EP4302285A1 - Procédé et dispositif de vote par correspondance - Google Patents

Procédé et dispositif de vote par correspondance

Info

Publication number
EP4302285A1
EP4302285A1 EP22712915.2A EP22712915A EP4302285A1 EP 4302285 A1 EP4302285 A1 EP 4302285A1 EP 22712915 A EP22712915 A EP 22712915A EP 4302285 A1 EP4302285 A1 EP 4302285A1
Authority
EP
European Patent Office
Prior art keywords
ballot
user
server
electronic tag
vote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP22712915.2A
Other languages
German (de)
English (en)
Inventor
Abdelhakim Djoudi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of EP4302285A1 publication Critical patent/EP4302285A1/fr
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42DBOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
    • B42D15/00Printed matter of special format or style not otherwise provided for
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus
    • G07C13/02Ballot boxes

Definitions

  • the present invention relates to a method and a device for postal voting. It applies, in particular, to advance voting.
  • Postal voting poses many technical problems related to security, in particular guaranteeing the integrity of the ballot chosen, guaranteeing anonymity, signing, the need to avoid a double vote, or even allowing the voter to change choice after have sent their postal ballot.
  • the present invention aims to remedy all or part of these drawbacks.
  • the present invention relates to a postal voting method, which comprises:
  • the invention prevents the same voter from voting twice by associating only one vote number with the user and by storing that the user terminal has already received a ballot validation code.
  • first and the second server can constitute a single server performing the server functions presented above.
  • association of an electronic tag with a ballot paper can be done by integrating the electronic tag in the ballot paper carrying a possible choice of the voter, by sticking this tag on such a ballot paper, by integrating the label into an envelope containing the user's ballot or by sticking this label on such an envelope.
  • the present invention is therefore compatible both with manual counting by visual reading of the choice made by the voter and with electronic counting with electronic reading of the choice made by the voter.
  • the user terminal transmits to the second server a batch number of ballots and/or a number random, the second server encrypts each number received from the user terminal and returns it encrypted to the user terminal.
  • the user terminal during the step of transmission, by the second server to the user terminal, of a ballot validation code, the user terminal encrypts an identification of the user's choice from among the possible choices during of the election, with, as an encryption key, a ballot batch number and/or a random number, and transmits the encrypted choice identification to the second server, the second server encrypting this encrypted choice identification and returning it encrypted at the user terminal.
  • the method comprises, after the step of authentication of the user of the user terminal by the first server, a step of transmitting to the user a plurality of ballot papers, carrying, in such a way visible and legible to the eye, a possible choice during the election, each ballot being physically linked to an electronic tag storing, in memory, the identification of the choice carried by the ballot.
  • the identification of the choice carried by the ballot is stored encrypted in the memory of the electronic tag.
  • the method comprises a step of transmitting, to the user, a first access code to the content of a first part of the memory of each electronic tag received by the user, this first part retaining an identifier of the vote and/or an identification of the choice made by the user during the election.
  • the method comprises a step of modification, by the user terminal, of the first code together with the step of registration, by the user terminal in an electronic tag, of information representative of the validation code of newsletter.
  • the method comprises a step of transmission, by the second server to the user terminal, of a second access code to the content of a second part of the memory of each electronic tag received by the user, this second part retaining the information representative of the ballot validation code.
  • the method comprises a step of writing, in the memory of each electronic tag received by the user, a batch number of slips common to the electronic tags of several users.
  • the method comprises a step of sticking an electronic tag on a ballot bearing a visible and eye-readable identification of the choice made by the user from among the possible choices during the election, a step of capturing an image of the slip bearing the pasted electronic label, a step of encrypting this image and a step of storing the electronic label of this encrypted image together with the registration step, by the user terminal in an electronic tag, information representative of the ballot validation code.
  • the method comprises a step of optical character recognition of the identification of the choice made by the user from among the possible choices during the election carried by the ballot on which the electronic label is stuck and a step of writing, by the user terminal in the memory of the electronic tag, information representative of the identification read by optical character recognition.
