13.3812 · Motion · 2013-09-26
Chancellerie fédérale
Liquidé
Wortlaut
Le Conseil fédéral est chargé de modifier les articles 27a à 27q ODP de telle sorte :1. qu'il mette un terme aux essais de vote électronique menés avec des systèmes de première génération ;2. que ne soient autorisés, dès à présent, que les systèmes non seulement qui garantissent la sécurité et l'anonymat du vote, mais aussi qui fassent en sorte que les électeurs puissent vérifier personnellement si leur suffrage a été transmis correctement, et que les résultats de la votation puissent être vérifiés a posteriori sans qu'il y ait violation du secret du vote (systèmes de deuxième génération);3. que des exceptions aux chiffres 1 et 2 ne soient prévues tout au plus, à titre provisoire, que pour permettre aux Suisses de l'étranger de voter ; et4. que le code source de tous les systèmes utilisés soit libre afin que toutes les personnes intéressées puissent déterminer s'il présente des points faibles ou des failles de sécurité.
Begründung
Les médias ont annoncé récemment qu'un hackeur avait pu s'introduire dans le système genevois de vote électronique. Heureusement, cette personne était animée d'une intention pédagogique et non pas malveillante. Elle a profité d'un défaut dans l'architecture du système, qui est considéré comme un défaut originel dans ce système de première génération. On ne saurait tolérer un tel risque pour la démocratie.Par ailleurs, le Conseil fédéral a indiqué, dans son troisième rapport sur le vote électronique, qu'il entendait autoriser les cantons à relever le pourcentage des électeurs autorisés à voter par voie électronique, à compter du 1er janvier 2014 déjà. Parallèlement, les systèmes de première génération restent autorisés. Malheureusement, le contrôle de sécurité portant sur la faille susmentionnée dans le système genevois n'aura lieu qu'après cette date. C'est la raison pour laquelle le danger existe qu'un grand nombre de suffrages soient exposés à une manipulation, ce qui pourrait fausser une ou plusieurs votations populaires.L'acceptation des résultats d'une élection ou d'une votation passe impérativement par la confiance dans l'exactitude des résultats. Pour instaurer cette nécessaire confiance dans le vote électronique, il faut absolument que le code source des systèmes utilisés soit libre afin que des tiers puissent aussi l'examiner pour déterminer s'il présente des failles de sécurité. Mais il faut aussi garantir la possibilité de vérifier les résultats individuels - comme c'est le cas en Norvège, par exemple - et les résultats totaux.
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter la motion.
Stellungnahme des Bundesrates
Le hackeur n'a pas réussi à attaquer le système genevois de vote électronique. Il a simplement reconstitué ce système et démontré, dans des conditions de laboratoire, comment les logiciels malveillants opèrent. On pourrait comparer cela à un facteur qui aurait été mis dans la confidence et à qui l'on demanderait, lors d'un vote par correspondance dans le cadre d'une votation fictive, de changer un "oui" en "non" dans une lettre qu'il doit remettre à la commune concernée. D'une manière générale, tout logiciel malveillant va s'attaquer à n'importe quelle application fondée sur la technologie Web moderne. Le véritable problème se pose pour les plates-formes utilisées (par ex. un ordinateur personnel, une tablette numérique ou un ordiphone) et non pas pour la partie du système que les autorités peuvent contrôler. On ne peut donc pas dire qu'il y a un défaut dans l'architecture du système genevois, et ce d'autant moins que la démonstration confirme un fait communément admis, à savoir que les ordinateurs ne peuvent pas être protégés à 1,0 % contre les cyberattaques. On a déjà tenu compte de cette situation, il y a plus de dix ans, avant de mener les premiers essais de vote électronique.La stratégie du Conseil fédéral consistant à privilégier la sécurité par rapport à la vitesse contraint les exploitants à gérer les risques en étant conscients de leurs responsabilités. C'est dans ce souci que l'on a inscrit dans l'ordonnance sur les droits politiques le principe selon lequel seuls 30 % au maximum de l'électorat cantonal et 10 % au maximum de l'électorat national peuvent voter par voie électronique. En pratique, jusqu'à présent, ce chiffre n'a jamais dépassé 3 %. En fixant ces plafonds et en prenant une série de mesures de sécurité, on peut qualifier de faibles les risques résiduels liés aux logiciels malveillants. C'est la raison pour laquelle le Conseil fédéral considère qu'il n'y a aucune raison d'interrompre les essais.Le relèvement des plafonds nécessite des mesures de sécurité supplémentaires. Celles-ci surpassent de beaucoup les mécanismes courants qui sont utilisés dans d'autres applications qui soulèvent aussi des problèmes de sécurité. Concrètement, les votants doivent pouvoir s'assurer que leur suffrage n'a été modifié ni sur la plate-forme utilisée pour voter, ni sur Internet (vérifiabilité individuelle). Ce n'est qu'à ce moment-là que l'on pourra faire passer de 30 à 50 % la part des électeurs pouvant voter par voie électronique. Cette disposition figurera dans la future ordonnance de la Chancellerie fédérale sur le vote électronique (OVotE), qui entrera en vigueur vraisemblablement le 1er janvier 2014. Le premier système permettant la vérifiabilité individuelle ne sera toutefois pas opérationnel avant la fin de l'année 2014. Jusque-là, les plafonds actuels continueront de s'appliquer. Par ailleurs, en plus de la mise en oeuvre de la vérifiabilité individuelle et d'autres exigences de sécurité, il faudra que les systèmes passent avec succès des contrôles de sécurité qui seront effectués par des services indépendants accrédités par la Confédération. Les plafonds ne pourront être relevés que lorsqu'on aura pu non seulement garantir la vérifiabilité individuelle, mais aussi contrôler, avec des moyens indépendants du système, que toutes les données pertinentes pour l'établissement des résultats seront traitées correctement (vérifiabilité complète). Pour ce faire, il faut recourir aux méthodes cryptographiques sûres connues dans les sciences techniques. On a associé des représentants du domaine des sciences techniques aux travaux d'élaboration des normes de sécurité et des futures bases juridiques.Dans un scrutin où l'on a recours au vote électronique, la vérifiabilité offre encore plus d'informations que la publication du code source. Alors que le code source renseigne sur la manière dont les données seront traitées, la vérifiabilité renseigne sur la manière dont les données ont été traitées. Les cantons veulent malgré tout examiner les possibilités offertes par la publication du code source. À cet égard, il convient toutefois de tenir compte du fait que la mise en oeuvre d'une telle mesure soulève une série de défis qui dépendent notamment des différentes conditions juridiques en vigueur dans les cantons et des conventions que ces derniers ont passées avec leurs fournisseurs de prestations.Pour le reste, nous renvoyons à l'avis du Conseil fédéral relatif à la motion Schwaab 13.3808.