mardi 22 juin 2021

Vote électronique, la fausse bonne idée

Comme à chaque élection, en particulier lorsque l’abstention est forte comme dimanche dernier, l’idée du vote électronique refait surface, comme si ça allait être la solution miracle pour remobiliser les citoyens[1]. Il n’y a aucun doute que leur simplifier la vie peut aider, et pourtant, je pense que le vote électronique n’est pas une bonne idée (ce que j’ai cru à une époque).

J’ai fait une brève apparition sur BFM Business pour en parler :

Tristan Nitot à la télévision

émission le débriefing de Tech&Co de BFM Business

Pourquoi est-ce une fausse bonne idée ?

Repartons des grands principes du vote par exemple pour l’élection présidentielle en France :

  1. Le vote doit être secret (pour éviter la coercition, que quelqu’un torde le bras à l’électeur pour voter dans une direction bien précise)
  2. Le citoyen doit avoir confiance dans le fait que son bulletin est correctement comptabilisé une fois et une seule fois (pour lui et tous les autres votants)

Autre chose ?

Bien sûr, on peut avoir envie d’un décompte plus rapide, moins coûteux en effort, ne nécessitant pas un déplacement du citoyen pour voter. Mais ce sont des objectifs secondaires, et ils ne doivent pas compromettre les deux grands principes que sont le secret et la confiance.

En fait, il y a vraiment deux problèmes qu’on peut essayer d’adresser en numérisant le vote :

  1. La rapidité du décomptage des voix
  2. Le vote à distance

Ce sont deux problèmes très différents, nous allons donc les séparer et nous focaliser sur le vote électronique à distance.

Le vote papier

Pour résoudre le problème en tenant des deux grands principes, on a mis en place en France le processus suivant :

  1. Le citoyen est listé sur une liste électorale (et une seule, normalement)
  2. Il s’identifie avec une pièce d’identité
  3. Il prend plusieurs bulletins de vote et une enveloppe
  4. Il va s’isoler (seul, donc) dans un isoloir, met un seul bulletin dans l’enveloppe qu’il referme, avant de jeter les autres bulletins dans une corbeille à la sortie de l’isoloir[2]
  5. Il met l’enveloppe fermée dans une urne transparente
  6. Il signe la liste
  7. On lui propose de venir dépouiller les bulletins de vote (la plupart des gens refusent, mais je vous encourage à le faire au moins une fois, c’est très instructif et moins barbant qu’on pourrait le croire).

Ce qui est intéressant dans ce processus qui peut sembler très compliqué pour finalement un truc simple, c’est qu’on s’assure de l’identité de la personne (étapes 1 et 2) et qu’il ne vote qu’une seule fois. En prenant plusieurs bulletins (n’en prendre qu’un n’est pas autorisé) et une enveloppe, en le faisant passer dans un isoloir, en lui permettant de jeter les bulletins non utilisés (étapes 3 et 4), on s’assure que son choix est secret et non contraint.

L’urne transparente (étape 5) permet de rassurer l’électeur que son bulletin va rejoindre les autres, et qu’il n’y a pas de double fond ou d’embrouille de ce genre, ou de bulletin déjà mis dedans en début de scrutin.

En le faisant signer en face de son nom dans le registre (étape 6), on s’assure qu’il ne viendra pas voter plusieurs fois (sauf erreur ou malversation, il ne figure que sur une seule liste)

L’étape 7, au dela de permettre de trouver de la main d’œuvre pour le dépouillement, permet de s’impliquer et de vérifier que le décompte des voix n’est pas truqué.

Et coté numérique, à distance ?

  • On ne peut pas s’assurer que c’est bien la bonne personne qui vote (quelqu’un qui aurait votre mot de passe ou aurait enregistré son empreinte digitale ou son visage dans votre téléphone par le passé) ;
  • On ne peut pas s’assurer que vous ne subissez pas de pression pour voter dans un sens ou un autre ;
  • On ne peut pas facilement s’assurer que votre terminal n’est pas victime d’une cyber-attaque qui permettrait la modification de votre vote ;
  • Le citoyen n’a pas de moyen de valider que son vote est bien pris en compte (et si quelqu’un a piraté le serveur et fait pencher la balance d’un coté de façon artificielle ?) ;
  • Il n’est pas techniquement trivial d’empêcher le logiciel serveur de faire le lien entre une personne et son vote (auquel cas le vote ne serait plus secret) tout en permettant la traçabilité ;

Bref, c’est possible de voter à distance de façon électronique, mais on perd beaucoup en confiance et en secret.

Alors c’est foutu ?

