Accéder au contenu principal

Blockchain : Promesse concrète ou miroir aux alouettes ?

Depuis l’envolée du Bitcoin en 2017, nous avons tous entendu parler de blockchain. Je m’étais intéressé au sujet à l'époque sans pour autant avoir l’occasion de l’expérimenter personnellement.

Je voudrai partager à travers cet article ma première expérience de vote en ligne par le biais de la blockchain Tezos.

Au début, c’est avec beaucoup d’enthousiasme que j’ai accueilli en ce mois d’Octobre 2020, l’organisation d’un vote en ligne basé sur cette technologie. Une première en France !

Tour d’abord, commençons par définir ce qu’est la blockchain pour les non-initiés.

Définition de la blockchain

Grand livre de comptes public et mis à jour en permanence, une blockchain ou « chaîne de blocs » désigne une base de données mondiales sur laquelle sont enregistrées des transactions cryptées et anonymisées. La première blockchain est liée au Bitcoin. Au-delà des cryptomonnaies, la blockchain permet d’authentifier toutes sortes de données, des titres de propriété aux diplômes en passant par les contrats et ici les votes.

Chaque transaction sur la blockchain fait l’objet d’une empreinte cryptographique, équivalent d’un code barre. Cette confirmation lui donne un caractère immuable et inaltérable.

Cas d'usage : le vote en ligne

Organiser un vote en pleine crise sanitaire n’est pas une chose aisée. On l’a vu lors des dernières élections municipales où l’abstention avait atteint des records. L’idée d’un vote en ligne a donc fait son chemin dans 3 communes des Yvelines (Verneuil-sur-Seine, Vernouillet et Chapet) qui souhaitaient consulter leurs habitants sur le tracé controversé d’une route (déviation de la RD 154).

Le cahier des charges de la Mairie de Verneuil-sur-Seine était le suivant (Source : Conseil Municipal du 13 octobre 2020) :

  • un dispositif électronique de vote via une application mobile et un site interne 
  • une identification manuelle à double facteur d'authenticité
  • une preuve de vote décentralisée
  • un hachage des données
  • un dispositif RGPD compliant
  • la collectivité reste le contrôleur des données et le prestataire le processeur des données
  • et enfin un prix raisonnable (le budget étant fixé à 15 000€ par la Mairie de Verneuil-sur-Seine).

La société A Vos Votes (Ex Oui Vote) a été sélectionnée pour conduire cette consultation en ligne. Elle s’appuie sur la blockchain Tezos, connue pour être un challenger de l’Ethereum dans les smart contracts.

Le processus pour pouvoir voter est assez simple :

-          création par l’utilisateur d’un compte sur le site internet ou l’application mobile en soumettant sa pièce d’identité et un justificatif de domicile

-          vérification manuelle par le prestataire que la personne est bien éligible au vote pour éviter tout risque de fraude.

A première vue, ça paraissait séduisant. Dès la présentation du site A Vos Votes lors du débat du 25 septembre 2020, je tente de m’inscrire sur le site.

L'expérience utilisateur

Et là, première surprise : il n’y a pas d’authentification à deux facteurs (A2F) . Je ne reçois qu’un email avec un code numérique à 6 chiffres que je dois copier/coller sur le site.

Deuxième surprise : le site n’accepte pas les PDF. Je dois prendre une photo de ma CNI et de ma facture d’électricité.

Je reçois 3 jours plus tard un email m’informant que mes justificatifs ont été acceptés.

Le 1er octobre, jour de vote, je me connecte au site qui ne répond pas !

Le lendemain, j’arrive à me connecter mais au moment du vote, un sablier apparaît et disparaît sans que l’on sache si le vote a été pris en compte ou non.

Sur les groupes Facebook de la ville, les internautes se plaignent de ne pas pouvoir voter. Il s’agit vraisemblablement d’un sous-dimensionnement des serveurs qui ne peuvent absorber autant de connexions simultanées les premiers jours de votes.

Le 3ème jour, j’arrive finalement à valider mon vote après plusieurs tentatives.

Je reçois par email une preuve de mon vote.


En termes d’expérience utilisateur, le vote en ligne avec la technologie Blockchain se révèle être non-concluant mais on n’est pas au bout de nos peines.

La cyberattaque

Le 5 octobre, François-Xavier Thoorens, fondateur de la cryptomonnaie Ark écrit un article dans Medium expliquant comment il a piraté le site !

https://medium.com/@fxthoorens/how-i-hacked-the-tezos-based-voting-dapp-d3bdd8a9601c

Le 7 octobre, après avoir qualifié la cyberattaque de rumeurs pendant 2 jours, la Mairie met fin au vote en ligne un jour avant la clôture reconnaissant le piratage.

Les failles de sécurité

En creusant le sujet, j’apprends que le lanceur d’alerte (ou le hacker d’après la Mairie) :

  • a eu accès aux mots de passe des habitants.
  • a pu contourner le KYC en votant sans soumettre sa pièce d’identité et un justificatif de domicile.
  • a donné les résultats du vote avant la fin. On sait qu’au moment du piratage, le « Non » était en tête avec 80% des voix.
  • a eu accès au votes de chacun des électeurs et peut même nous retracer grâce à nos adresses IP.
  • a eu accès à nos pièces d’identité qui étaient stockées !

Conclusion

L’enthousiasme des débuts a laissé place au désarroi.

Le 31 octobre 2015, le magazine The Economist titrait « Blockchain, the trust machine » vantant cette technologie comme capable de révolutionner le monde des tiers de confiance.

Des centaines de cryptomonnaies ont été créées depuis sur la base de cette technologie. Des banques ont mis au point des blockchain privées.

Il s’agit incontestablement d’une technologie prometteuse mais s’agissant du vote en ligne, la blockchain n’est pas appropriée. La transparence de la blockchain semble incompatible avec un principe essentiel lors d'un scrutin : le secret du vote. 

Pour vraiment décoller, toute nouvelle technologie a besoin d’inspirer confiance. Nous avons commencé à acheter sur internet quand nous nous sommes sentis en sécurité pour renseigner notre numéro de CB sur les sites d'e-commerce.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Lean and change management: why do we need to change?

When dealing with change management, there are several models to make the change happen. John P. Kotter 8 steps model is one of the most popular. In his research , he found that 70% of change programs fails, so he derived this checklist. Step 1: Create a sense of urgency Examining the market and competitive realities Identifying and discussing crises, potential crises or major opportunities Basically, this first step is an attempt to answer to the following question: why do we need to change? And why now? If I take the example of the financial services, following the 2008 crisis, regulators put more pressure on banks. Some banks are not only too big to fail, they are also too big to serve well the client while remaining managed centrally from the headquarters. Over the past decade, several banks launched a Lean initiative. The rationale behind this was to promote Operational excellence as a way to remain competitive. But one of the common mistak...
Enregistrer un commentaire
Lire la suite

Change Management

Lean is about Change Management. I am going to write some articles on that topic for a couple of weeks. I will cover the following aspects :   Everyone responds to change in different ways (today’s article) Change is a step by step process: a model by John P. Kotter YOU have to be the role model So let’s start by a basic question: What is change management? Some people will tell you « it’s the art of making sustainable change ».  But what do they mean by « sustainable ? ». Currently, most of experts agreed that a sustainable change is 2 years after the launch of the change program. Based on my own experience, I think that 2 years is the right moment to assess if your change program (let’s say a Lean transformation program) succeeded or failed. To begin with, as a Lean practitioner, we should not consider that change is natural and that everyone will support the change program. 1)    Everyone responds to change...
Enregistrer un commentaire
Lire la suite