  • the method comprises a step of sticking an electronic label on an envelope containing the ballot bearing an identification visible and readable to the eye of the choice made by the user from among the possible choices during the election.
  • the method comprises a step of transmission, by the user to a polling station, of a ballot paper associated with an electronic tag, in an envelope forming a Faraday cage.
  • the present invention relates to an electronic label for postal voting by association with a ballot paper, which comprises a memory comprising information representative of a ballot validation code.
  • the information representative of a slip validation code comprises, in encrypted form, a batch number of slips and/or a random number.
  • the information representative of a ballot validation code comprises, encrypted by a batch number of ballots and/or a random number then by a remote server, an identification of the choice of the user among the possible choices during the election.
  • the memory further comprises an image of a ballot paper on which this electronic tag is stuck.
  • the memory further includes information representative of the counting, by a ballot box, of the vote carried by the ballot.
  • the present invention relates to a system for counting votes by correspondence by reading an electronic tag associated with a ballot paper, which comprises means for reading information representative of a ballot validation code in a memory of the electronic tag.
  • the information representative of a ballot validation code comprises, in encrypted form, a batch number of ballots and/or a random number
  • the vote counting system further comprising a means receiving an encryption or decryption key corresponding to the encryption implemented to encrypt the ballot batch number and/or the random number.
  • the information representative of a ballot validation code comprises, encrypted by a batch number of ballots and/or a random number then by a remote server, an identification of the user's choice among the possible choices during the election, the vote counting system further comprising means for receiving encryption or decryption keys corresponding to the encryptions implemented to encrypt the batch number of ballots and/or the random number.
  • the vote counting system comprises a means for writing in the memory of the electronic tag associated with the ballot paper, information representative of the counting, by the vote counting system, of the ballot.
  • FIG. 1 represents, schematically, a first embodiment of the postal voting device which is the subject of the invention
  • FIG. 2 represents, in the form of steps carried out by different physical means, in a first embodiment of the method which is the subject of the invention
  • FIG. 3 represents, in the form of data transmissions, a second embodiment of the method which is the subject of the invention.
  • FIG. 4 represents different zones of an electronic tag memory implemented in the second embodiment of the method which is the subject of the invention.
  • Figure 5 represents an automatic ballot box
  • FIG. 6 represents a production of ballot papers and FIG. 7 represents means of voting with a conventional ballot box provided with a mechanical unlocking of the lever of the door of the ballot box.
  • Ballots are physical ballots, that is, they are handled by hand and physically introduced into the ballot box.
  • a postal voting device 10 which comprises an authentication server 11, a validation server 12 and a vote counting system 20 associated with a ballot box 21 .
  • a communicating user terminal 13 comprising a reader 14 of electronic tag 15 allows the user to connect with the servers 11 and 12.
  • the electronic tag 15 is of known type, for example near-field, operating according to the RFID protocol (acronym of Radiofrequency IDentification for identification in radio frequencies) or NFC (acronym of Near Field Communication for near field communication).
  • Servers 11 and 12 are accessible online, on the web. They communicate with the user terminal 13 via the Internet.
  • the validation server 12 communicates with the counting system 20 either by Internet, or by file transfer on a physical medium, called “ballot”, for example transported by a postal service.
  • Servers 11 and 12 can constitute a single server but, preferably, they are separate to better guarantee the confidentiality and anonymity of the vote.
  • the user terminal 13 is, for example, a computer, a mobile phone or a tablet, where software or a postal voting application has been installed.
  • the vote counting system 20 can be used for signature and/or introduction of ballot papers into the ballot box 21 .
  • the envelope 18 is anonymous and configured to contain, out of sight, a ballot paper 16.
  • the envelope 19 allows the postal transport of the envelope 18 to the polling station.
  • the electronic tag 15 is attached to a ballot paper 16 before being given to the user. In this case, the user receives at least two ballot papers each bearing an electronic tag 15 and a different candidate name 17 .
  • the electronic tag 15 is independent of any ballot paper 16 when it is given to the user with at least two ballot papers 16 each bearing a different candidate name 17. The user must then stick the electronic label on a ballot paper 16, on the envelope 18 or on the envelope 19, according to the instructions given to him.
