Élection Québec et l'arrêt de son projet pilote

Comme beaucoup de personnes qui travaillent en sécurité au Québec, je me réjouis de l’arrêt du projet pilote d’Élection Québec qui visait à instaurer le vote par Internet au Québec. Le nœud du problème n’était pas tant d’avoir une plateforme de vote par Internet, mais surtout que l’approche d’Élection Québec pour y arriver était un peu aberrant. Pour beaucoup de personnes qui ne travaillent pas en informatique cela peut paraître surprenant et je crois que cela vaut la peine d’expliquer un peu plus en détail le pourquoi du comment.

L’éléphant dans la pièce

Le plus gros éléphant dans la pièce du vote par Internet est qu’il n’existe aucune approche d’un point de vue théorique qui permet de garantir la sécurité d’un système sans traçabilité. Les applications critiques dans des domaines comme le bancaire arrivent à s’en sortir principalement parce qu’ils peuvent garder des journaux de toutes les transactions. On peut vérifier les données en regardant les journaux. Pour le vote par Internet, garder un journal de tous les votes c’est compromettre la confidentialité des votes. On ne peut donc pas garder un journal des votes. C’est principalement pour cela que la question du vote par Internet est très différente des autres applications web.

Au niveau de la recherche le plus proche qui existe en termes de solution sont des systèmes théoriques qui permettent aux électeurs de consulter après les élections leur propre vote. L’idée est que si on peut voir notre vote après les élections, on peut avoir confiance que notre vote a été bien compté. L’approche n’est pas sans défaut. Si quelqu’un clame que son vote a été changé, ces systèmes ne permettent pas d’évaluer si l’affirmation est vraie ou fausse. Dans une course serrée, si une centaine d’électeurs qui ont voté pour le 3e parti affirme que leur vote était pour le 2e parti, comment savoir si c’est vrai ou pas ? Même l’idée de refaire un scrutin quand des gens affirment que leur vote n’est pas le bon peut avoir des impacts drastiques sur le résultat final. Bref, il y a des idées intéressantes qui se brassent au niveau académique, mais on est encore loin de quelque chose d’idéal.

Mon opinion personnelle à ce sujet est que même si la question théorique reste sans solution, on peut quand même avoir quelque chose qui s’y rapproche suffisamment pour que cela soit acceptable. Ça reste, par contre, quelque chose qui est encore aujourd’hui difficile d’atteinte et qui va définitivement demander plus de recherche.

La sécurité par l’obscurité

Pour les raisons mentionnées précédemment, faire un système de vote par Internet c’est très délicat. J’avais moi-même soumis un mémoire sur les enjeux de sécurité liés au vote par Internet (ce n’est pas court comme document!). Une des principales recommandations que j’avais émises était que le développement de cette plateforme soit fait de façon ouverte. L’idée d’un développement ouvert est que plus il y a de paires d’yeux sur un problème plus on arrive à identifier un plus grand pourcentage des problèmes. En sécurité informatique, le diable est dans les détails et c’est très facile même pour les spécialistes de passer à côté de quelque chose d’important. Plus on a une approche qui est en collaboration avec l’ensemble de la communauté, plus en principe on arrive à quelque chose de mieux. Or, à ma grande surprise, Élection Québec à décider d’y aller avec une approche complètement opposée. L’opacité la plus totale. Des demandes d’accès à l’information ont été soumises pour connaitre l’approche “sécurité” qu’Élection Québec allait mettre en place et ces demandes se sont butées à des refus. En plus, l’approche choisit de faire affaire avec des compagnies privées pour l’achat d’un logiciel propriétaire de vote par Internet place Élection Québec dans une position où elle ne peut probablement pas publier le code source de celui-ci. C’est d’ailleurs pour cela qu’une de mes recommandations de mon mémoire avait été qu’Élection Québec se bâtissent une expertise interne. Une recommandation de plus qui a été ignorée! Ce qui est doublement choquant est que même le rapport sur le vote par Internet qu’Élection Québec a commandé indique très clairement que la majorité des entités électorales optent pour du développement ouvert.

ISO 27001, des bancs d’essai et des audits de sécurité

Élections Québec exigeait notamment que les fournisseurs aient participé à des expériences de vote lors de nombreuses élections d’envergure. Ils devaient aussi détenir une certification ISO 27001, une norme internationale en matière de sécurité qui comprend plus de 90 contrôles. La solution de vote par Internet devait passer des bancs d’essai et des audits de sécurité menés par des firmes indépendantes avant d’être sélectionnés et après la signature du contrat.

Ça peut paraître rigoureux comme approche, mais dans les faits c’est très boiteux. ISO 27001 est une norme qui définit principalement les processus qu’une entreprise devrait mettre en place. Là où le bât blesse, c’est qu’ISO 27001 n’est pas vraiment prescriptive sur comment les processus doivent être implémentés. On peut donc avoir en place des processus qui sont pourris et quand même être ISO 27001 parce qu’on a sur papier tous les processus. Les certifications ce n’est pas une panacée et j’en parlais d’ailleurs dans mon mémoire.

Les bancs d’essai et les audits ce n’est pas une panacée aussi. Un des sujets donc j’ai beaucoup discuté dans mon mémoire est qu’il n’est pas vraiment possible de définir une liste fixe d’élément à valider pour qu’un système soit sécuritaire. Les approches où on demande à une compagnie de venir regarder ce qu’on fait ça reste des validations arbitraires que la compagnie en question a choisies. Il y a nécessairement des éléments qui manquent. On peut pallier à ce problème en ayant plus de personnes qui regardent ce qui est fait, mais cela demande d’avoir une approche qui n’est pas de la sécurité par l’obscurité.

Une étude un peu bâclée

Élections Québec menait cet essai pour évaluer la pertinence d’introduire le vote par Internet au Québec afin de faciliter l’accès au vote. En 2020, l’institution avait réalisé une étude approfondie à ce sujet. La démarche se voulait prudente et graduelle : seul l’électorat d’un ou de quelques districts ou arrondissements de chaque ville participante aurait pu voter en ligne. En tout, jusqu’à 300 000 personnes auraient pu voter par Internet au Québec en 2025. Toutes les façons habituelles de voter auraient été maintenues.

Élection Québec affirme ici avoir “réalisé une étude approfondie à ce sujet”. Or, c’est une affirmation questionnable. La section “Les considérations techniques” ne fait que 21 pages, ce qui est très mince en termes de contenu. À titre de référence, mon mémoire qui portait sur une petite portion des considérations techniques en fait 22. Quand on regarde le texte de cette section, on est beaucoup dans des affirmations très vagues sans détail où on ne suggère rien ou ne recommande rien de concret.

Un exemple de ce problème est cet extrait du rapport. On ne fournit, avant ou après, aucun détail sur quelle mesure on devrait prendre pour protéger les infrastructures. On est beaucoup dans du “faut que ça soit sécuritaire” sans expliquer ce que ça implique ou ce qui devrait être fait.

Cette plateforme de vote devrait tenir compte de l’environnement numérique des opérations électorales. Elle serait protégée par le système de sécurité numérique prévu pour faire barrage aux tentatives d’actes malveillants et pour se prémunir contre les dangers qui ciblent les infrastructures technologiques.

On n’est pas vraiment dans une étude “approfondie” quand c’est ce que l’on pond.

Conclusion

J’espère que cette pause du projet pilote va être utilisée pour réajuster le tir par rapport à l’approche à prendre et aussi pour qu’il y ait une collaboration plus ouverte avec la communauté de sécurité informatique au Québec.