Chiffrement bout-en-bout du vote : définition, schémas, garanties.

Définition technique du chiffrement bout-en-bout — du votant au déchiffrement

Le chiffrement bout-en-bout, en anglais end-to-end encryption (E2E), désigne une architecture cryptographique dans laquelle la donnée à protéger — pour le vote en ligne, un bulletin exprimant une intention de choix — est chiffrée sur le terminal de l'émetteur et ne peut être déchiffrée que par le détenteur légitime de la clé privée correspondante. Entre ces deux extrémités, aucun acteur intermédiaire ne dispose des éléments cryptographiques permettant de lire la donnée en clair : ni le routeur du réseau, ni le serveur applicatif, ni l'opérateur de la plateforme, ni l'hébergeur physique, ni un éventuel attaquant ayant compromis un de ces maillons. Cette propriété structurante distingue radicalement le chiffrement E2E des chiffrements de transport (TLS, HTTPS), qui protègent la donnée pendant qu'elle voyage mais la laissent en clair une fois reçue par le serveur. Appliqué au vote en ligne, le chiffrement E2E garantit que le secret du vote — exigence démocratique fondamentale — ne dépend pas de la confiance accordée au prestataire technique, mais d'une propriété mathématique vérifiable. Le bulletin est chiffré sur le navigateur du votant immédiatement après validation de son choix, transmis chiffré, stocké chiffré dans l'urne électronique, mélangé chiffré dans un mix-net, et seulement déchiffré en cérémonie collégiale par le bureau de vote qui détient les fragments de clé privée selon le schéma de partage à seuil de Shamir. Cette architecture est imposée par la délibération CNIL n° 2019-053 du 25 avril 2019 pour les scrutins professionnels classés au niveau 3 (élections du comité social et économique, instances syndicales contraignantes), et elle constitue l'exigence minimale de l'urne électronique sérieuse. Une plateforme qui se contente d'un chiffrement TLS de transport ne satisfait pas cette exigence, quels que soient ses arguments commerciaux. Voir la page lexique sur le vote électronique pour le cadrage juridique général.

Chiffrement symétrique vs asymétrique — pourquoi le vote exige l'asymétrique

Toute cryptographie moderne se divise en deux familles complémentaires. Le chiffrement symétrique utilise une clé unique pour chiffrer et déchiffrer ; il est rapide, économe en ressources et adapté aux flux volumineux. AES-256, standardisé par le NIST en 2001 sous le nom FIPS 197, est l'exemple canonique du chiffrement symétrique sûr. Le chiffrement asymétrique, ou à clé publique, utilise une paire de clés mathématiquement liées : une clé publique pour chiffrer, une clé privée pour déchiffrer. La paire est calculée de telle sorte qu'il est calculatoirement infaisable de déduire la clé privée à partir de la clé publique. Le chiffrement asymétrique est plus lent et plus coûteux en ressources, mais il résout un problème que le symétrique ne sait pas résoudre seul : permettre à n'importe qui de chiffrer un message destiné à un destinataire spécifique sans partager au préalable de secret. C'est exactement ce que demande le vote en ligne : chaque votant doit pouvoir chiffrer son bulletin avec la clé publique du scrutin sans qu'aucun secret n'ait été partagé entre lui et l'autorité électorale. En pratique, les implémentations sérieuses combinent les deux familles en chiffrement hybride : le bulletin est chiffré avec une clé symétrique AES-256 éphémère, et cette clé symétrique est elle-même chiffrée avec la clé publique asymétrique du scrutin. Le destinataire (le bureau de vote) déchiffre d'abord la clé symétrique avec sa clé privée, puis le bulletin avec la clé symétrique reconstituée. Cette combinaison cumule la robustesse de l'asymétrique avec la rapidité du symétrique.

