il est donc impossible d’avoir pleinement confiance dans le bon fonctionnement de l’ordinateur qu’on utilise, et donc dans la bonne prise en compte et le secret d’un vote électronique qu’on opère avec un ordinateur, que ce soit en utilisant une blockchain ou non.

On peut imaginer un système où l’utilisateur indique son vote via son ordinateur pour que celui-ci soit inscrit sur une blockchain. En exploitant une vulnérabilité, le hacker pourrait installer un programme qui enregistre tous les clics de souris et toutes les entrées au clavier (un « keylogger »)³. Celui-ci aurait alors connaissance du vote de l’utilisateur. En complément, le hacker pourrait installer un programme qui changerait au dernier moment le vote entré par l’utilisateur. Ce type d’attaque a été mis en œuvre pour les transactions de cryptomonnaies. Dans ce cas de figure, non seulement le hacker saurait pour qui l’utilisateur a voulu voter, mais il pourrait aussi manipuler le vote pour servir ses propres objectifs.
 

T : Mais que faire alors pour améliorer le système de vote en France ?

 
JPD : Peut-être que le mieux serait de ne rien changer. On ne peut pas facilement truquer les élections françaises sur une grande échelle car le système des bulletins et des bureaux de vote est très bien conçu. Pour changer le résultat d’une élection, il faudrait probablement corrompre plusieurs milliers de personnes ! La surveillance opérée lors des dépouillements par les électeurs qui viennent y participer et y assister rend particulièrement difficile la moindre manipulation.

Avec un système de vote électronique, blockchain ou pas, un trucage à grande échelle est bien plus facile à imaginer, comme je l’ai expliqué précédemment. Un article de plusieurs chercheurs reconnus en cryptographie (dont Ronald Rivest co-inventeur du système RSA utilisé dans le monde entier)⁴ démontre que les systèmes de vote via la blockchain ne sont pas mieux sécurisés que les systèmes de vote électronique classiques. En fait, utiliser la blockchain crée de nouveaux problèmes qui rendent la méthode du vote électronique plus contestable qu’elle ne l’était déjà.

Refuser le vote électronique peut se justifier très simplement. Lors d’un vote avec des bulletins papier, il est possible de les suivre et de vérifier que tout se déroule bien. Dès qu’un ordinateur est introduit dans le système, plus personne ne peut vraiment suivre les opérations menées électroniquement et les garantir. D’une part, car les systèmes d’exploitation ne sont pas sûr comme on l’a déjà dit, et d’autre part car on ne voit pas les calculs que l’ordinateur effectue, contrairement aux bulletins de vote. Le fonctionnement d’un ordinateur est toujours suspect, et il est impossible, même aux meilleurs experts, de valider totalement l’intégrité du système utilisé. C’est d’ailleurs la position du gouvernement français⁵.

Le décalage entre d’une part l’évidence matérielle de l’urne et de la manipulation physique des bulletins et d’autre part le mystère du vote électronique n’est pas résolu par la blockchain. Savez-vous par exemple ce que sont les « fonctions de hachage » ? Elles sont indispensables au fonctionnement d’une blockchain. Combien de gens qui participent à une élection savent ce qu’est une fonction de hachage ? Probablement moins du dixième. Il est donc impossible pour la grande majorité des électeurs de comprendre ce qui se passe lors du déroulement d’un vote par blockchain. Cette impossibilité pour presque tout le monde d’avoir une idée précise d’un processus électoral électronique (par blockchain ou non) explique pourquoi l’abstention ne diminue pas lorsque le vote électronique est mis en œuvre.⁶ Moins il est aisé de comprendre comment le vote fonctionne, moins l’électorat a confiance dans le résultat des urnes.
 

T : Pourriez-vous nous expliquer ce qu’est une fonction de hachage ?

 
JPD : Bien sûr. Il s’agit d’une fonction qui associe, à tout fichier informatique, une empreinte numérique basée sur un calcul mathématique. L’empreinte dépend de l’ensemble des données du fichier. Si le fichier est modifié, même en ne changeant qu’un caractère, l’empreinte associée change. Chaque fichier a donc sa propre empreinte qui, en pratique, est unique.

