L'ANSSI veut que les opérateurs protègent Internet des cyberattaques

L’ANSSI veut que les opérateurs protègent Internet des cyberattaques

Une idée DPIsante

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

12/10/2017 5 minutes
52

L'ANSSI veut que les opérateurs protègent Internet des cyberattaques

Pour le directeur de l'agence de cybersécurité, les opérateurs ont une position unique pour prévenir certaines cyberattaques. Le débat serait nécessaire, avant une loi hypothétique. Selon un spécialiste, les boites noires installées sur les réseaux des fournisseurs d'accès pourraient y aider.

À l'occasion des Assises de la sécurité de Monaco, le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), Guillaume Poupard, a donné l'une de ses prochaines priorités. « Je veux travailler avec les opérateurs télécoms », dans l'idée d'agir contre certaines menaces, a-t-il déclaré lors d'une conférence de presse.

L'agence se dit motivée par les attaques distribuées par déni de service (DDoS) de la fin 2016, principalement celle qui a touché la société Dyn, emportant dans sa chute de nombreux sites outre-Atlantique. Le responsable : le botnet Mirai, composé de centaines de milliers d'objets connectés mal sécurisés.

« Quand bien même ceux ciblés sont très bons [en matière de défense], il est trop tard pour les victimes. Les technologies consistant à dérouter les flux malveillants au dernier moment marchent dans certaines limites. Travailler en amont est aussi très compliqué. On aura toujours des flopées d'équipements non sécurisés, déployés en masse, qui serviront de points de départ de ces attaques en DDoS » constate l'ANSSI. La solution serait donc d'agir directement sur le réseau.

Une position unique, peut-être une loi

« À mon avis, le seul endroit où on peut agir de manière efficace, c'est au niveau des opérateurs qui transportent ces choses-là. Eux ont probablement la capacité d'agir à ce moment-là » pense Guillaume Poupard. Il s'agirait d'une contravention à la neutralité du Net, ce dont le directeur a bien conscience. Protégé par l'Arcep en France, le principe de non-discrimination des contenus donne une marge de manœuvre pour une gestion raisonnable du réseau, rien de plus.

Pour l'ANSSI, il faut donc débattre de mesures de protection avec les opérateurs et d'autres acteurs, « pour s'assurer que ce ne soit pas dévoyé ». Il voit déjà une discussion en France, voire une loi si nécessaire. La question doit venir sur la table après la transposition de la directive NIS en droit français, en mai 2018. L'idée d'une concertation européenne semble encore lointaine. 

L'institution pense d'abord s'inspirer du modèle allemand, qui autoriserait certaines entorses à la neutralité du Net aux opérateurs pour la sécurité, plutôt que de les imposer. Nos voisins d'outre-Rhin réagissent, pour leur part, à l'infection de 900 000 routeurs du géant Deutsche Telekom par une variante de Mirai. 

Le spectre de l'inspection de paquets

Si le patron de l'ANSSI ne présume pas des méthodes pour agir sur les réseaux, une technologie a déjà fait son nid. Traiter en temps réel les flux des fournisseurs d'accès est déjà le travail des « boites noires » de la loi Renseignement, censées détecter la menace terroriste en ligne. Si elles n'étaient toujours pas déployées ces derniers mois, elles posent des bases techniques, dont l'inspection profonde des paquets (DPI).

En janvier 2016, Guillaume Poupard évoquait sans détour l'utilisation de cette technique intrusive, qui permet de connaître le contenu des données transmises. Elle est à la fois présente dans les futures « boites noires » espionnes mais aussi dans les sondes installées chez les opérateurs d'importance vitale (dont font partie les groupes télécoms), pour protéger leurs infrastructures.

Pour un spécialiste proche d'un grand opérateur télécoms, l'idée serait bien d'exploiter les « boites noires » de la loi Renseignement, DPI inclus. « À un moment, il faudra que cela devienne une réalité, pas pour de l'espionnage [des internautes] mais pour détecter des patterns en temps réel, donc retirer du malware à la volée » estime-t-il.

Pour lui aussi, le débat sera plus éthique que technique. Les opérateurs auraient déjà la capacité d'analyser de larges flux de données en temps réel pour reconnaître des schémas, sachant que le transport des données implique déjà leur modification. « Il y a une question globale sur la manière dont le Net a été construit et la manière de l'épurer, au sens noble du terme, pour [qu'un malware] n'existe plus pour l'internaute » ajoute-t-il.

