Un nouveau document du MIT rejette catégoriquement le vote par blockchain comme solution aux problèmes électoraux

Alors que les médias attendaient le samedi suivant l'élection présidentielle américaine pour annoncer le vainqueur, des appels ont émergé sur la manière dont les blockchains auraient facilité ce processus.le plus importantpeut-être par Changpeng Zhao, PDG de Binance,ainsi que Vitalik Buterin, qui a ajouté que, bien qu'il existe des défis techniques, l'appel à une application de vote mobile basée sur la blockchain « est à 100 % correct ».

UN nouveau rapport du MIT, cependant, s'oppose fermement à l'idée du vote électronique basé sur la blockchain, en grande partie parce qu'il augmenterait les vulnérabilités en matière de cybersécurité qui existent déjà, qu'il ne répondrait pas aux besoins uniques du vote aux élections politiques et qu'il ajouterait plus de problèmes qu'il n'en résoudrait.

Les auteurs du rapport sont Ron Rivest, professeur au MIT Computer Science and Artificial Intelligence Laboratory (CSAIL) et ONEun des créateurs du cryptage RSA ; Michael Specter ; Sunoo Park ; et directeur du MIT Initiative sur la monnaie numérique(DCI) Neha Narula. L'article a été publié cette semaine sur le site web de l'équipe de recherche et est en cours d'évaluation par une importante revue de cybersécurité en vue d'une publication cet hiver.

« Je n'ai T encore vu de système blockchain auquel je ferais confiance pour un décompte de jellybeans dans une foire de comté, et encore moins pour une élection présidentielle », a déclaré Rivest dans un article de blog accompagnant le rapport.

Pourquoi le vote en ligne n’est T comme les services bancaires numériques

Le rapport reconnaît le désir des citoyens de voir le processus de vote plus rapide et plus efficace, mais rejette l’idée selon laquelle, simplement parce que nous faisons des choses comme acheter ou effectuer des opérations bancaires en ligne, cela signifie que les élections devraient se dérouler de la même manière.

ONEune des raisons est que ces systèmes ont une « tolérance aux pannes plus élevée ». Par exemple, en cas de problème, comme une fraude à la carte de crédit, vous pourriez bloquer votre carte et une banque pourrait même vous rembourser. Mais en matière électorale, il n'y a guère de recours si un vote est falsifié ou non transmis, d'autant plus que les systèmes de vote en ligne ne reconnaissent pas toujours ONE actions.

Sur le même sujet : Overstock présente l'application de vote Voatz ReBlockchain comme solution à la polémique électorale américaine

Un autre point est que l'anonymat, ou du moins la possibilité de dissocier la manière dont vous avez voté de votre identité, est un élément important de tout processus électoral. Si une banque ou un commerce peut vous fournir un reçu prouvant que vous avez agi pour détecter ou prévenir la fraude, en matière de vote, il est important qu'aucun reçu de ce type n'existe afin que les votes T puissent être obtenus sous la contrainte ou vendus.

« En matière d'élections, il n'existe aucune assurance ni aucun recours contre un échec démocratique », affirme Rivest. « Il n'existe aucun moyen de "rétablir l'intégrité des électeurs" après une élection compromise. »

Et les enjeux de cybersécurité sont nombreux.

Problèmes de cybersécurité dans le vote en ligne

ONEun des problèmes du vote en ligne est qu’il s’expose à des attaques à la fois évolutives et indétectables.

En termes d'échelle, selon le rapport, une vulnérabilité zero-day sur Android n'a coûté que 60 000 dollars à acquérir en 2012. Une vulnérabilité zero-day est une faille de sécurité connue mais pour laquelle aucun correctif T encore disponible.

Les auteurs estiment que tester et exploiter une telle vulnérabilité multiplierait les coûts associés par deux, ce qui signifie qu'une exploitation électorale pourrait coûter 6 millions de dollars. Si cette somme peut paraître importante, elle est minime pour un État-nation adverse, surtout en comparaison des quelque 768 millions de dollars dépensés pour l'élection présidentielle américaine de 2016. Cela rend une attaque évolutive contre un système électoral attrayante, en termes de rentabilité.