  • FIG. 2 the steps of a particular embodiment of the method 30 of postal voting.
  • step 30 a sequence 30 of steps carried out by the communicating terminal 13, on the left, by the servers 11 and 12, in the center, and by the vote counting system 20, on the right.
  • the step straddles the columns corresponding to these two entities, with the exception of step 37 which does not concern the servers.
  • a step 31 the user connects to the authentication server 11 to ask to carry out a postal vote, by means of a connection from a user terminal 13 to a first server 11 . It is noted that, during step 31, it is not necessary for the software or the voting application to be installed on the user terminal 13. Possibly, it is during one of the steps 31 to 34 that this software or this application is installed on the user terminal 13.
  • the authentication server 11 carries out the authentication of the user of the terminal 13, for example by downloading a photo (or "scan") of at least one identity document and /or proof of address or by biometric recognition. If the authentication is successful, the authentication server generates a single IDV vote number for the user.
  • the IDV voting number is anonymous.
  • the vote number is an incremental number.
  • the validation server 12 memorizes the anonymous vote number IDV of the user.
  • the user performs a voting step.
  • the server then performs a verification step that this is the first step for the user to vote.
  • the validation server 12 transmits a physical ballot validation code to the user terminal.
  • This validation code can be unique for all the user terminals or for all the users having the same polling station, in which case a signature procedure is necessary since it is necessary to prohibit the same user from validating two ballot papers.
  • the envelope 19 identifies the user who has voted and, before placing the voting envelope 18 in the ballot box, the polling station verifies that no vote has previously been taken (in person or by correspondence ) by the identified user.
  • the validation code is different for all users. For example, it is an encryption, with a key assigned to the validation server 12, of a ballot batch number, a random number, the IDV vote number and/or the time of transmission of the ballot validation code to the user terminal.
  • step 35 which corresponds to the case where the user has only one electronic tag 15, and which can be performed before or after step 34 or step 36, the user performs the physical association of the electronic label 15 with the physical ballot 16, with the envelope 18 or with the envelope 19, according to the instructions sent to it.
  • the user terminal 13 implements the reader 14 of the electronic tag 15 to write in the electronic tag 15 information representative of the validation code of the physical ballot.
  • This information may be the ballot validation code received from the validation server 12 or an encoding/encryption of this ballot validation code, in which case the counting system 20 must have the encoding/encryption or decoding/decryption key. to verify the validity of the ballot.
  • the memory of the electronic tag can keep the name of the candidate carried by the ballot paper.
  • the user terminal 13 can implement the reader 14 of electronic tags 15 to write into the memory of the electronic tag 15 the name of the candidate carried by the ballot 16.
  • a procedure for verifying correspondence between the name of the candidate readable to the eye and the name of the candidate registered in the memory of the electronic tag 15 is then preferential. Such a procedure is described below.
  • the user sends to the polling station the envelope 19 containing the envelope 18 which contains the ballot paper 16, for example by post.
  • the validation server 12 transmits to the vote counting system 20, separate from the validation server 12, a physical ballot validation element, for example a coding key /encryption or decoding/decryption of information representative of a validation code written in an electronic tag 15.
  • the bulletin validation element can also comprise the bulletin validation code, a timestamp or a random sequence which has been used to generate the information representative of the validation code written in the memory of the electronic tag 15.
  • the vote counting system 20 reads the information representative of the physical ballot validation code in the memory of the electronic tag 15.
  • the vote counting system 20 verifies, for each ballot paper received, the correspondence between:
  • the envelope 18 containing the physical ballot paper 16 is taken into account, that is to say validated and introduced into the ballot box 21 .
  • the counting of the ballot papers 16 is then carried out in a conventional manner, by visual reading of the names of candidates carried by the ballot papers and/or by electronic reading of the names of candidates stored in the memories of the electronic labels 15 carried by the ballot papers. vote.
  • the analysis implements the description of one of the documents FR20100000868 and FR2977698.
  • the postal voting method 30 comprises:
  • correspondence verification can be done by decrypting data, by having at least one decryption key or by encryption, by reproducing each encryption carried out on the data and by comparing the result with the encrypted data read in memory from electronic tag 15.