La discussion pourrait donc avoir lieu dans quelques mois, sans présager d'une éventuelle mise en œuvre. La collaboration avec les opérateurs est, en tous cas, une piste importante pour l'agence de sécurité informatique de l'État.


À noter :

Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.

52

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une position unique, peut-être une loi

Le spectre de l'inspection de paquets

Commentaires (52)


Facile, suffit de scanner la mer numérique à la recherche des bateaux pirates <img data-src=" />



On devrait survivre à quelques attaque DDOS par an je pense ;)


La petite note à la fin est tout à votre honneur. Bravo !!


Au niveau législatif, y a-t-il dse différence à la définition de la neutralité, entre la France et l’Allemagne ?


S’attaquer à la cause est évacué du débat “On aura toujours des flopées d’équipements non sécurisés, déployés

en masse, qui serviront de points de départ de ces attaques en DDoS” et rien à foutre d’une quelconque neutralité du net. L’avenir s’annonce radieux.


Le soucis avec de tels engagement c’est l’effet de bord qu’ils peuvent avoir.

Dans le fond cela peut se défendre. Mais la forme est tout de même assez complexe à mettre en place sur le plan éthique, législatif et technique, en donnant en plus la possibilité de fliquer TOUTES les données transitant sur le réseau.

Et ça entre de mauvaises mains…



Et puis peu importe la rustine posée, les pirates trouveront toujours un moyen d’agir.

Alors je ne dis pas qu’il faut rester les bras croisés et encaisser. Mais qu’il ne faut pas, sous couvert de toujours plus de sécurité, ouvrir de potentielles boites de Pandore.

Il faudrait plutôt sécuriser les systèmes plutôt que “filtrer” le réseau (et ces boites noires ne sont pas une sécurité amha).



Les lois sécuritaires entravent déjà trop la neutralité du Net.

Pas la peine d’en rajouter une couche…


Pas mieux. Le problème est très complexe et ils évacuent la plus grosse partie de la chose. <img data-src=" />


Je pense que M. Poupard confond les torchons et les serviettes. On se prend un programme malveillant sur son PC car nous n’appliquons pas l’hygiène et ça c’est de notre responsabilité. On joue à ne rien faire, et bien on va perdre. Vouloir infantiliser les gens ne les a jamais conduit à mieux se comporter, au contraire.



Par contre, pour le DDOS, oui, je pense que déployer des outils de protection est important car c’est un acte que je qualifie de délictueux et les personnes et les biens doivent être protégés.


NON <img data-src=" />

Pas l’ANSSI <img data-src=" />



C’est le pied dans la porte ça, si on peut retirer du malware on va pouvoir retirer du contenu copyrighté





Pour l’ANSSI, il faut donc débattre de mesures de protection avec les opérateurs et d’autres acteurs, « pour s’assurer que ce ne soit pas dévoyé »



On est en France, les AD le dévoieront forcément pour lutter contre le “piratage”


Les FAI vont devenir des Usines à gaz <img data-src=" />








Winderly a écrit :



S’attaquer à la cause est évacué du débat “On aura toujours des flopées d’équipements non sécurisés, déployés

en masse, qui serviront de points de départ de ces attaques en DDoS” et rien à foutre d’une quelconque neutralité du net. L’avenir s’annonce radieux.









John Shaft a écrit :



Pas mieux. Le problème est très complexe et ils évacuent la plus grosse partie de la chose. <img data-src=" />





A mon avis l’ANSSI a une position réaliste, avec “on aura toujours”.

En plus, les floppées d’équipements non sécurisés, ça fait tellement longtemps que c’est le cas et qu’on ne fait pas grand chose, je pense en particulier à Windows et Outlook dans les années 2000, et encore Windows à présent (quoiqu’on pense de cet OS, il reste vulnérable et le support d’attaques régulières, pour moi c’est un vrai problème et une faiblesse).

Je le pense vraiment, merci de ne pas voir ceci comme un troll.



Il y a unintéressant RFC publié récemment qui cause des mises à jours des objets connectés. Ça permet de bien voir l’étendue et la difficulté du problème :)


Non ce n’est pas au opérateurs de faire ça et l’analogie est toute simple :&nbsp;

Oblige -t-on La Poste à inspecter chaque pli pour savoir s’il ne s’agit pas d’un acte criminel-délictuel&nbsp; en devenir.



La réponse est non donc : non.



CDQF&nbsp;

&nbsp;








OlivierJ a écrit :



A mon avis l’ANSSI a une position réaliste, avec “on aura toujours”.