RSA et ElGamal — vulgarisation mathématique des deux schémas historiques

Deux schémas de chiffrement asymétrique se partagent historiquement le terrain du vote en ligne. RSA, du nom de ses inventeurs Ronald Rivest, Adi Shamir et Leonard Adleman (MIT, 1977), repose sur la difficulté mathématique de factoriser le produit de deux grands nombres premiers. La clé publique RSA contient un module N produit de deux nombres premiers secrets p et q ; la clé privée contient p et q. Chiffrer revient à élever le message à une puissance modulo N ; déchiffrer exige la connaissance de p et q. Aucun algorithme classique connu ne permet de factoriser un RSA-4096 (4096 bits) en un temps raisonnable, ce qui en fait un schéma sûr pour les usages à secret long jusqu'à horizon 2030 selon l'ANSSI. ElGamal, du nom de Taher ElGamal (Stanford, 1985), repose quant à lui sur la difficulté du logarithme discret dans un groupe fini. Sa particularité décisive pour le vote en ligne est sa propriété homomorphique multiplicative : il est mathématiquement possible d'additionner des bulletins chiffrés sans les déchiffrer, ce qui permet de calculer un total chiffré et de ne déchiffrer que le résultat final — et non chaque bulletin individuel. Cette propriété est au cœur des schémas Helios et Belenios. ElGamal en version modulaire utilise typiquement des clés de 3072 bits, équivalentes en sécurité à RSA-3072. Sa variante elliptique sur Curve25519 (voir section suivante) offre la même sécurité avec des clés de 256 bits seulement.

Courbes elliptiques sur Curve25519 — pourquoi le standard moderne

La cryptographie sur courbes elliptiques (ECC, Elliptic Curve Cryptography) repose sur la difficulté du logarithme discret dans le groupe des points d'une courbe elliptique définie sur un corps fini. Introduite indépendamment par Neal Koblitz et Victor Miller en 1985, elle offre un avantage structurel : pour un niveau de sécurité équivalent, les clés ECC sont radicalement plus petites que les clés RSA ou ElGamal modulaire. Une clé ECC de 256 bits offre la même sécurité qu'une clé RSA de 3072 bits — un facteur dix en compacité, ce qui accélère les calculs, réduit la bande passante et améliore les performances sur les terminaux mobiles. Curve25519, conçue par Daniel Bernstein en 2005, est devenue la courbe de référence des implémentations modernes. Elle est recommandée par l'ANSSI RGS B2, par le NIST (sous le nom X25519 et Ed25519), par l'IETF (RFC 7748) et par les protocoles modernes (Signal, TLS 1.3, OpenSSH, WireGuard). Sa conception élimine plusieurs classes d'attaques par canal auxiliaire qui affectaient les courbes NIST P-256 et P-384 antérieures. Sephos utilise par défaut ElGamal sur Curve25519 pour les nouveaux scrutins et conserve RSA-4096 en option pour les organisations qui exigent une compatibilité avec d'anciens référentiels.

Le mélange cryptographique mix-net — anonymisation prouvable

Le mix-net, ou réseau de mélangeurs, est une construction cryptographique introduite par David Chaum en 1981 pour anonymiser des communications. Appliqué au vote, il consiste à passer l'ensemble des bulletins chiffrés stockés dans l'urne à travers une succession de mélangeurs : chaque mélangeur reçoit la liste, re-chiffre chaque bulletin (transformation cryptographique qui modifie le cryptogramme sans en changer le contenu déchiffré), permute aléatoirement l'ordre, et passe la liste mélangée au mélangeur suivant. À la sortie du dernier mélangeur, le lien entre l'ordre d'arrivée des bulletins dans l'urne et leur ordre dans la liste finale est définitivement rompu — aucun observateur, même ayant capturé la totalité du trafic, ne peut associer un bulletin à un votant. Pour qu'un mix-net soit utilisable dans un vote sérieux, chaque mélangeur doit produire une preuve zero-knowledge de la correction de son mélange : une preuve mathématique qu'il a effectivement re-chiffré et permuté tous les bulletins sans en altérer aucun, sans révéler la permutation appliquée. Ces preuves sont publiques et vérifiables par tout tiers compétent. Deux protocoles académiques exploitent industriellement le mix-net pour le vote : Helios (Ben Adida, Harvard, 2008) et Belenios (INRIA Loria, 2013). Sephos s'appuie sur Belenios, héritier français d'Helios, qui ajoute une authentification forte des votants par jetons signés.