  • step 34 of transmission by the second server 12 to the user terminal 13, of a bulletin validation code, the user terminal transmits to the second server 12 a batch number of bulletins and/or a random number, the second server encrypts each number received from the user terminal and returns it encrypted to the user terminal.
  • step 34 of transmission by the second server 12 to the user terminal 13, of a bulletin validation code, the user terminal encrypts an identification of the user's choice from among the possible choice during the election, with, as encryption key, a ballot batch number and/or a random number, and transmits the encrypted choice identification to the second server 12, the second server encrypting this choice identification encrypted and returning it encrypted to the user terminal.
  • the method comprises, after step 32 of authentication of the user of the user terminal 13 by the first server 11, a step of transmitting to the user a plurality of ballot papers 16 , bearing, visibly and legibly to the eye, a possible choice 17 during the election, each ballot paper being physically linked to an electronic tag 15 retaining, in memory, the identification of the choice carried by the ballot .
  • the identification of the choice 17 carried by the ballot 13 is stored encrypted in the memory of the electronic tag 15.
  • the method comprises a step of transmitting, to the user, a first access code PIN1 to the content of a first part of the memory of each electronic tag 15 received by the user, this first part retaining an identifier of the vote and/or an identification of the choice 17 made by the user during the election.
  • the method comprises a step of modification, by the user terminal, of the first PIN1 code together with step 36 of registration, by the user terminal in an electronic tag 15, of information representative of the ballot validation code.
  • the method comprises a step of transmission, by the second server 12 to the user terminal 13, of a second PIN2 code for access to the content of a second part of the memory of each electronic tag 15 received by the user, this second part retaining the information representative of the ballot validation code.
  • the method includes a step of recording, in the memory of each electronic tag 15 received by the user, a batch number of slips 16 common to the electronic tags of several users.
  • the method comprises a step of sticking an electronic tag 15 on a slip 16 bearing an identification 17 visible and readable to the eye of the choice made by the user from among the possible choices during the election, a step for capturing an image of the ballot bearing the pasted electronic label, a step for encrypting this image and a step for storing the electronic label of this jointly encrypted image in step 36 of registration, by the user terminal in an electronic tag 15, of information representative of the ballot validation code.
  • the method comprises a step of optical character recognition of the identification of the choice made by the user among the possible choices during the election carried by the ballot 16 on which the label is stuck 15 and a step of writing, by the user terminal in the memory of the electronic tag 15, information representative of the identification read by optical character recognition.
  • the method comprises a step of sticking an electronic tag 15 on an envelope 18, 19 containing the ballot 16 bearing an identification 17 visible and readable to the eye of the choice made by the user from among the possible choices during the election.
  • the method comprises a step 37 of transmission, by the user to a polling station, of a ballot paper associated with an electronic tag, in an envelope forming a Faraday cage.
  • a personal reading code in English "PIN" for personal identification number
  • PIN personal identification number
  • a non-unique number is also implemented, that is to say implemented by several users such as a batch number of IDBL bulletins (non-unique number generated when the bulletin is produced) and a number generated by the voting software or application, for example randomly.
  • the bulletin is marked as validated by entering a validation code transmitted by the validation server 12 in response to the transmission, by the user terminal 13, of this number or of its signature.
  • the vote counting system 20 reads, in the electronic tag 15, the non-unique number IDBL and the number IDB1 generated by the software or the voting application to deduce the DIS validation code given by the server.
  • the non-unique number guarantees anonymity when sending ballots because they cannot be linked to a voter.
  • the second embodiment is described below.
  • the user also called voter, receives or withdraws the "digital paper" ballots 16 from a plurality of possible choices for the ballot concerned, each ballot 16 having an integrated electronic label 15 and bearing a visible mention 17 of a single candidate. .
  • Each electronic tag 15 stores in memory the name of the encrypted candidate corresponding to the name of the legible candidate 17 written on the paper ballot 13.
  • the device mainly comprises:
  • the server 11 to which requests are addressed and which randomly generates identification codes (“PIN code”) and a personal voting number IDV for the voter.