En fait, comme vous le constatez, le problème est considérablement plus complexe qu’on ne le pense au premier abord. Néanmoins, des chercheurs en informatique et cryptologie se penchent sur ce sujet depuis plusieurs décennies, et les progrès sont intéressants.

Mon ancien collègue mozillien Ben Adida fait partie de ces chercheurs. Il participe à deux projets en ce sens : Helios Voting (vote électronique à distance) et VotingWorks (vote électronique dans un bureau de vote avec trace papier). Un autre projet fait par le CNRS et INRIA, appelé Belenios, vise comme Helios à permettre le vote électronique à distance.

Mais la FAQ de Belenios est formelle :

aucun des systèmes de vote existants n’offre le même niveau de garantie de sécurité que le vote traditionnel sur papier

A notre avis, aucun des systèmes de vote existants n’offre le même niveau de garantie de sécurité que le vote traditionnel sur papier (tel qu’il est organisé en France par exemple). En effet, les élections à fort enjeu nécessitent des systèmes qui assurent simultanément le secret du vote, la résistance à la coercition et la vérifiabilité, sans avoir à faire confiance aux autorités organisatrices ou au prestataire qui gère l’élection. En outre, un système de vote devrait également protéger contre la corruption de l’ordinateur des électeurs : même si l’ordinateur l’électeur est compromis (par un logiciel malveillant par exemple), il ne devrait toujours pas être possible de changer le vote choisi par l’électeur ni même de divulguer son vote.

Helios dit la même chose dans sa FAQ :

Online elections are appropriate when one does not expect a large attempt at defrauding or coercing voters. For some elections, notably US Federal and State elections, the stakes are too high, and we recommend against capturing votes over the Internet. This has nothing to do with Helios itself: we just don’t trust that people’s home computers are secure enough to withstand significant attacks.

Pourtant, le recours à du logiciel au code ouvert, donc auditable comme Helios et Belenios et à des méthodes cryptographiques avancées permet de résoudre une partie du problème (par exemple chiffrer le vote dans le navigateur, en espérant qu’il n’ai pas été corrompu). On se rapproche d’une solution, mais on n’y est pas encore.

Voilà donc pourquoi je ne pense pas que le vote électronique soit possible actuellement, si on veut protéger les deux principes démocratique que sont le secret du vote et la confiance que peut avoir le citoyen par sa capacité à auditer le processus.

d’autre sources qui complètent le propos

Notes

[1] Voir la conclusion de l’article de Numérama en fin d’article.

[2] Alors là, je fais très attention à ce que l’autocorrect ne corrige pas isoloir en urinoir !

lundi 26 avril 2021

Le Bitcoin est-il écolo ?

Empreintes annuelles du Bitcoin, avr. 2021

Voilà deux questions que je me posais depuis quelque temps : quelle est la consommation d’énergie électrique de la fameuse cryptomonnaie bitcoin ?[1] Cette dernière est-il écolo ?

La réponse apportée est un NON retentissant, et voici la preuve en quelques chiffres :

  • 48 millions de tonnes de CO2 émis par an, comparable aux émissions de la Norvège ;
  • Plus de 100 TeraWatts heure, comparable à la consommation électrique annuelle du Kazakhstan ;
  • Plus de 11 000 tonnes de déchets électronique soit autant que le Luxembourg chaque année.

Et quelle est l’empreinte d‘une seule transaction Bitcoin ?

  • 445 kg de CO2, soit près d’un million de transactions VISA, ou 74 000 heures de Youtube ;
  • 937 kWh d’électricité, soit 2,4 mois d’électricité d’un foyer français ;
    • autrement dit, 5 transactions Bitcoin sont égales à la consommation en électricité d’un foyer français en un an ;
  • Plus de 100 g de déchets électroniques. PAR TRANSACTION !

On peut se demander comment se compare l’Ethereum. C’est 12 fois moins, mais c’est encore énorme.[2]

Bref, la prochaine fois qu’un geek vous jure qu’il est super écolo la main sur le cœur, demandez-lui s’il mine du Bitcoin. Et s’il répond positivement, rappelez-vous que c’est comme si un mec en train de manger une cote de bœuf vous jurait — la bouche pleine — qu’il est végan.

Pourquoi le Bitcoin pollue-t-il autant ?

On reportera à cet article publié sur le site Eco-Info du CNRS, Consommation énergétique des technologies blockchain pour comprendre comment, structurellement, le Bitcoin est polluant. En voici un extrait, l’emphase est de mon fait :

“la sécurité (du Bitcoin) repose sur (…) son algorithme de consensus, la preuve de travail où, pour valider un bloc, les différents validateurs sont en compétition pour résoudre un problème cryptographique dont la difficulté est ajustée automatiquement pour qu’en moyenne, un bloc soit validé toutes les 10 min.

