Personne sauf des détenteurs de la clé de déchiffrement, à la fin du scrutin, et ils n’ont aucun moyen de lier un vote à une personne.

Une fois l’élection terminée, la clé de déchiffrement est utilisée pour déchiffrer les bulletins de vote un à un, après un mélange cryptographique appelé mixnet, ou pour déchiffrer le chiffrement des votes agrégés (suivant la technique cryptographique de l’agrégation homomorphique). Il est donc impossible pour les détenteurs de la clé de déchiffrement de prendre connaissance d’un vote individuel d’un électeur.

Utiliser la clé de déchiffrement est une grande responsabilité. De ce fait, nous séparons cette clé en plusieurs morceaux que nous partageons entre différentes personnes (appelés porteurs de clé et choisis par les organisateurs de l’élection) dont les intérêts sont divergents. Cette manière de procéder garantit également la confidentialité des votes car il faut que tous les porteurs de clés soient réunis pour dépouiller l’élection.

L‘anonymat du vote n’est pas la confidentialité du vote. L’anonymat, c’est ne pas pouvoir savoir qui a voté. La confidentialité, c’est ne pas pouvoir savoir qui a voté pour quoi.

Notre système permet l’anonymat mais cette propriété n’est pas forcément nécessaire ou souhaitée selon les élections.

L’anonymat total du vote peut rendre complexe la vérification de la légitimité des électeurs.

Les activités de tout-un-chacun sur internet laissent énormément de traces (logs,…). Un fournisseur de services (tel qu’un fournisseur d’élection en ligne) peut prétendre qu’il va systématiquement détruire toutes les traces laissées par les utilisateurs mais il est vraiment malaisé voire impossible de vérifier de telles affirmations d’autant que l’ensemble de ces traces ne résident pas uniquement chez le fournisseur de service.

Heureusement, l’utilisation du système Agladys E-Vote ne rend pas l’anonymat du vote indispensable pour garantir la confidentialité. La confidentialité du vote est garantie de manière inaliénable et totalement indépendante de l’anonymat.

Non, pas nécessairement sauf si cela est souhaité.

On peut rendre la liste des électeurs privée, ou encore impossible à obtenir. On peut également procéder par droit de vote plutôt que par liste d’électeurs. Le principe est le suivant : une personne se présente et prouve qu’elle peut voter au moyen d’un système d’authentification.

C’est une étape délicate et primordiale à toute élection. Pour la mener à bien nous vous accompagnons et vous proposons les solutions les plus adaptées à vos besoins.

Plusieurs solutions d’authentification existent et nous sommes capables de nous interfacer avec votre propre système d’authentification si vous en avez un.

Nous travaillons bien sûr également sur la base d’une liste d’électeurs.

Le revote est une option du système qui peut être demandée mais qui n’est pas présente par défaut.

Le revote n’est pas dangereux, il s’agit simplement de remplacer son vote présent dans l’urne électronique par un nouveau vote. Chaque électeur n’ayant bien exprimé qu’un vote au final (seul le dernier exprimé compte).

Quelqu’un peut-il revoter à ma place ? Non. Un électeur doit s’authentifier pour voter ou revoter donc impossible de le faire à la place de quelqu’un. De plus chaque fois qu’un vote est soumis, une notification est envoyée à l’électeur.

Le revote est souvent bien apprécié des électeurs qui changent d’avis ou se trompent lors d’un vote. Il facilite aussi grandement le support.

Oui. Avant, pendant ou après l’élection sans aucun problème.

À la fin du processus de vote l’électeur reçoit un numéro de suivi (par mail ou imprimé sur kiosque).

Avec ce numéro de suivi, l’électeur peut vérifier que son vote a bien été pris en compte dans le résultat de l’élection.

Selon les paramètres propres à l’élection (nombre de scrutins, de candidats, règles de vote), nous utilisons différents cryptosystèmes homomorphes à clé publique en combinaison avec des techniques de mixnet et d’agrégation homomorphique des chiffrés. Les cryptosystèmes sont partiellement basés sur le chiffrement ElGamal retravaillé pour le vote et les mixnets sur ceux de D. Wilkstrom. Tous ces systèmes ont été largement étudiés, revus et éprouvés par la communauté scientifique de cryptologie.

Le mixnet est l’équivalent électronique du mélange de l’urne « en la secouant ».

Il s’agit de plusieurs permutations sélectionnées aléatoirement par différentes personnes (les mixeurs) aux intérêts divergents qui sont appliquées les unes à la suite des autres sur les bulletins de vote chiffrés.

La particularité de ces permutations est qu’elles vont mélanger les bulletins sans en changer le contenu. Pour garantir cela, chaque mixeur produit une preuve cryptographique qui montre que l’ensemble des bulletins avant et après permutation contiennent strictement les même votes chiffrés.

Le mixnet a donc pour fonction de casser le lien entre l’identité de l’électeur et son bulletin de vote, tout en garantissant que les bulletins de votes qui seront dépouillés sont bien ceux issus des électeurs.