En plus, les floppées d’équipements non sécurisés, ça fait tellement longtemps que c’est le cas et qu’on ne fait pas grand chose, je pense en particulier à Windows et Outlook dans les années 2000, et encore Windows à présent (quoiqu’on pense de cet OS, il reste vulnérable et le support d’attaques régulières, pour moi c’est un vrai problème et une faiblesse).

Je le pense vraiment, merci de ne pas voir ceci comme un troll.





Le noeud du problème n’est pas dans Windows ou dans n’importe quel OS (ils ont tous leurs failles). L’article parle de Mirai, ce botnet ne visait pas Windows mais des caméras de sécurité qui n’étaient pas sécurisées. Le souci arrive quand des millions de caméras, frigos et lave linges se mettent à envoer en même temps des requêtes à un site unique. Tous les Windows du monde ne feront pas le poids, et seront beaucoup plus compliqués à infecter, quoi qu’on en dise.









RuMaRoCO a écrit :



Non ce n’est pas au opérateurs de faire ça et l’analogie est toute simple : 

Oblige -t-on La Poste à inspecter chaque pli pour savoir s’il ne s’agit pas d’un acte criminel-délictuel  en devenir.





La comparaison ne marche pas du tout, on ne peut pas faire de déni de service distribué (DDoS) par la Poste, et puis l’historique des actes criminels-délictuels par la Poste est assez léger.







RuMaRoCO a écrit :



CDQF





??







anagrys a écrit :



Le noeud du problème n’est pas dans Windows ou dans n’importe quel OS (ils ont tous leurs failles). L’article parle de Mirai […] Tous les Windows du monde ne feront pas le poids, et seront beaucoup plus compliqués à infecter, quoi qu’on en dise.





Je sais bien qu’on parle des objets “connectés”, qui sont en fait des ordinateurs ; mais les Windows du monde font le poids, déjà (plein de botnets), et ne sont pas compliqués à infecter, l’actualité le rappelle chaque mois. Je ne dis pas qu’ils sont le noeud du problème, mais qu’ils en font déjà partie depuis longtemps.



Lien super intéressant qui prouve effectivement l’étendue du problème.









OlivierJ a écrit :



A mon avis l’ANSSI a une position réaliste, avec “on aura toujours”.







Je suis d’accord avec ceci, mais pas pour les mêmes raisons que toi.



En plus, les floppées d’équipements non sécurisés, ça fait tellement longtemps que c’est le cas et qu’on ne fait pas grand chose, je pense en particulier à Windows et Outlook dans les années 2000, et encore Windows à présent (quoi qu’on pense de cet OS, il reste vulnérable et le support d’attaques régulières, pour moi c’est un vrai problème et une faiblesse).



<img data-src=" /> <img data-src=" /> encore le même genre d’erreur !



Windows n’est plus le problème principal.

Il a fait d’énormes progrès en sécurité et mise à jour. Le simple fait que ces dernières soient automatiques par défaut et ne peuvent être empêchées facilement chez les particuliers est un progrès. Et c’est un linuxien convaincu qui n’a plus de Windows chez lui depuis son Windows 98 qui te le dit.



Le problème est plus dans le reste des machines connectées à Internet et on va des smartphones aux objets connectés de type IoT en passant par les box et autres routeurs, décodeurs ou imprimantes réseau. Là, la culture de la sécurité est souvent absente ou c’est une préoccupation récente. J’ai bossé assez longtemps dans le domaine pour le savoir. Le lien publié par John Shaft est révélateur du problème (même si j’ai parfois lu en diagonale comme il est plutôt long. Je relirai plus tard.)









fred42 a écrit :



<img data-src=" /> <img data-src=" /> encore le même genre d’erreur !





J’ai pourtant pensé à toi en l’écrivant.

Donc, “quelque soit”, mais “quoi qu’on pense”, d’après toi ?







fred42 a écrit :



Windows n’est plus le problème principal.

Il a fait d’énormes progrès en sécurité et mise à jour. Le simple fait que ces dernières soient automatiques par défaut et ne peuvent être empêchées facilement chez les particuliers est un progrès. Et c’est un linuxien convaincu qui n’a plus de Windows chez lui depuis son Windows 98 qui te le dit.