Le déchiffrement à seuil Shamir N-sur-M

Le déchiffrement à seuil est l'opération cryptographique qui permet à un groupe de personnes de déchiffrer collectivement un message sans qu'aucun membre seul ne puisse le faire. Le schéma de partage à seuil le plus connu a été proposé par Adi Shamir en 1979 dans un article fondateur. Le principe mathématique repose sur les polynômes : pour partager un secret S entre N personnes avec un seuil K (K ≤ N), on construit un polynôme de degré K−1 dont le terme constant est S, et on distribue à chaque personne un point de ce polynôme. Une propriété mathématique fondamentale stipule qu'un polynôme de degré K−1 est entièrement déterminé par K points distincts ; ainsi, K personnes peuvent reconstituer le polynôme et récupérer S, mais K−1 personnes ne peuvent rien apprendre sur S. Appliqué au vote, ce schéma permet de fragmenter la clé privée du scrutin en N fragments distribués aux membres du bureau de vote, avec un seuil K (typiquement 3 sur 5 ou 3 sur 7 chez Sephos). La cérémonie de déchiffrement collégial réunit K membres minimum ; chacun apporte son fragment ; la clé privée est reconstituée par calcul cryptographique distribué — c'est-à-dire que les fragments sont combinés sans qu'aucun membre, ni le serveur, n'accède à la clé entière. Le déchiffrement est effectué fragment par fragment, le résultat est calculé, et la clé est détruite à l'issue. Aucun moment du processus n'expose la clé privée consolidée.

Vérifiabilité end-to-end — Helios et Belenios

La vérifiabilité end-to-end est la propriété qu'un scrutin permet à tout tiers compétent de vérifier mathématiquement, sans accorder de confiance a priori, que trois conditions sont remplies : tout bulletin déposé par un votant légitime a été correctement inclus dans le total final (cast-as-intended), tout bulletin inclus dans le total provient d'un votant légitime et n'a pas été ajouté ou modifié (recorded-as-cast), et le total publié correspond au décompte effectif des bulletins enregistrés (tallied-as-recorded). Deux protocoles académiques mettent en œuvre cette vérifiabilité pour le vote en ligne. Helios, conçu par Ben Adida (2008), est un système open-source déployé pour des scrutins universitaires et associatifs depuis quinze ans, qui combine ElGamal homomorphique et preuves zero-knowledge. Belenios, conçu par les chercheurs Stéphanie Delaune, Steve Kremer et Pierrick Gaudry à l'INRIA Loria (2013), dérive d'Helios en ajoutant une authentification forte par jetons signés par une autorité d'inscription distincte de l'autorité de dépouillement — ce qui renforce la séparation des pouvoirs cryptographiques. Belenios est utilisé pour des scrutins fédéraux français et fait l'objet d'audits indépendants réguliers. Sephos applique le protocole Belenios pour ses scrutins niveau 3 CNIL et publie les preuves cryptographiques exportables pour vérification indépendante.