Autrement dit, on fait tourner des ordinateur surpuissants pour une compétition autour d’un calcul mathématique, pour déterminer qui va remporter les bitcoins. C’est en cela que la monnaie des banques est infiniment plus économique, car lui n’a pas à résoudre un tel problème pour montrer sa légitimité[3].

Notes

[1] Il ne faut surtout pas confondre la crypto-monnaie bitcoin — qui est un désastre écologique — avec la technologie blockchain, ni avec les autres crypto-monnaies, lesquelles peuvent être moins énergivores car pas basées sur la “preuve de travail” du bitcoin. Voir cette explication sur le site du CNRS

[2] On notera que l’Ethereum envisage de quitter l’approche proof of Work (preuve de travail) — qui provoque cette consommation délirante d’énergie — pour passer à la proof of stake (preuve d’enjeu). Ce changement serait pour bientôt et permettrait de diviser la facture énergétique par au moins 100, mais les mineurs qui ont investi dans la preuve de travail veulent bloquer le processus, preuve de leur totale absence d’éthique. Comme de nombreux pétroliers, gaziers, industriels de l’automobile et de l’aviation, ces gens prefèrent avoir du sang sur les mains et envoyer l’humanité dans le mur plutôt que de changer de business model !

[3] Cela n’empêche pas les banques de polluer par leur financement des énergies fossiles par ailleurs. cf le rapport Banking on Climate Chaos.

mercredi 24 mars 2021

Pouvoir voler en 2050

Patrouille de France en contre-jour

J’écrivais il y a quelques semaines que le changement climatique change tout, dans tous les secteurs. En voici un nouvel exemple, dans un secteur qui fait face à sacré défi. Ici, nous avons une partie de l’industrie qui prend le lead face à la difficulté, et c’est passionnant !

Pouvoir voler en 2050 : Quelle aviation dans un monde contraint ? présente le dernier rapport du Shift Project, avec une belle déclaration que de nombreuses professionnels de l’aérien devrait adopter, et que tout le monde devrait transposer à son domaine d’activité, du pétrole à la chimie, au tourisme et au numérique :

« Nous qui aimons l’aviation et qui pour beaucoup en ont fait leur métier, nous qui aimons la technique, les grandes découvertes, toute cette prodigieuse intelligence humaine mobilisée pour faire voler des machines, nous affirmons aimer plus encore la vie, la nature et la science – cette science qui décrit aussi rigoureusement les phénomènes aérodynamiques et climatiques, cette science dont on ne peut à la fois jouir des bienfaits et ignorer les bouleversements qu’elle projette.

Nous, ingénieurs aéronautique, pilotes, contrôleurs aériens, employés de compagnies aériennes, usagers ou simples amoureux de l’aviation, las des discours clivants à son égard, signons ce rapport avec l’ambition de créer les conditions d’un débat apaisé sur sa capacité à réduire drastiquement ses émissions de gaz à effet de serre, dans des proportions compatibles avec un monde vivable en 2100. Nous, aérophiles climato-concernés, revendiquons pouvoir faire partie de la solution plutôt que du problème, en portant une parole transparente, désintéressée et scientifiquement étayée sur ce que peut faire – mais aussi ne peut faire – le secteur aérien pour se décarboner. »

Le changement climatique change tout, et certains sont capables de faire face, là où d’autres n’y arrivent pas (encore).

mercredi 13 janvier 2021

Par quoi remplacer WhatsApp ?

Bon, on va évacuer d’emblée ma colère en vous avouant que j’ai failli titrer ce billet « va te faire foutre, Zuckerberg ». Voilà, c’est dit, ça va mieux, on va pouvoir passer à la suite. Pourquoi suis-je en colère ? À cause d’une nouvelle bourde de Facebook, qui a après avoir acheté l’application de messagerie instantanée sécurisée WhatsApp, vient en toute logique de pondre de nouvelles conditions générales d’utilisation qui vont lui permettre de collecter des données personnelles (pour faire de la publicité ciblée). Au sein d’une messagerie sécurisée.

Comme le dit Raphael Grably, journaliste tech chez BFM :

Vous voulez utiliser WhatsApp sans livrer vos données à Facebook? Ce ne sera plus possible à partir du 8 février prochain.

Le très juste Michel Audiard disait « Les cons ça ose tout, c’est même à ça qu’on les reconnait ». Les fumiers aussi. Sauf que Zuckerberg n’a même pas l’excuse d’être con.