Pour ma part je n’ai même jamais eu Windows chez moi, et passé d’Amiga à Linux fin 1998. <img data-src=" />

Windows a beau avoir fait des progrès en sécurité (et heureusement), ils me paraissent bien faibles par rapport aux besoins. Je ne dis pas que c’est le problème principal (je le redis à tout hasard), mais qu’il a persisté (et persiste) si longtemps que je me demande si ça a donné des leçons.







fred42 a écrit :



Le lien publié par John Shaft est révélateur du problème (même si j’ai parfois lu en diagonale comme il est plutôt long. Je relirai plus tard.)





Bortzmeyer est un expert reconnu, moi aussi je l’ai parcouru vite fait et je le relirai plus posément plus tard.



détrompes toi olivier, sinon pourquoi y aurait il des services de douanes intégrés sur certains hub de dispatche (drogues/armes/tabacs)?




Selon un spécialiste, les boites noires installées sur les réseaux des fournisseurs d’accès pourraient y aider.



Gné ? Je croyais que les boites noires n’étaient pas encore installées. <img data-src=" />








lanoux a écrit :



détrompes toi olivier, sinon pourquoi y aurait il des services de douanes intégrés sur certains hub de dispatche (drogues/armes/tabacs)?





Je n’ai pas dit que ça n’existait pas, mais la comparaison n’était pas bonne.

Par ailleurs, il s’agit dans le cas que tu mentionnes de trafic “terminal” (envois d’extasy par la poste à des consommateurs), pas de l’essentiel des trafics en question, et je doute que des armes transitent par la Poste (sauf cas rare).









OlivierJ a écrit :



La comparaison ne marche pas du tout, on ne peut pas faire de déni de service distribué (DDoS) par la Poste



Un déni de service distribué par la Poste, c’est quand on dément avoir envoyé des courriers par la Poste que qqu’un aurait recu? <img data-src=" /> <img data-src=" />









OlivierJ a écrit :



J’ai pourtant pensé à toi en l’écrivant.

Donc, “quelque soit”, mais “quoi qu’on pense”, d’après toi ?







Non, c’est quel que soit. Grrrr ! <img data-src=" /> mais quelques uns ou quelque temps.

devant un verbe, c’est toujours quel que en 2 mots.









OlivierJ a écrit :



Donc, “quelque soit”, mais “quoi qu’on pense”, d’après toi ?





quel que soit

quelle que soit

quel/le/s que soient



quelque(s) est un déterminant remplaçant “des” avec une notion de peu nombreux (quelques uns), quelque est un adverbe (donc invariable) qui remplace environ (le bourg se situait à quelque 20 kilometres)



quoi qu’on (en) pense <img data-src=" />



<img data-src=" />





mais quand même <img data-src=" /> pour l’effort


if(GetPurpose(packet) == DDOS)



    packet.Drop();   





Too easy <img data-src=" />








fred42 a écrit :



Non, c’est quel que soit. Grrrr ! <img data-src=" /> mais quelques uns ou quelque temps.

devant un verbe, c’est toujours quel que en 2 mots.





J’aurais juré que tu m’avais corrigé dans l’autre sens, car spontanément j’écris “quelle que soit la valeur […]” par exemple.

Si ce n’est toi, c’est donc ton frère un autre commentateur.









Jarodd a écrit :



Au niveau législatif, y a-t-il dse différence à la définition de la neutralité, entre la France et l’Allemagne ?







En principe non, puisque la définition&nbsp; de la neutralité du net est issue du §3 de l’article 3 du Règlement européen 20152120 du 25 novembre 2015 (application directe au sein de l’ensemble des Etats membres, sans recours à une loi de transposition, à la différence d’une directive).&nbsp; Et, le Code des postes et communications électronique impose aux opérateurs établis en France de respecter la définition communautaire (cf. art. L33-1, I, q, CPCE).



&nbsp;Toutefois, cette définition communautaire peut être précisée par des dispositions propres à chaque Etat - membres. La Loi pour une République numérique du 7octobre 2016 devrait prévoir un décret, il me semble. La situation devrait être la même en Allemagne.



En effet, la définition légale de la neutralité du net n’empêche pas&nbsp; la mise en oeuvre de “mesures de gestion raisonnables” du trafic par les opérateurs, permettant de traiter différemment certaines données.&nbsp; (cf.&nbsp; alinéa 2. du §3 de l’art 3 du Règ :” Pour être réputées raisonnables, les mesures sont transparentes, non discriminatoires et proportionnées, et elles ne sont pas fondées sur des considérations commerciales, mais sur des différences objectives entre les exigences techniques en matière de qualité de service de certaines catégories spécifiques de trafic. Ces mesures ne concernent pas la surveillance du contenu particulier et ne sont pas maintenues plus longtemps que nécessaire”).