Appliqué à la blockchain, cet outil permet de lier les différentes pages du registre des transactions d’une blockchain : on inscrit l’empreinte de la page précédente dans la nouvelle page créée. Ces liens entre pages rendent apparentes toutes les modifications du registre des transactions, et donc le rendent de facto infalsifiable. Le validateur chargé de la création d’une nouvelle page (toutes les 10 minutes dans le cas de la blockchain du Bitcoin) est désigné par un concours de calcul qui lui-aussi est basé sur une fonction de hachage. C’est le système de la Preuve de travail (Proof of Work), dont l’inconvénient est de nécessiter une grande puissance de calcul, et donc d’entraîner pour les blockchains qui l’utilisent une grande consommation électrique. C’est pour cela que j’affirme dans mon livre Au-delà du Bitcoin (paru en 2022 chez Dunod), que la méthode de la Preuve de travail doit être abandonnée, ce qui d’ailleurs a été fait par la blockchain Ethereum (la seconde en importance derrière celle du Bitcoin) qui fonctionne avec ce qu’on nomme une Preuve d’enjeu.
 

T : Que pensez-vous de l’usage des NFT comme bulletins de vote ?

 
L’avantage d’un bulletin de vote sous forme de NFT est qu’un NFT est impossible à manipuler car géré collectivement par tous les validateurs d’une blockchain. Si le vote par NFT est correctement envoyé sur le réseau — ce qui, j’insiste, n’est pas si facile, voir ce que j’ai dit au début — il ne sera plus modifiable.  Avec un tel système, le décompte serait transparent et rapide, puisqu’il suffirait de compter le nombre de NFT exprimant tel ou tel choix.

La possibilité d’un programme malveillant créé par un hacker qui viendrait changer au moment du décompte les résultats est donc presque impossible. Cependant, il reste deux écueils au moins. Le premier est comme précédemment que l’émission du NFT pourrait être faussée par l’installation frauduleuse d’un programme qui n’enverrait pas le NFT correspondant à ce que souhaite exprimer l’électeur. Le second est que le NFT est lisible et donc que la confidentialité du vote est difficile à assurer. D’autres difficultés s’ajoutent que je ne détaille pas. Imaginer des protocoles plus subtils qui résoudraient certaines difficultés soulevées ici n’est peut-être pas impossible, mais les spécialistes du sujet que sont par exemple Véronique Cortier et Pierrick Gaudry dans leur livre Le vote électronique paru chez Odile Jacob en 2022 expliquent : « Le problème de cette approche [par blockchain] est que les analyses de sécurité et les modèles de confiance d’une blockchain sont, en général, indissociables de sa cryptomonnaie. Il est nettement préférable de s’appuyer sur les algorithmes sous-jacents (qu’on appelle algorithmes de consensus), expurgés du contexte blockchain ». Pour cette chercheuse et ce chercheur utiliser une blockchain est « inutilement compliqué » et leur avis rejoint le mien : « l’usage d’une blockchain ne résout aucun des problèmes fondamentaux du vote électronique. ».

Il semble que le vote électronique ne puisse pas à la fois garantir la sécurité du processus et le secret du vote. C’est un paradoxe que la blockchain n’aide pas à résoudre : seules les personnes autorisées peuvent voter, mais il ne doit pas être possible de relier un vote à une identité. Certaines blockchains, comme Monero, permettent d’empêcher la publicité des transactions (et garantissent l’anonymat), mais cela implique une absence totale de transparence. D’autres blockchains sont transparentes, permettant la vérifiabilité du processus, mais permettant du même coup de faire le lien entre un vote et une identité. Des entreprises, comme Chainalysis, sont spécialisées dans le traçage des transactions sur les blockchains. Celle-ci travaille d’ailleurs avec la police américaine pour permettre d’identifier des fraudeurs…⁷

Je vous invite par ailleurs à lire l’article de l’Institute of Electrical and Electronics Engineers qui recense des techniques de vote par blockchain, pour avoir d’autres idées de systèmes de vote électronique utilisant cette technologie.⁸