Depuis quelques jours, WhatsApp m’affiche un message me disant que dois accepter les nouvelles conditions juridiques et donc d’être espionné. Et je refuse. Donc je me prépare à quitter WhatsApp, d’autant que non seulement ils collectent les données, mais ils prévoient d’en faire encore plus à l’avenir[1] !

Mais par quoi remplacer WhatsApp, et sur quels critères ?

Aujourd’hui, il y a de nombreuses messageries instantanées disponibles. Comment s’y retrouver ? Heureusement, il existe des comparatifs :

Signal me semble être la meilleure solution, celle que je recommande à tous mes proches, et pas seulement parce qu’elle est recommandée par Edward Snowden (bis) ou Bruce Schneier.

Pour être sûr qu’un logiciel soit sécurisé, il faut que son protocole de chiffrement soit documenté et que son code soit ouvert. C’est le cas de Signal, coté serveur (AGPL v3) mais aussi pour Android, et iOS. Son protocole a été audité par un chercheur en crypto de l’ANSSI (la très sérieuse agence de cybersécurité du gouvernement).

Il y a aussi d’autres critères. Par exemple, WhatsApp était sécurisé, mais il était aux mains de personnes peu recommandables[2]. Signal, pour sa part, est édité par l’organisation à but non-lucratif Signal.org, qui est financée par des dons. C’est un signal (ahah) fort en terme de business model : là où Facebook collecte des données pour vendre des publicités ciblées, Signal.org n’a pas de but lucratif.

La taille (du réseau) ça compte

« Oui, mais mes amis sont sur WhatsApp me suivront-ils ? »

C’est un point crucial. Les geeks connaissent la loi de Metcalfe, qui dit (je simplifie) que la valeur d’un réseau augmente fortement avec le nombre de personnes qui y sont connectées. C’est pour ça que quand un réseau est populaire, c’est très difficile de le déloger de sa position dominante. On a quand même réussi à se débarrasser du Telex et du Fax, donc il y a de l’espoir :-)

Bref, pour que la migration vers un autre réseau soit réussie, il faut que vos amis vous suivent. C’est tout l’objectif du présent billet : Signal est le réseau qu’il faut recommander en priorité, et ce pour les raisons suivantes :

  1. C’est un bon produit, sécurisé et convivial ;
  2. Il est déjà populaire, en tous cas parmi les plus populaires
  3. Pousser un réseau en particulier, c’est lui donner plus de chance d’émerger et de déloger WhatsApp.

Mais rassurez-vous, la beauté de la chose est que vous n’avez pas à choisir entre Signal et d’autres comme Telegram ou Wire : vous pouvez installer plusieurs applications sur votre téléphone. Mais je vous encourage à indiquer que c’est Signal que vous préférez[3].

Alors que faire ?

Voici comment je vois les choses, c’est à dire ce que je vais faire et que je recommande :

  1. Installer Signal sur son smartphone et encourager ses proches à le faire (franchement, c’est trivial et les deux apps se ressemblent beaucoup en terme de fonctionnalités) ;
  2. Changer sa bio WhatsApp (dans le menu Réglages) pour dire qu’on va fermer son compte prochainement et qu’on va vers Signal à la place, par exemple Quittons WhatsApp pour Signal pour éviter le pompage de nos données. Installe l’app Signal (ce compte sera prochainement détruit).
  3. Si on a des groupes/boucles (c’est mon cas) : créer des groupes équivalents dans Signal et annoncer dans chaque groupe WhatsApp la migration avec une deadline ;
  4. Contacter ses contacts importants / fréquents pour les prévenir du changement (voir ci-dessous) ;
  5. Le 8 février, fermer son compte WhatsApp ou désinstaller l’application (c’est moins bien mais c’est un compromis acceptable) ;
  6. Le faire savoir sur les réseaux sociaux ! (Twitter, LinkedIn, Facebook, Juste avant de fermer son compte Facebook ;-)
  7. Facultatif : hurler « Vas te faire foutre Zuckerberg » depuis sa fenêtre ouverte ;-)

BONUS TRACK, un exemple de message à copier / coller

Comme je sais qu’il y a parmi des lecteurs des gens aussi flemmards que moi, je reprends ici le message que Mozilette envoie à ses contacts, pour vous faciliter la vie :

Hello !