&nbsp;

Par ailleurs, les propos du Président de l’ANSSI se fondent sur le considérant 14 de ce Règlement&nbsp; : “ des mesures de gestion du trafic allant au-delà de telles mesures raisonnables de gestion du trafic pourraient être nécessaires pour protéger l’intégrité et la sécurité du réseau, par exemple en prévenant les cyberattaques qui se produisent par la diffusion de logiciels malveillants ou l’usurpation d’identité des utilisateurs finals qui résulte de l’utilisation de logiciels espions&nbsp;(mesures expressément prévues par l’article 3, paragraphe 3, b) du Règ 20152120).



Le pied est déjà dans la porte, c’était la mise en place des boites noires chez les opérateurs pour prévenir le terrorisme, là c’est la deuxième étape quand la personne essaie de s’inviter chez toi








Network_23 a écrit :



Le pied est déjà dans la porte, c’était la mise en place des boites noires chez les opérateurs pour prévenir le terrorisme, là c’est la deuxième étape quand la personne essaie de s’inviter chez toi





T’as raison



“Le matos est déjà là, ça serait dommage de ne pas en profiter pour permettre un meilleur internet pour tous”

<img data-src=" />









OlivierJ a écrit :



La comparaison ne marche pas du tout, on ne peut pas faire de déni de service distribué (DDoS) par la Poste, et puis l’historique des actes criminels-délictuels par la Poste est assez léger.





Si tu payes pour envoyer un million de lettres par la Poste à une même entreprise, ca donne un DDoS ou pas?



C’est un DDoS uniquement si tu l’envoies de multiples endroits, sinon, c’est juste un DoS.








jurinord a écrit :



En principe non, puisque la définition  de la neutralité du net est issue du §3 de l’article 3 du Règlement européen 20152120 du 25 novembre 2015 (application directe au sein de l’ensemble des Etats membres, sans recours à une loi de transposition, à la différence d’une directive). 

[…] 

Par ailleurs, les propos du Président de l’ANSSI se fondent sur le considérant 14 de ce Règlement  : “ des mesures de gestion du trafic allant au-delà de telles mesures raisonnables de gestion du trafic pourraient être nécessaires pour protéger l’intégrité et la sécurité du réseau, par exemple en prévenant les cyberattaques qui se produisent par la diffusion de logiciels malveillants ou l’usurpation d’identité des utilisateurs finals qui résulte de l’utilisation de logiciels espions (mesures expressément prévues par l’article 3, paragraphe 3, b) du Règ 20152120).





<img data-src=" />

Ça c’est de la précision et de l’explication. <img data-src=" />







PtiDidi a écrit :



Si tu payes pour envoyer un million de lettres par la Poste à une même entreprise, ca donne un DDoS ou pas?





Je ne sais même pas comment matériellement on pourrait procéder (en supposant que tu disposes de millions d’euros), et à mon avis tu es la première personne à imaginer un truc pareil <img data-src=" /> (dont le coût doit bien être de l’ordre du million d’euros il me semble).









fred42 a écrit :



C’est un DDoS uniquement si tu l’envoies de multiples endroits, sinon, c’est juste un DoS.







Il faut dire qu’à la poste ça n’arrive qu’une fois par an pour le Père Noël (et encore heureux que ce ne soit pas tout centralisé <img data-src=" /> ou envoyé le même jour)



Encore un bricoleur qui ne mesure pas l’étendu de la catastrophe en lavant chaque paquet plus blanc que blanc.&nbsp; OUI ca impacte le réseau, latence, protocoles pas forcément connus, faux positifs, MTU à la con, éléments critiques du réseau non maitrisé…



&nbsp;Sans parler de ces boites noires qui sont des aberations d’architecture de reseau en créants des trous noirs de réseau en attirant le trafic sur leur position. Et nouveau point of failure…&nbsp; Ca serait le comble qu’en plus ces boites imposent un archi beaucoup centralisée et donc fragile aux opérateurs. Une belle attaeinte à la résilience qu’il souhaite voir.



&nbsp;Ce type, et son organisation, devient de plus en plus néfaste… (déjà rien que de flinguer les élections parlementaires en obligeants certains francais de l’etranger à faire des centaines de kilometres pour aller dans les urnes du consulat au lieu de vote à distance…sur ses recommendations)


Et en plus il justifie son délire par Mirai et l’internet des objets au lieu de traiter le pb à la racine : interdiction des imports de logiciels embarqués à la con EU-wide ca serait un bon début pour faire reflechir les fabricants

&nbsp;


“Pour un spécialiste proche d’un grand opérateur télécoms”&nbsp; c’ets le nouveau “d’apres une source proche du pentagone” chez Nextimpact ?