Le principe de vérifiabilité universelle de bout-en-bout qu’assure le système Agladys E-Vote fournit une série de garanties sur l’élection aussi bien pour les électeurs que pour tout observateur :

• en tant qu’électeur, je veux être certain que mon vote est pris en compte sans altération dans le résultat de l’élection,
• en tant qu’électeur, je veux être certain que le résultat annoncé de l’élection correspond exactement à l’ensemble des votes soumis par les électeurs légitimes,
• en tant qu’observateur, je veux pouvoir vérifier que toutes les étapes de l’élection se déroulent correctement et sans malversation :
  • la génération des paramètres publics de l’élection;
  • la génération des clés de chiffrement;
  • le chiffrement des bulletins de vote, en ce compris : le respect des règles de l’élection, l’impossibilité de copier le bulletin de vote d’un tiers, l’intégrité des bulletins;
  • l’intégrité de l’urne électronique contenant les bulletins de vote chiffrés;
  • la concordance entre les bulletins de vote chiffrés contenus dans l’urne et le résultat de l’élection;
  • les moyens mis en place pour éviter la coercition;

La vérifiabilité est bien de bout-en-bout car elle commence avant l’élection et se poursuit jusqu’à l’annonce des résultats. La vérifiabilité est bien universelle car tout observateur extérieur peut s’en assurer et ce, sans casser la confidentialité du vote.

Pour chacun de ces points plusieurs mécanismes sont à l’œuvre pour garantir la vérifiabilité. Certains mécanismes font intervenir des preuves cryptographiques à divulgation nulle de connaissance. Ces preuves permettent de prouver à un tiers que l’on sait quelque chose sans pour autant que ce tiers puissent déduire quoique ce soit de ce quelque chose. Par exemple dans le vote, un électeur peut prouver à n’importe quel observateur que son bulletin chiffré respecte les règles de l’élection en ne dévoilant pourtant rien de son contenu.

Non car Agladys E-Vote propose des interfaces de vote simples et claires.

Pour un électeur, la manipulation de l’informatique peut être malaisée, c’est pourquoi nous mettons tout en œuvre pour que l’opération soit la plus directe possible.

La complexité technique n’est pas visible pour les électeurs. Elle ne l’est pas non plus pour les organisateurs mais elle fournit toutes les propriétés essentielles à toute élection : confidentialité et vérifiabilité. Elle permet de fournir des preuves intangibles et légalement opposable que le résultat du scrutin est correct. Finalement, elle fait en sorte qu’il ne faut pas faire confiance aux machines sur lesquelles on vote car le processus de vérification est indépendant des machines.

Non.

Le code de l’application permettant aux électeurs de voter est open source.

On peut donc vérifier que le code utilisé lors du chiffrement des bulletins est correct. Pour les autres mécanismes de vérification durant l’élection, les méthodes de chiffrement et de preuves à divulgation de connaissance nulle permettent de s’assurer de la validité de toutes les étapes du scrutin sans aucune nécessité de faire confiance au fait que le code soit open-source.

Oui, si c’est votre souhait.

Agladys possède sa propre infrastructure, hébergée dans une zone privative au sein d’un datacentre. L’équipement et le réseau est la propriété exclusive d’Agladys.

Oui, bien entendu, si votre infrastructure est compatible avec notre système.

Oui. Nous mettons tout en œuvre pour sécuriser toutes les composantes de Agladys E-Vote. Le système possède plusieurs dizaines de mécanismes de sécurités et nous le soumettons régulièrement à des attaques et des tests de pénétrations pour éprouver sa résistance.

En interne, nous travaillons rigoureusement selon la norme ISO27000 et OpenSAMM.

Finalement, aucune partie du produit n’est sous-traitée, aucun développement ni traitement n’est externalisé et l’entièreté de l’infrastructure nous appartient et est sous notre contrôle intégral.

Oui tout à fait.

Oui, c’est tout à fait possible. Avant, pendant ou après l’élection. Ces statistiques peuvent être publiques ou en accès restreint. En aucun cas, ces statistiques ne brisent la confidentialité du scrutin.

Oui, nous respectons scrupuleusement toutes les réglementations sur la vie privée dont le Règlement Général sur la Protection des Données.

Nos chefs de projets ont suivis le parcours pour être Délégués à la Protection des Données (DPO).

Non, il n’y a pas de limites.

Non. Chaque porteur de clé déchiffre indépendamment et partiellement les votes chiffrés. Cette opération ne leur fournit aucune information sur les votes. C’est en recombinant ces trois déchiffrements partiels (ou plus selon le nombre de porteurs de clé) que l’on obtient le résultat final de l’élection.

À la fin de l’élection, un ensemble de preuves mathématiques permet la vérification complète du processus de vote sans pour autant casser la confidentialité des bulletins de vote.

Pour auditer, il n’est nullement nécessaire d’avoir accès au code source (le code permettant le chiffrement des bulletins est quand à lui disponible) ni aux clés de déchiffrement qui sont de toutes façons détruites à la fin du scrutin.

Agladys effectue toutes les opérations d’audit à la fin de l’élection. Cet audit peut être fait autant de fois que souhaité par quiconque (vérification universelle) sans limite dans le temps. Les électeurs peuvent réaliser eux-même cet audit ou faire appel aux personnes de leur choix et en qui elles ont confiance pour le faire.

Principes généraux : Helios et Helios paper

Cryptosystèmes : HTDH2, PPAT et PPAT universel

Mixnet : Wilkstrom et EWOTE