Cryptographie post-quantique Kyber — préparation 2030

L'arrivée hypothétique d'un ordinateur quantique cryptographiquement utile menace structurellement les schémas asymétriques actuels. L'algorithme de Shor (1994) permet en théorie de factoriser un nombre RSA et de résoudre le logarithme discret en temps polynomial sur un ordinateur quantique disposant de plusieurs milliers de qubits logiques stables — un seuil qui n'est pas atteint en 2026 mais qui est l'objectif déclaré des grands programmes nationaux et industriels. Pour des données à secret long, le risque dit « harvest now, decrypt later » est tangible : un attaquant peut capter aujourd'hui des communications chiffrées et les déchiffrer dans dix ou quinze ans quand l'ordinateur quantique sera disponible. Pour le vote en ligne, ce risque concerne particulièrement les scrutins dont les bulletins chiffrés sont archivés pour dix ans. La parade s'appelle cryptographie post-quantique : une famille d'algorithmes asymétriques résistants aux attaques quantiques connues. Le NIST a lancé un processus de standardisation en 2016 et a publié en août 2024 le premier standard FIPS 203 (ML-KEM, anciennement Kyber) — un schéma d'encapsulation de clé fondé sur les treillis euclidiens. L'ANSSI recommande dans son avis de 2022 mis à jour en 2024 une transition hybride (algorithme classique combiné avec algorithme post-quantique) dès 2026 pour les données à secret long. Sephos intègre une feuille de route hybride RSA + Kyber et ElGamal-EC + Kyber à horizon 2028-2030, rétrocompatible avec les scrutins en cours.

Audit cryptographique a posteriori

L'un des bénéfices structurels du chiffrement bout-en-bout correctement implémenté est qu'il rend l'audit cryptographique a posteriori possible sans rompre le secret du vote. Les bulletins chiffrés conservés dans l'archive (typiquement dix ans chez Sephos) restent exploitables : le bureau de vote peut être convoqué à nouveau, les fragments rassemblés, et le déchiffrement ré-exécuté avec une preuve cryptographique de cohérence avec le résultat initial. Cette propriété est précieuse pour les recours : si un tribunal exige un recompte des années après la proclamation initiale, Sephos peut le produire sans avoir conservé aucun bulletin en clair, sans avoir compromis l'anonymat des votants. Mieux encore : les preuves zero-knowledge exportées au moment du scrutin permettent à un auditeur indépendant de vérifier la cohérence du résultat sans même reconvoquer le bureau. L'audit cryptographique a posteriori distingue radicalement le vote E2E sérieux des archives papier qui peuvent s'égarer, se détériorer ou être contestées matériellement. Voir la page lexique sur l'horodatage eIDAS pour le cadrage juridique de l'archivage probatoire et la page sur le bulletin secret pour le lien entre cryptographie et exigence démocratique.

Implémentation Sephos — choix techniques documentés

Sephos applique sur l'ensemble de ses scrutins niveau 3 CNIL l'architecture suivante. Génération des paires de clés en cérémonie filmable, fondée par défaut sur ElGamal sur Curve25519 (256 bits) avec option RSA-4096 pour les organisations exigeant cette compatibilité. Fragmentation Shamir paramétrée par scrutin avec seuil K minimum de 3 et N maximum de 7, fragments distribués via canaux authentifiés distincts (token matériel U2F, e-mail signé, support chiffré). Chiffrement côté client par script open-source signé exécuté dans le navigateur, en chiffrement hybride AES-256 GCM + ElGamal-EC. Transport TLS 1.3 avec courbes elliptiques modernes uniquement. Stockage chiffré dans l'urne électronique avec scellement horodaté eIDAS qualifié à la clôture. Mix-net Belenios avec preuves zero-knowledge publiables. Cérémonie de déchiffrement à seuil filmable et archivée. Procès-verbal signé eIDAS qualifié, conservé dix ans sur infrastructure OVH Cloud certifiée SecNumCloud, données et clés jamais hors UE. Préparation hybride post-quantique RSA + Kyber documentée à horizon 2028-2030. L'ensemble des choix techniques est documenté dans le livre blanc sécurité et auditable sur demande par les commissaires aux comptes, les organisations syndicales et les autorités de contrôle compétentes. Demandez une démonstration commentée pour voir la cérémonie de génération de clés et la cérémonie de déchiffrement collégial en action.