Franchement si tu trouves beaucoup de bricoleurs avec ce cursus, tu m’appelles.

je te conseille de te renseigner un peu sur l’ANSSI et son patron, visiblement t’as raté des trucs.



On va pas entrer une nième fois dans les discussions stériles sur le vote électronique, mais il m’étonnerait beaucoup que le bricoleur en question prenne la chose à la légère.


tu voudrais qu’il cite ses sources? <img data-src=" />








OlivierJ a écrit :



<img data-src=" />

Ça c’est de la précision et de l’explication. <img data-src=" />





<img data-src=" />



Cest un peu tordu mais disons que dans le cas d’un appel d’offre tu répondes assez vite (genre 12jours avant la fin)

Puis tu envoies 1000 lettres les 10 derniers jours.



Ca te coute 10000 envois mais tu as evincé les concurrents qui aurait envoyé leur pli après toi.

Le pauvre secrétariat étant submergé de lettres bidons à ouvrir \o/



Une rapide recherche me dit que le cachet de la poste ne fait pas foi. Peut être plus d’actualité








PtiDidi a écrit :



Cest un peu tordu mais disons que dans le cas d’un appel d’offre tu répondes assez vite (genre 12jours avant la fin)

Puis tu envoies 1000 lettres les 10 derniers jours.





Disons que ta méthode ne marche plus depuis des années, les appels d’offres sont remis de manière électronique (dépôt sur un site en général). <img data-src=" />

Tu peux tenter un DoS sur le site de l’organisme ou du ministère ;-) .









hellmut a écrit :



tu voudrais qu’il cite ses sources? <img data-src=" />





Clairement. Je paye Nextinpact pour ça. Sinon je me contente de lire Washington Post ou New York Times.









hellmut a écrit :



Franchement si tu trouves beaucoup de bricoleurs avec ce cursus, tu m’appelles.

je te conseille de te renseigner un peu sur l’ANSSI et son patron, visiblement t’as raté des trucs.



On va pas entrer une nième fois dans les discussions stériles sur le vote électronique, mais il m’étonnerait beaucoup que le bricoleur en question prenne la chose à la légère.





Ah mais tu fais fausse route sur ce que je peux savoir ou pas de l’ANSSI c’est pas ca le problème. C’est le degrés de nuisance que ca peut atteindre sous l’égide de l’ANSSI et de son patron.&nbsp;



&nbsp;Concernant les élections rien n’est stérile, sauf si on veut étouffer le progès :) L’Estonie procède à des votes électroniques, la Colombie a fait voter ses “Colombiens de l’étranger” à distance en 2016 lors du referendum de paix avec les FARC. Il n’appartient pas à un directeur d’agence technique de décider/conseiller d’annuler un mode de scrutin alors que ce choix appartient à des députés. Le sujet est bien trop grave pour le confier à des seuls experts. Qui sont au mieux des conseillers, au pire des larbins pour “protéger” les décisions des députés. Et du coup pas le décisionnaire. Eloigner les citoyens des urnes, en les obligeant à aller physiquement au consulat, c’est Mal.&nbsp;



Explication du système Estonien pour une université ricaine (attention document très technique) :&nbsphttps://www.economist.com/sites/default/files/plymouth.pdf



&nbsp;Petite “pub” sur le web de l’OCDE sur le referendum Colombien de 2016https://www.oecd.org/gov/innovative-government/embracing-innovation-in-governmen… pour les citoyens colombiens expatriés.



Ce n’est pas un hasard les deux systèmes utilisent des blockchains. Donc il existe des systèmes de vote électronique sécurisé qui marchent dans le monde réel.




  1. Savoir si l’outil de vote par internet est sûr ou non est bien une prérogative de technicien et non pas d’élu. C’est ensuite au politique de décider en fonction des informations fournies par le technique.

    Les députés n’ont rien à décider sur les moyens utilisés pour un vote donné, c’est le ministère de l’intérieur qui est responsable de l’organisation du vote, sous le contrôle du Conseil Constitutionnel.





    1. sur ton document soit-disant très technique (c’est en fait un document de vulgarisation qui ne va pas dans la technique) :

      Qu’un tel document commence par une introduction où on demande s’il n’est pas temps d’entrer dans le 21 ème siècle et abandonner le vote papier est ridicule et manque de maturité.



