IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'Estonie publie le code source de son système de vote électronique sur GitHub
Un geste pour encourager la démocratie ?

Le , par Stéphane le calme
17 commentaires

142PARTAGES

2  0 
La République d'Estonie qui a été la première nation à adopter le système de vote en ligne voudrait aller plus loin pour rassurer les utilisateurs quant à la sécurité de ce système. Pour pouvoir voter en ligne, les habitants avaient besoin de se munir de leur carte d'identité numérique. La sécurité du système repose en grande partie sur une infrastructure open source à chiffrement asymétrique de 2048 bits.


Sur GitHub, le code source a été mis à la disposition du public afin que tout un chacun puisse vérifier son fonctionnement. Seulement, il convient de préciser qu'il ne s'agit que de la partie serveur. Si le côté client était publié, il aurait pu faciliter la conception d'interfaces de vote falsifiées, explique Tarvis Martens, président de l'Electronic Voting Committee. De plus, le code est de licence Creative Commons CC-BY-NC-ND (Creative Commons Attribution NonCommercial NoDerivs) qui ne permet ni la reprise à des fins commerciales, ni la modification du code source.

Pour Tarvi Martens, c'est « l’étape suivante vers un système transparent ». Il explique au média estonien ERR News que « l’idée, qui a été le résultat d’une discussion réunissant de nombreux experts informatiques et le comité, a été mise en pratique aujourd’hui. Nous apprécions le fait que des experts représentant la société civile veuillent contribuer au développement et à la sécurité des e-élections ».

Pour Barbara Simons, ancienne présidente de l’Association of Computer Machinery américaine, rien ne garantit que le code présent sur le dépôt est bien celui qui est employé : « Je pense qu’il est bon que le code source ait été publié, mais rien ne prouve qu’il s’agit bien du code utilisé durant l’élection. Nous savons que des changements de dernière minute peuvent être faits sans supervision indépendante ».

Source : GitHub, ERR News

Et vous ?

Que pensez-vous de cette action ? Cela encouragerait-il les citoyens à faire entendre leur voix ?

La France devrait-elle s'en inspirer ?

Une erreur dans cette actualité ? Signalez-nous-la !

17 commentaires
Commenter Signaler un problème
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 23/07/2013 à 7:51
Citation Envoyé par air-dex Voir le message
Le libre et l'open source c'est bien mais il y a des secteurs où c'est plus nuisible qu'autre chose. Tous les logiciels manipulant des données critiques ou dont la sécurité est un point central du programme se doivent d'être propriétaires jusqu'au bout des ongles et avoir des sources complètement fermées. Livrer les sources de ces logiciels permettent de comprendre comment celui-ci fonctionne et par conséquent de trouver facilement des solutions pour faire tomber les barrière de sécurité, s'emparer des données critiques en question et les exploiter. Paye ta sécurité sur des données où celle-ci est essentielle.
La sécurité par le "secret" ne vaut pas grand chose.
Les méthodes de chiffrement (ex RSA) et de hachage (ex SHA-2) sont connus de tous et pourtant sont très sûre.
On pourrait inventer ses propres méthodes personnelles et jouer sur le fait que le hackeur ne sache pas "comment on fait". Ainsi on a une infinité de possibilité. Sauf que la méthode qu'on aura inventé pourrait très bien ne pas résister à certains types d'attaques...

Un code open-source permet d'avoir des révisions et des corrections de la part de tout le monde, les failles sont donc trouvées et corrigées assez rapidement. De plus, l'open-source permet d'éviter qu'une personne soit tentée de faire une protection par le "secret".

Un programme sûr, ce n'est pas un programme dont on ne connaît pas les sources, c'est un programme qui, même si on connaissait les sources, resterait sécurisé.

Les codes-sources d'un programme (ou des bouts de codes-sources) ça peut se voler. Un programme qui n'est pas "sûr" s'il passe en open-source, ce n'est pas un programme sûr.
2  0 
hn2k5
Avatar de hn2k5
Membre éclairé https://www.developpez.com
Le 23/07/2013 à 11:48
Comme j'en parlais plus tôt, c'est justement parce ces données sont critiques que je ne les laisserai pas à des sociétés privées.
Quand on voit les liens d'une entreprise comme Diebold, chargée de gérer les votes électroniques aux USA (ou du moins dans certains états), ça donne vraiment pas envie de leur confier des votes...
Un des premiers principes d'une élection, c'est justement la transparence.
Comment assurer la transparence d'une élection avec l'opacité d'un code propriétaire ?? C'est complètement contradictoire.