Une telle attaque pourrait également être indétectable, ce qui permettrait d'exploiter un grand nombre de votes. Cela est dû en partie au nombre de fournisseurs et d'appareils impliqués.

« Les failles du système de vote peuvent être introduites par le fournisseur du logiciel de vote, le fournisseur du matériel, le fabricant ou tout tiers qui maintient ou fournit du code pour ces organisations », peut-on lire dans le rapport.

« Un électeur utilisant un téléphone pour voter dépend non seulement du fournisseur du téléphone, mais aussi des fabricants de matériel informatique fournissant les pilotes de l'appareil, du processeur de bande de base, des auteurs de code tiers dans le logiciel de vote, du fabricant de l'appareil physique et du réseau ou de tout autre système sur lequel l'appareil s'appuie pour voter. »

Aucune solution concrète à des problèmes non hypothétiques

Même des outils aussi importants que le chiffrement n'offrent T de solution concrète. Bien que le chiffrement offre une certaine protection, il n'empêche T les bugs système. De plus, sa mise en œuvre est difficile, sans compter les nombreux exemples de failles dans un système qui peuvent compromettre les protocoles cryptographiques.

Ces inquiétudes ne sont T seulement hypothétiques. Le rapport souligne que les appareils de vote exclusivement électroniques utilisés dans les bureaux de vote en Géorgie et dans le Maryland, par exemple, ont il a déjà été démontré qu'ils étaient vulnérables, et les systèmes de vote par Internet dansdes villes comme Washington, D.C.., et des pays comme l’Estonie et la Suisse se sont révélés vulnérables à de graves défaillances.

Sur le même sujet : Dépréciation : Les chercheurs en sécurité critiquent Voatz pour sa position sur les hackers white hat

À titre de comparaison, des méthodes éprouvées comme le vote par correspondance rendent une attaque à grande échelle extrêmement difficile à mener en raison de points de friction importants, comme la nécessité d’un accès physique aux bulletins de vote.

Interrogé sur les leçons que les États-Unis pourraient tirer de l'expérience d'autres pays en matière de vote en ligne, un porte-parole du MIT CSAIL a répondu : « Aucune leçon positive. Les systèmes de vote en ligne souffriront de vulnérabilités majeures dans un avenir proche, compte tenu de l'état de la sécurité informatique et des enjeux importants des élections politiques. »

Les arguments en faveur du vote basé sur la blockchain – et pourquoi ils ne tiennent T la route

Le rapport expose plusieurs arguments avancés par les partisans de la blockchain, notamment l'utilisation de cryptomonnaies comme moyen de vote, l'utilisation d'une blockchain autorisée et l'utilisation de preuves à divulgation nulle de connaissance pour les votes Secret .

Voter avec des pièces de monnaie

Le modèle « coins as votes » est un modèle que le rapport identifie comme problématique. Dans ce modèle, un électeur inscrit dispose d'une paire de clés publique/privée créée par l'autorité électorale, chaque électeur transmettant sa clé publique au registre électoral.

« Ensuite, le registre électoral dépense une pièce pour chaque clé publique. Pour voter, chaque utilisateur dépense sa pièce pour le candidat de son choix. Après un certain temps, chacun peut consulter la blockchain, additionner les pièces de chaque candidat et désigner comme vainqueur ONE qui en a le plus », peut-on lire dans le rapport.

Sur le même sujet : La purge post-électorale de Trump touche l'Agence américaine de cybersécurité

Le problème ici est qu'il ne prévoit T de vote Secret : tous les votes sont enregistrés sur une blockchain publique. Il repose également sur la capacité des utilisateurs à voter sur la blockchain dans un délai déterminé, ce qui pourrait être compromis par une attaque par déni de service distribué (DDoS), rendant le réseau inaccessible aux utilisateurs.

Un adversaire pourrait augmenter les frais de transaction sur une blockchain publique, entravant encore davantage le « vote ». La blockchain pourrait également être compromise si une majorité de mineurs ou de validateurs s'entendaient, créant ainsi plusieurs versions de la blockchain.

Enfin, il s’appuie sur la gestion des clés privées, quelque chose qui dépend de l’utilisateur et, comme l’ont montré les crypto-monnaies, quelque chose que les gens ont souvent du mal à mettre en œuvre.