      Sur le fond, je n’ai rien vu qui permettait au votant de s’assurer que son vote était bien pris en compte et pas transformé avant d’être introduit dans la blockchain. Et comme ensuite, on dissocie votant et vote pour conserver l’anonymat, il ne peut pas le vérifier après.

      D’ailleurs, si on veut préserver l’anonymat, cela est inévitable : le votant ne peut plus vérifier que son vote est bien dans la blockchain puisqu’il devient anonyme. Et là où le papier garantit au votant que c’est bien son vote qui va dans l’urne, rien de le garantit dans un vote électronique qui vise l’anonymat.



      Je veux bien que la partie sur la blockchain soit correcte techniquement, mais il y a une faille énorme au départ.



      En fait, on ne sait pas si ce que l’on sécurise est bien le vote réel ou un vote modifié.



      Ce document est un document écrit par 3 étudiants, sûrement un projet d’étudiant, pas un document académique revus par des pairs et validé. Il suffit d’aller voir leurs profils LinkeIn pour s’en convaincre. D’ailleurs aucun des 3 ne citent ce papier dans leur profil, ce qu’ils feraient s’il avait une valeur académique.



Ces papiers décrivent des systèmes réels en état de marche et utilisés pour des votes. C’est bien plus fort que des “revues de pairs” ou “profil linkedin” (marrant que tu parles de valeurs académiques, au lieu de démolir le papier en grossissant les pbs qu’ils pointent…) Et le doc parle de petites améliorations

&nbsp;

Non désolé c’est bien les députés qui écrivent le code électoral. C’est eux qui autorisent ou pas les machines à voter etc. Et subordonner les modalités du vote à une décision de technicien c’est l’inversion qui devrait choquer tout le monde. Le ministère est responsable de l’orga du vote parce que les députés vont pas se coltiner les dépouillages et les envois de cartes.&nbsp;



Ah j’oubliais : pour s’assurer de la prise en compte de son vote suffit de regarder dans la blockchain si son code est bien dedans, et il y est dedans parce que c’est l’origine du décompte des voix. S’il avait été transformé… non on peut pas… la crypto permet de garantir l’intégrité.

&nbsp;








Fyr a écrit :





L’Estonie est un nain économique. Leurs municipales de ce week-end n’intéressent pas grand monde, donc peu de risques de piratage. Donc pour les failles détectées dans les cartes d’identité, il n’y a pas trop de risques.



Si tu peux vérifier ton vote, tu peux le monnayer.









Fyr a écrit :



Ces papiers décrivent des systèmes réels en état de marche et utilisés pour des votes. C’est bien plus fort que des “revues de pairs” ou “profil linkedin” (marrant que tu parles de valeurs académiques, au lieu de démolir le papier en grossissant les pbs qu’ils pointent…) Et le doc parle de petites améliorations







Je ne parlerai que du premier document, l’autre étant comme tu l’as dit toi même une pub.

Contrairement à ce que tu disais dans ton premier message où tu affirmais qu’il s’agissait d’une description du système Estonien, ce document ne décrit le système Estonien que pour indiquer qu’ils sont partis de ce système qui avait des failles pour proposer un système à base de blocchain pour améliorer ce système. Il ne s’agit donc pas d’un système réel comme tu viens de l’affirmer. Donc, non, ce n’est pas plus fort que l’évaluation par des pairs qui est la base d’un travail de recherche universitaire validé. Si tu continues à affirmer le contraire, c’est que tu ne comprends rien au travail universitaire. Si je suis allé voir leur profils LinkedIn, c’est pour savoir à qui on avait affaire. Et la réponse est : ce sont des étudiants et non pas des chercheurs reconnus. Cela relativise la valeur de leur papier.

Enfin, contrairement à ce que tu disais, leur université est une université du Royaume Uni et non pas “ricaine” (sic).





Non désolé c’est bien les députés qui écrivent le code électoral. C’est eux qui autorisent ou pas les machines à voter etc. Et subordonner les modalités du vote à une décision de technicien c’est l’inversion qui devrait choquer tout le monde. Le ministère est responsable de l’orga du vote parce que les députés vont pas se coltiner les dépouillages et les envois de cartes.





Oui, ce sont eux qui écrivent le code électoral.Ils ont prévu dans l’article L. 330-13 du code électoral que pour les français de l’étranger il était possible de voter par correspondance “par voie électronique au moyen de matériels et de logiciels permettant de respecter le secret du vote et la sincérité du scrutin. Un décret en Conseil d’Etat fixe les modalités d’application du présent alinéa.”