  • PIN code identification codes
  • IDV personal voting number
  • the vote counting system 20 comprising a secure voter identification and signature system listing the surnames and first names of all the voters who voted, a system which guarantees the secrecy of the vote and
  • the voter identifies himself and, possibly, identifies his polling station, with the server 11 and sends him a request for a postal vote. After verifying the identity of the voter, a unique personal vote number IDV is generated, for example randomly, by the server 11 and sent to the encryption server 12.
  • the voter receives, or collects from an authority, the ballots 16 already printed in the names of the candidates, each ballot retaining, in the memory of its electronic tag 15, an identifier of the candidate corresponding to the readable name 17 of the candidate printed on the ballot 16.
  • Each ballot 16 is then inactivated, that is to say that, if it were read by the counting system 21 , the latter would consider it invalid and would not take it into account.
  • the voter receives, for example by e-mail, short message (“SMS”) and/or by post, his IDV voting number or part of it, the other part being sent to him by another means of transmission , for example with the bulletins 16 if they are sent to him by post.
  • This vote number IDV allows the voter to activate, via the encryption server 12, one and only ballot 16 and to secure his vote.
  • the electronic label 15 of each ballot 16 also stores in memory a non-unique number, for example an IDBL batch number, the code of the municipality where the voter is authorized to vote and/or the national number of the polling station of the reader.
  • the electronic tag 15 also includes a memory space for an IDB1 number generated by the user terminal 13, for example randomly, a number which will be sent to the server 12 which stores the encryption keys for each polling station, for example. These keys are generated by the organizer of the election before the opening of the postal vote for each polling station, for example KIE only (simple mode) and KDE for election with candidate identified in the electronic label.
  • the ballots 16 are produced with in memory, in the case of a ballot 16 with only a validation zone, the IDBL batch number and, optionally, the polling station number and an identifier of the election and, to access an identification zone, the batch number IDBL and, to access a candidate identification zone, the personal access code PIN1.
  • the ballot papers 16 are produced with in memory, in the case of a ballot 16 with the validation zone and a candidate counting zone, the IDBL batch number and, possibly, the polling station number and an identifier of the election and, to access the identification area and the candidate counting area, the IDBL batch number and the PIN1 personal access code.
  • the ballot papers 16 are produced with in memory, in the case of a ballot with the validation zone, the candidate counting zone and a proofreading zone by the terminal 13, the IDBL batch number and, possibly, the office number and an election identifier and, to access the identification area and the candidate counting area, the IDBL batch number and the personal access code PIN1 and, to access the proofreading area, the IDBL lot number and a PIN2 personal access code.
  • the IDV number is deleted from the request server 11 .
  • the data of the electronic tag 15 of the bulletins 16 sent are encrypted and/or accessible by personal code PIN1.
  • PIN1 personal code is, before replacement during validation, identical for all ballots 16 of the same voter.
  • PIN2 code is not linked to the voter it is linked to the election and office number.
  • the vote number IDV and an attribute indicating that a ballot paper has been validated by this voter are kept in memory, the vote number IDV and an attribute indicating that a ballot paper has been validated by this voter, as well as the PIN1 code, the election number, the polling station number and, for the vote, the vote number, the polling station number, KIE and KDE encryption keys and the PIN2 code which will be sent to the vote counting system 20.
  • PIN2 is sent to the terminal 13 to access the voting zone of the electronic tag 15.
  • the data stored in the memory of the electronic label 15 of the ballot papers 16 making it possible to control and count the vote are, for example, identical to those of the "digital paper" ballots produced during the face-to-face vote on a voting terminal, for example subject of one of the documents FR20100000868 and FR2977698.
  • the memory of the electronic tag 15 of each activated ballot 16 retains at least the first two sets of the following data:
  • the KIE, KDE and PIN2 keys are generated by the organizer of the election before the opening of the postal vote.
  • PIN1 is generated during the voter's request for an associated IDV.
  • the voter launches the voting software or application on his user terminal 13 and accesses the encryption server 12.
  • the voter enters the IDV voting number sent to him.
  • the valid IDV vote number can be reconstituted from two parts received separately.