Blockchains autorisées

Une autre proposition contestée par le rapport est l'utilisation d'une blockchain autorisée. Une blockchain autorisée est une ONE dans laquelle un acteur central approuve les personnes autorisées à y participer. Elle comporte généralement une couche de contrôle qui régit les actions que les participants sont autorisés à effectuer.

Tout comme le vote avec des cryptomonnaies, cette stratégie présenterait des vulnérabilités en matière de gestion des clés. De plus, les paramètres d'autorisation KEEP les utilisateurs de consulter la blockchain pour vérifier que leurs votes ont bien été comptabilisés, afin de préserver la confidentialité des votes.

Une blockchain autorisée fonctionnerait probablement également sur un nombre plus restreint de serveurs, la plupart d'entre eux exécutant le même système d'exploitation, ce qui signifie qu'il serait plus facile de la compromettre.

Preuves à divulgation nulle de connaissance

Une dernière proposition étudiée par le MIT est l'utilisation de preuves à divulgation nulle de connaissance (ZKP). Les ZKP sont une technique cryptographique qui permet à deux parties sur Internet, comme une application et un utilisateur, de vérifier des informations entre elles sans partager les données sous-jacentes. Cela contribuerait apparemment à atténuer la tension entre le secret et la vérifiabilité publique d'un vote.

Mais le rapport note que, outre les bugs potentiels dans les ZKP et les processus cryptographiques difficiles, cela n'empêche T non plus la surveillance physique par des « coerciteurs ou des acheteurs de votes ».

En outre, le rapport soutient que « les preuves à divulgation nulle de connaissance sont conçues pour un contexte dans lequel la partie détenant des informations Secret souhaite les KEEP Secret (c'est pourquoi elle utilise des preuves à divulgation nulle de connaissance) - elles n'empêchent généralement pas cette partie de révéler volontairement des informations. »

Sur le même sujet : « Huile de serpent et déchets hors de prix » : pourquoi la blockchain ne résout T le problème du vote en ligne

Une dernière préoccupation fondamentale concernant tout processus numérique de ce type est qu’il repose sur divers fournisseurs, matériels et logiciels, qui ajoutent tous des complexités supplémentaires et des vulnérabilités probables au processus de vote.

« Le principal problème est que les approches basées sur la blockchain exigent que les électeurs utilisent un logiciel dans lequel un simple bug pourrait modifier de manière indétectable ce qu'ils voient – ​​par exemple, leur faire croire que leur vote a été attribué à un certain candidat alors qu'il ne l'a T», a déclaré un porte-parole du MIT CSAIL. « La blockchain est idéale pour les situations où les résultats des élections pourraient être modifiés de manière indétectable, ou, même détectés, irréparables sans qu'il soit nécessaire d'organiser une nouvelle élection. »

Le rapport souligne également que les élections ont des enjeux qui vont au-delà de la simple perte d’argent, comme ce serait le cas si ces outils de vote en ligne étaient compromis en ce qui concerne les crypto-monnaies.

La blockchain a beaucoup de potentiel, mais pas pour le vote réel

Le rapport précise qu'il ne traite T du vote au sein d'une blockchain, comme le vote des détenteurs EOS pour les validateurs dans les réseaux de consensus, ou l'utilisation de REP par les utilisateurs Augur pour voter sur les résultats des contrats. Ces éléments peuvent répondre à certains aspects du vote, mais ne s'intègrent T bien au système des élections politiques et présentent de nombreuses vulnérabilités impossibles à prendre en compte.

Le rapport reconnaît également qu’il se concentre sur le vote, et non sur des domaines tels que la gestion de l’inscription des électeurs ou l’audit.

En conclusion, le rapport note que la blockchain et le vote en ligne ne répondent T aux préoccupations fondamentales en matière de sécurité ; au contraire, ils introduisent davantage de vulnérabilités que celles présentes dans les systèmes actuels de vote en personne et par correspondance.

« Si le vote est entièrement basé sur un logiciel, un système malveillant pourrait tromper l'électeur sur la manière dont son vote a été réellement enregistré », a déclaré Rivest dans un billet de blogue. « La démocratie – et le consentement des gouvernés – ne peuvent dépendre de la capacité d'un logiciel à enregistrer correctement les choix des électeurs. »