Dans leur grande sagesse ils ont donc délégué la partie réglementaire au conseil d’état pour définir le détail concernant le vote électronique. Et celui-ci a prévu dans l’article R. 176-3 “”-Préalablement à sa mise en place, ou à toute modification substantielle de sa conception, le système de vote électronique fait l’objet d’une expertise indépendante destinée à vérifier le respect des garanties prévues par la présente sous-section.

Si, au vu de cette expertise ou des circonstances de l’élection, il apparaît que les matériels et les

logiciels ne permettent pas de garantir le secret du vote et la sincérité du scrutin au sens de l’article L.

330-13, le ministre des affaires étrangères peut, par arrêté pris après avis de l’Agence nationale de la

sécurité des systèmes d’information, décider de ne pas mettre en œuvre le système de vote

électronique.”



Voila donc pourquoi, la décision a été prise de ne pas utiliser le système de vote électronique qui était prévu : il n’était pas capable de garantir le secret et la sincérité du scrutin voulus par le législateur.



Tu as encore parlé sans réfléchir alors que tout s’est fait conformément aux désirs du législateur. Si j’ai retrouvé ce texte, c’est parce que je me doutais bien que l’ANSSI n’était pas intervenu sans que ça soit prévu.





Ah j’oubliais : pour s’assurer de la prise en compte de son vote suffit de regarder dans la blockchain si son code est bien dedans, et il y est dedans parce que c’est l’origine du décompte des voix. S’il avait été transformé… non on peut pas… la crypto permet de garantir l’intégrité.



Si tu peux vérifier que ton vote est dans la blokcchain, le secret du vote n’est plus assuré : tu peux en particulier prouver à quelqu’un qui a acheté ton vote que tu as voté pour celui qu’il voulait. Il est dit qu’il y a séparation du vote et du votant, donc, non, tu ne peux pas retrouver ton vote dans la blockchain. Quant à la modification dont je parlais, elle peut s’opérer avant la crypto. Il est super facile d’afficher ton vote et de transmettre un autre vote à la blockchain. Comme ton vote est anonymisé dans la blockchain, tu ne peux pas le vérifier.









Fyr a écrit :



Clairement. Je paye Nextinpact pour ça. Sinon je me contente de lire Washington Post ou New York Times.





ben voyons.

c’est pas parce que tu paies que ça justifie de remettre en cause un des piliers du journalisme.



la protection des sources ca veut pas dire publier des trucs louches à la limites du bruit de couloir pas vérifiable.


T’as loupé le passage où le votant peut corriger son vote aussi souvent qu’íl veut.



Et sisi c’est bien le systeme réel&nbsp; de vote actuel en Estonie&nbsphttps://www.nextinpact.com/news/81189-lestonie-publie-code-source-son-systeme-vo… et sa version d’origine en anglais&nbsphttps://arstechnica.com/tech-policy/2013/07/estonia-publishes-its-e-voting-sourc…


Tu racontes n’importe quoi !





  1. le PDF des étudiants de Plymouth University dit explicitement que leur système a été fait suite à l’analyse entre autre du système de vote de l’Estonie :



    “We researched some of these systems to familiarise ourselves with current implementations, particularly Estonia.”



    Ils n’ont dit nulle part que ce qu’ils présentent est le système de vote actuel de l’Estonie. De plus, ils décrivent le système de vote de l’Estonie et nulle part dans cette description, ils ne parlent de blockchain.



  2. le PDF date de du 29 septembre 2016 (voir les propriétés du PDF) alors que les 2 articles NXI et artechnica que tu cites sont de juillet 2013. Ils ne peuvent donc pas parler d’un projet qui n’existait pas encore, ces 3 étudiants n’étant entrés à cette université qu’en septembre de la même année. De plus, aucun des 2 articles que tu cites ne parlent de blockchain, ce qu’ils ne manqueraient pas de faire si c’était le cas.



    Soit tu comprends mal l’anglais ou ce document technique, soit tu es de mauvaise foi et tu ne veux pas reconnaître ton erreur.



    Si tu penses malgré tout avoir raison, je te propose de citer les passages du document plymouth.pdf qui prouvent tes affirmations. Ça permettra d’avancer, là, j’ai un peu de mal à vouloir continuer la discussion.


par contre ça veut dire ne pas les citer.