Cordialement
2  0 
Kikuts
Avatar de Kikuts
Membre éprouvé https://www.developpez.com
Le 22/07/2013 à 15:02
J'allais le dire : publier le code source ne prouve en rien que c'est vraiment le code utilisé ! Qui sait, c'est peut être une feinte pour éviter tous soupçons...
1  0 
hn2k5
Avatar de hn2k5
Membre éclairé https://www.developpez.com
Le 22/07/2013 à 15:35
C'est sûr que c'est pas Diebold qui va mettre en ligne le code de ses machines.
Ça obligerait à invalider les élections de deubelyou...
1  0 
niarkyzator
Avatar de niarkyzator
Membre confirmé https://www.developpez.com
Le 23/07/2013 à 11:44
J'ajouterai même que quand on garde quelque chose secret, c'est aussi important de le garder secret que d'être averti quand ça ne l'est plus.

Tu prend les fréquences utilisés par les radar, c'est top secret. Si c'est volé par les russes alors ils peuvent faire tomber tout nos avions. Si on sait qu'ils ont les fréquences il suffit de les changer, et le secret n'a plus de valeur.

Or si t'a un système fermé, il n'y à que celui qui le viole qui sais qu'il est entré.

Si c'est open-source, tu peu beaucoup plus facilement voir la faille, colmater, et, dans notre cas, invalider le résultat de tes élections et en refaire.
1  0 
Homo_Informaticus
Avatar de Homo_Informaticus
Membre averti https://www.developpez.com
Le 23/07/2013 à 14:17
Citation Envoyé par hn2k5 Voir le message
Comme j'en parlais plus tôt, c'est justement parce ces données sont critiques que je ne les laisserai pas à des sociétés privées.
Et dire que dans notre beau pays, toutes les demandes de visas passent par des société privées prestataires où l'on fourni à ceux ci les données personnelles et biométrique des ressortissants
1  0 
Homo_Informaticus
Avatar de Homo_Informaticus
Membre averti https://www.developpez.com
Le 24/07/2013 à 11:45
Citation Envoyé par Traroth2 Voir le message
Intéressant, je ne savais pas ça. Ca ne relève pas des autorités consulaires ? Tu as des détails ?
J'ai travaillé dans un Consulat (et pas un petit pays paumé, je ne le citerais pas mais c'était la capitale d'un pays monarchique qui se trouve au delà de la manche ), et je peux t'assurer que les données sont saisies par un logiciel fourni par le Ministère de l'Intérieur, puis ces données sont envoyées à un prestataire privé ( on parle bien de photos, données biométriques comme les empreintes digitales, données d'état civil etc...).

Pour vérification, les passeports biométriques des ressortissants sont lus sur des super ordinateurs sous Vista sans Service Pack, sans antivirus, directement relié au réseau Internet et non interne qui sont de vraies passoires.

Cela ne choque personne à part les informaticiens qui ne sont pas écoutés. Alors maintenant quand j’entends parler d'audit, de CNIL et compagnie, cela me fait bien rigoler.

Dans les pays où l’État a confié la réception des demandes à un prestataire privé, les frais de dossier doivent être versés à ce prestataire. Ce dernier peut aussi réclamer à l'étranger des frais de service supplémentaires.
Source d'au dessus : http://vosdroits.service-public.fr/F18141.xhtml
1  0 
Traroth2
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 22/07/2013 à 14:41
CC-BY-NC-ND n'est pas une licence open-source, au sens de l'OSI.
0  0 
supergeoffrey
Avatar de supergeoffrey
Membre expérimenté https://www.developpez.com
Le 22/07/2013 à 15:10
Seulement, il convient de préciser qu'il ne s'agit que de la partie serveur.
Le faite que le code client ne soit pas open-source, pourrait faire douter à un anonymat des votes. Rien ne dit que l'application de vote envoie les résultats uniquement au serveur avec le code open-source.
0  0 
Carhiboux
Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 22/07/2013 à 15:34
La raison avancée pour ne pas divulguer la partie cliente se tient, mais me semble tout de même assez légère.

Certes, les internautes, dans leurs immense majorités, sont ignorants de ce qu'ils font. Le phishing ne leur évoque pas grand chose, alors essayer de les éduquer sur comment l'éviter... n'en parlons pas.

Maintenant... si c'est une interface publique, et elle doit bien l'être si des gens doivent y accéder pour voter, il est relativement enfantin de repomper l'interface et de créer un faux site de vote qui renverrait toutes les informations vers un serveur corrompu.

Dans tous les cas, c'est déjà un premier pas que ce pan de code soit divulgué. Reste que cela n'est sans doute pas suffisant pour convaincre les réfractaires que le vote électronique n'est pas manipulable ou manipulé.
0  0 
Commenter Signaler un problème