Les leçons humbles de nos prédictions technologiques passées
Notre histoire technologique est remplie de prédictions erronées. En 2010 je prédisais que les tablettes informatiques étaient inutiles, n’étant ni de véritables smartphones ni de véritables ordinateurs. « Elles disparaîtront d’ici 3 ans », affirmais-je avec conviction. Pourtant, l’expérience nous enseigne de ne jamais présumer qu’une technologie ne saura trouver sa place dans un domaine spécifique [1]. À l’inverse, ignorer les limites inhérentes à ces nouvelles technologies est tout aussi risqué : cela pourrait mener à des comportements d’adhésion aveugle, loin de la prudence scientifique nécessaire pour évaluer les risques et nous préserver des dérives potentielles.
La blockchain, révolution et obstacles
La blockchain est une technologie conçue pour assurer l’inscription immuable de données, sans intermédiaires, accessible à tous et offrant une garantie d’authenticité. C’est ainsi qu’elle est devenue le socle de crypto-monnaies comme le Bitcoin et Ethereum. Cependant, cette technologie n’est pas exempte de limites : impact environnemental, anonymat non garanti, et résilience incertaine face au déchiffrement futur…. La révolution de la blockchain est indéniable, mais lui attribuer toutes les vertus serait aussi absurde que de nier l’ampleur de son impact disruptif.
La blockchain et le vote face au principe de réalité
Certains enthousiastes de la blockchain (voire blockchain-idolâtres) affirment qu’elle rendrait possible un vote électronique totalement dématérialisé, anonyme et et vérifiable (donc sécurisé). L’affirmer aujourd’hui revient hélas à nier le principe de réalité car cette vision semble ignorer plusieurs réalités techniques et scientifiques.
- L’illusion de l’anonymat : La blockchain ne garantit pas l’anonymat mais plutôt une pseudonymisation, où les identités sont remplacées par des pseudonymes. Dans le cadre du vote, il est nécessaire de lier les identités des votants à des adresses spécifiques. Cette liaison nécessaire entre les identités réelles et les pseudonymes de la blockchain crée une faille dans le système, compromettant la promesse d’un anonymat absolu. Nous ne sommes donc pas dans une anonymisation mais dans une pseudonymisation.
- Incompatibilité entre anonymat et vérifiabilité : Les travaux de recherche ont démontré que tout vote dématérialisé anonyme est intrinsèquement invérifiable. La blockchain ne peut échapper à cette réalité scientifique qui n’a jamais été infirmée. Les travaux de Chevalier-Mames et al. ont en effet abouti à démontrer qu’il existe une incompatibilité fondamentale entre la vérifiabilité universelle des votes et l’anonymat dans le vote dématérialisé [2].
- Introduction du doute sur la sincérité : À l’instar d’un vote par procuration, la blockchain ne garantit pas à l’électeur la transparence et n’a donc pas de moyens de convaincre un électeur de la sincérité des opérations. Cela introduit un doute dans le résultat de l’élection qui sape l’autorité des personnes élues.
- Vulnérabilité des maillons du processus : Même parée de toutes les vertus, la blockchain ne constitue qu’une partie de la chaîne de traitement. Même si l’on supposait son usage comme fiable et vérifiable, cela ne protégerait quand même pas les autres maillons du processus. Par exemple, le poste client utilisé pour le vote pourrait être compromis par des logiciels malveillants (de type man-in-the-browser, tel Zeus) qui peuvent manipuler l’interface en temps réel.
- Risques de future révélation des votes : Enfin, et c’est le plus problématique, la blochain porte intrinsèquement le danger majeur de révélation du contenu intégral des votes le jour où l’un de ses protocoles de chiffrement est cassé, car elle est conçue pour rester publique à long terme. Or, les experts en sécurité informatiques savent que toute implémentation de protocole sera fort probablement brisée un jour, compromettant alors la confidentialité des votes. Or, comme il n’y a pas de possibilité de revenir en arrière une fois la blockchain écrite, les données sont donc à la merci d’une future faille. Une question cruciale reste : êtes-vous prêt à prendre le risque que vos votes soient dévoilés un jour, même dans dix ans ?
[1] Les oracles malchanceux sont nombreux. En voici quelques exemples savoureux:
- « Internet ? On s’en fout, ça ne marchera jamais ! ! » Pascal Nègre, PDG d’Universal – 2001
- « Il n’y a aucune chance pour que l’Iphone obtienne des parts de marché significatives. Aucune chance. » – Steeve Balmer, PDG de Microsoft – 2007
- « Théoriquement, la télévision est possible, mais je la considère comme une impossibilité – une percée à laquelle nous ne devrions pas perdre de temps à rêver. » – Lee de Forest, inventeur du tube cathodique, 1926
- « Je crois qu’il y a un marché mondial pour peut-être cinq ordinateurs. » – Thomas J. Watson, président du conseil d’administration d’IBM, 1943
- « Nous ne fabriquerons jamais un système d’exploitation à 32 bits. » – Bill Gates, fondateur de Microsoft, 1983
- « Je prédis qu’Internet… sera une supernova et qu’en 1996, il s’effondrera de façon catastrophique. » – Bob Metcalfe, fondateur de 3Com, 1995
- « Les tablettes informatiques sont inutiles car sont ni des vrais smartphones, ni des vrais ordinateurs. Elles disparaîtront d’ici 3 ans. » Hervé Suaudeau, dans son salon, 2010.
[2] Benoît Chevallier-Mames, Pierre-Alain Fouque, David Pointcheval, Julien Stern et Jacques Traoré. On some incompatible properties of voting schemes. Towards Trustworthy Elections, 6000 :191–199, 2010 : Bien que la démonstration de leur théorème soit difficile d’accès pour un non spécialiste, la conclusion de l’article scientifique est sans appel (traduction personnelle) : « En conclusion, nous avons montré que les systèmes de vote ayant les caractéristiques habituelles ne peuvent pas vérifier les notions de sécurité fortes toutes en même temps : nous ne pouvons pas parvenir simultanément à la vérifiabilité universelle (vérifier même le calcul du décompte par les autorités) du décompte des voix et à la confidentialité inconditionnelle des votes ou à la ‘receipt-freeness’ » (l’absence de preuve de son vote protège l’électeur contre la coercition).