Le comté de l'Utah est l’entité gouvernementale américaine la plus récente à tester une application de vote mobile basée sur blockchain pour permettre aux électeurs militaires absents et aux membres de leur famille vivant à l'étranger de voter lors des prochaines élections primaires municipales. Le comté, qui compte plus d'un demi-million d'habitants, est le troisième aux États-Unis à s'associer à Tusk Philanthropies dans le cadre d'un effort national visant à étendre le vote mobile. Ce projet pilote est le fruit d'une collaboration entre la division électorale du comté de l'Utah, Tusk Philanthropies, le National Cybersecurity Center et Voatz, développeur d'applications électorales basé à Boston.
Le vote électronique a commencé dans ce comté le 28 juin et se poursuit jusqu'à 20 h le jour du scrutin, le 13 août. Les électeurs autorisés peuvent participer à cette élection en choisissant de voter sur leur smartphone. Ils remplissent une demande de vote par correspondance, s’authentifient et vérifient leur identité sur l'application Voatz, et peuvent ensuite soumettre leur bulletin de vote pour l'élection. Environ 45 électeurs ont été invités et « une poignée » ont déjà voté en utilisant l'application mobile, selon le CEO de Voatz, Nimit Sawhney.
De nombreux tests réalisés aux Etats-Unis
Pour les élections fédérales et locales, la plateforme de vote mobile Voatz n'est pour le moment proposée qu'aux militaires en service actif, à leurs personnes à charge éligibles et aux autres électeurs étrangers utilisant leurs smartphones. Jusqu'à présent, Voatz a été utilisée dans quatre projets pilotes d'élections publiques (et 40 élections en tout) : les élections primaires de 2018 en Virginie occidentale ; les élections de mi-mandat de 2018 en Virginie occidentale ; les municipales générales cette année dans la ville et le comté de Denver ; et les élections de deuxième tour municipales de 2019 en ville et dans le comté de Denver.
Le secrétaire d'État de la Virginie occidentale, Mac Warner, a estimé que 144 électeurs absents de l’Etat vivant dans 30 pays différents ont voté aux élections de mi-mandat de 2018 en utilisant l'application de Voatz sur des appareils mobiles approuvés. Alors que M. Warner a fait l'éloge de l'application sécurisée pour permettre aux militaires et aux personnes à leur charge de voter, son chef de cabinet adjoint, Mike Queen, a déclaré que l'État n'avait pas l'intention d'étendre l'utilisation de Voatz. « Nous avons fait preuve d'une diligence raisonnable dans le cadre de ce processus et nous avons examiné sérieusement toutes les plaintes et préoccupations au sujet de la technologie blockchain », a déclaré ce dernier. « Non seulement la blockchain sécurise le vote, mais Voatz a aussi mis en place un système de sécurité biométrique unique en son genre qui comprend la reconnaissance faciale et les empreintes du pouce. »
Tout le monde n’a pas un smartphone haut de gamme
Voatz a aussi été utilisée dans le cadre d'élections non publiques telles que les congrès des partis politiques des États, le vote en caucus, au sein de syndicats, d’organisations à but non lucratif et pour les élections du gouvernement étudiant dans les universités, a énuméré le CEO de l’entreprise. « Dans un avenir proche, nous prévoyons que les projets pilotes soient étendus aux citoyens handicapés ou à d'autres électeurs absents de façon graduelle, étape par étape », précise M. Sawhney. Cela dit, tout le monde n'est pas enthousiasmé par la perspective du vote dématérialisé.
Michela Menting, directrice de la recherche sur la sécurité numérique chez ABI Research au Royaume-Uni, a déclaré que les applications de vote mobile présentent des lacunes en termes de facilité d'utilisation et de sécurité. D'une part, tout le monde n'a pas un smartphone haut de gamme. « En outre, ce terminal devrait stocker en toute sécurité un hachage de vos informations biométriques afin de les utiliser depuis le téléphone pour vérifier votre identité », ajoute la chercheuse. Mais en fait, c’est l'entreprise qui traite les données biométriques et qui doit s'assurer qu'elles sont sécurisées. « Ainsi, un acteur comme Voatz devrait s'assurer qu'elle applique les normes de sécurité les plus élevées à la gestion de ces données », complète Mme Menting.
Encore trop de problèmes de sécurité
Point de vue partagé par Jeremy Epstein, vice-président du Technology Policy Council de l'Association for Computing Machinery (ACM), qui déclare dans un récent rapport que les nouvelles technologies, blockchain comprise, ne permettent pas de résoudre les problèmes de sécurité insolubles inhérents au vote en ligne. « Ces problèmes comprennent les attaques de pénétration des serveurs, les logiciels malveillants des périphériques clients, les attaques par déni de service et les attaques par interruption de service. Infecter les ordinateurs des électeurs avec des logiciels malveillants ou infecter les ordinateurs du bureau des élections qui comptent les bulletins de vote sont deux méthodes efficaces de corruption à grande échelle », peut-on lire dans son rapport.
Tant qu'il n'y aura pas de percée technologique fondamentale dans le domaine de la sécurité sur Internet, la meilleure méthode pour protéger l'intégrité électorale est celle qui a fait ses preuves : les bulletins de vote par correspondance. Bien qu'ils ne soient pas inviolables, les bulletins de vote en papier « ne sont pas vulnérables aux mêmes fraudes ou manipulations associées au vote par Internet », indique M. Epstein.
Comment fonctionne l’application ?
Voatz fait partie d'une petite communauté de plateformes de vote mobiles utilisant la même technologie comme système de vote distribué comme Votem, SecureVote et Scytl. L'application de Voatz est, elle, basée sur le framework HyperLedger créé par IBM et maintenant supporté par la Linux Foundation. Pendant l'élection, des nœuds de validation vérifiés (serveurs) sont utilisés, répartis entre AWS et Microsoft Azure, dont chacun est géographiquement distribué. L’application est accessible sous Android ou iOS.
L’authentification est un processus en trois étapes qui utilise la caméra du smartphone et ses caractéristiques biométriques (empreintes digitales ou reconnaissance faciale). Tout d'abord, l'électeur scanne son permis de conduire ou son passeport ; ensuite, il prend une vidéo « selfie », et enfin il touche le lecteur d'empreintes digitales de son smartphone, qui prouve qu’il s’agit bien de l'appareil de l'électeur concerné. Une fois qu'un électeur est authentifié, l'application fait correspondre le « selfie » et la photo de la pièce d’identité fournie et confirme le droit de vote de l’électeur en consultant la base de données de l'État sur l'inscription des électeurs. « Conformément à notre engagement envers la protection de la vie privée et la sécurité, les photos d'identité des électeurs et les auto-identifiants sont supprimés peu de temps après la vérification et ne sont pas utilisés à d'autres fins que la vérification de l'identité des électeurs », assure Nimit Sawhney. « Les informations biométriques ne quittent jamais le stockage sécurisé sur les appareils mobiles et ne sont pas stockées sur des serveurs distants. »