Juste pour t’informer qu’à partir du mois prochain je ne serais plus joignable sur WhatsApp

Tu me connais, j’aime faire gaffe à mes données et ne suis pas hyper à l’aise avec les dernières décisions de Facebook/WhatsApp (j’ignore si t’es au courant), du coup j’ai pris la décision de passer sur Signal App ! (Plus sécurisée, plus respectueuse de nos données que Whatsapp, et déjà utilisée par plein de gens en fait). Et si jamais avoir une app en plus sur ton téléphone est trop te demander, tu peux m’écrire par SMS ou email comme au bon vieux temps : 06 XX XX XX XX ou par mail sur blablabla@example.com

Et ne me cherche pas sur Facebook, je suis en train d’y supprimer mon compte aussi :)

Pour me joindre, ce sera donc dorénavant sur Signal !

On peut déjà commencer à se réjouir

En effet, Signal est en tête des téléchargements sur Android. En voilà une excellente nouvelle !

Je compte sur vous pour migrer et faire migrer vos proches sur Signal, qu’on arrive à desserrer un peu les griffes de Zuckerberg sur nos vies privées !

Notes

[1] Comprendre : « Pour l’instant, on ne peut pas vous entuber avec vos données à la hauteur de ce qu’on voudrait, mais on continue d’essayer ».

[2] Si vous avez un doute, je vous encourage à lire les 57 pages A4 de l’article Wikipédia Criticism of Facebook, votre doute devrait se dissiper rapidement.

[3] Note : cela va sans dire que je ne suis bien sûr pas rémunéré pour dire cela (mais ça va mieux en le disant).

dimanche 15 novembre 2020

Allo Apple, on a un problème !

Voir la mise à jour en fin de billet avant de diffuser l’information (en gros, Apple fait marche arrière). Sinon, lire Les utilisateurs de macOS Big Sur pistés par Apple ? Ce n’est pas aussi simple…

Je découvre avec stupéfaction qu’Apple surveille les utilisateurs de Mac.

En effet, MacOS envoie silencieusement à Apple une empreinte (un identifiant) pour chaque logiciel que vous utilisez(mise à jour : c’est en fait un identifiant du développeur qui a fait le logiciel, pas le logiciel lui-même[1]). Cela fait plusieurs mois que cela dure. Il était possible de modifier ce comportement si on allait bidouiller dans le système mais visiblement, avec MacOS Big Sur (la nouvelle version qui vient de sortir), cela va devenir impossible à désactiver. Ah, et les nouveaux Mac ne fonctionne qu’avec Big Sur…

Bien sûr, l”excuse invoquée est la sécurité via la lutte contre les malware. Je ne nie pas que cela puisse avoir un intérêt pour les béotiens, mais cela doit être transparent et désactivable pour qui le souhaite.

copie d'écran du site Apple qui promet la main sur le coeur que la vie privée ça compte pour eux

Qu’est-ce que cela signifie ?

  1. À chaque fois qu’on lance une application sur un Mac, Apple récupère la date et l’heure, l’identifiant du développeur, l’adresse IP de l’ordinateur ;
  2. Cette information transite en clair sur le réseau, ce qui veut dire que des personnes mal intentionnées peuvent la récupérer
  3. Ces personnes, Apple en tête, savent qui a fait les logiciels que vous faites tourner sur votre ordinateur, y compris des logiciels sensibles comme par exemple Tor Browser.

De façon générale, c’est très inquiétant car les ordinateurs personnels, depuis leurs débuts, sont des general purpose computers, des outils sur lesquels on peut faire tourner les logiciels que l’on veut, quitte à les écrire soi-même. Avec un tel système, l’ordinateur se retourne contre son propriétaire.

Pour Apple, qui prétend respecter la vie privée, ça l’est encore plus. Alors Apple, on corrige le tir ou on retire sa page sur la confidentialité et on se met à copier Google ? On joue la transparence ou on enfume ses clients ? On permet de désactiver la fonctionnalité ou on force les utilisateurs (quitte à se prendre un shitstorm) ?

Mise à jour du 16/11/2020 08:30 :

Après publication de ce billet de blog et la levée de boucliers sur les blogs et réseaux sociaux, Apple vient de mettre à jour cette nuit son article Safely open apps on your Mac avec les modifications que j’attendais (merci Floflo530 pour l’info). On notera que l’essentiel est à ce jour une promesse dont il faudra vérifier qu’elle est tenue à l’avenir :

To further protect privacy, we have stopped logging IP addresses associated with Developer ID certificate checks, and we will ensure that any collected IP addresses are removed from logs.

In addition, over the the next year we will introduce several changes to our security checks:

  • A new encrypted protocol for Developer ID certificate revocation checks
  • Strong protections against server failure
  • A new preference for users to opt out of these security protections

Note

[1] Merci à Minable pour l’info, j’ai modifié le reste du billet pour rester exact.

- page 1 de 104