  • the voter places the ballot 16 bearing, in a legible manner, the name of the candidate 17 of his choice on the reader 14 of electronic tags 15 of the user terminal 13.
  • the voting software or application detects the presence of the electronic tag 15 on the reader 14 of electronic tags.
  • the voting software or application sends an identification request with the personal voting number IDV to the encryption server 12.
  • the voting software or application requests the encryption server 12 to activate the ballot 16, a request which does not include no identification of the chosen candidate. This activation involves the following steps:
  • the voting software or application reads the IDBL batch number from the electronic tag.
  • the voting software or application sends IDBL and IDB1 to the encryption server 12.
  • the batch number allows the encryption server 12 to know the election code.
  • IDBL and IDB1 are encrypted with the key KIE of the encryption server 12 corresponding to the election code.
  • the result of this encryption is DIS.
  • the PIN2 code (voting PIN) corresponding to this election is read on the encryption server 12.
  • DIS and the PIN2 code are sent to the voting software or application.
  • the PIN2 code allows this software or this application to access the vote validation/identification area and stores there IDB1 and the DIS vote validation number.
  • the ballot is then validated.
  • the encryption server 12 marks, in its memory, the vote number IDV as corresponding to an “activated ballot”. No other ballot 16 from this elector can be activated for this election.
  • the voter puts the ballot 16 in a voting envelope 18 and the voting envelope 18 in the envelope 19 for secure sending (mail tracking for example) and returns it to a postal voting center or to his municipality ( example) and its polling station. It is noted that the envelope 19 of secure sending identifies the voter, that is to say bears his name.
  • the signature corresponding to the voter's name on the secure envelope 19 is made by the president of the polling station in full view of all. Then, the president opens this secure envelope 19, extracts the voting envelope 18 and inserts it into the ballot box 21 in full view of all.
  • the voting envelope 18 is identical to the face-to-face voting envelopes at the polling station.
  • the vote counting system 20 On the day of the election, the vote counting system 20, for example the ballot box, receives from the server 12 the KIE key (corresponding to the polling station, for example) and reads into memory the label electronic 15 of each bulletin 16, the IDBL and IDB1 values. Then, the vote counting system 20 performs the encryption of “IDBL+IDB1” with the key KIE, which gives DIS (ballot box). Finally, the vote counting system 20 reads, in the memory of the electronic tag 15, the value of DIS which has been entered there by the user terminal 13 and compares it with DIS (ballot box).
  • the KIE key corresponding to the polling station, for example
  • the vote is counted (with the encrypted data and the KIE and KDE keys corresponding to the polling station, for example).
  • This operation with the envelopes 19 received can be done at any time during the voting day. In particular, it can be carried out at the end of the face-to-face vote, which allows a voter who has voted by post to vote in face-to-face if he has changed his mind and/or his choice of candidate.
  • the President and an accessor must ensure that the signature register has not already been signed for the name of the elector entered on the envelope. 19 secure delivery. If a signature has already been made, envelope 19 is destroyed.
  • the electronic ballot box 21 displays the results including the face-to-face votes and the postal votes. It is impossible to differentiate between them, which guarantees the secrecy of the vote.
  • Mail-in ballot envelopes can also be sent to a national or regional counting center to be counted there.
  • the counting of votes can be done automatically by inserting the stacks of envelopes in the mass reader LEC1.
  • This reader contains the keys of the KIE and KDE of the sess and/or the polling stations of the ballots to be counted.
  • voters can check the delivery of their secure envelope 19 using the tracking number.
  • Statistics can be made by national polling station number, the number of "validated” ballots with the number of ballots (envelope) received and counted in the polling stations.
  • a voter can go to a polling station and ask to check the contents of the secure envelope 19 sealed by him.
  • Ciphers and servers are Ciphers and servers:
  • All encryptions are made using algorithms guaranteed by the ANSSI (National Agency for the Security of Information Systems) for example, such as AES128, for example, and are all signed in SHA-256, for example.
  • ANSSI National Agency for the Security of Information Systems
  • the request server 11 verifies and generates the IDV and PIN1 codes, sends them to the server 12 while triggering the sending of the ballots 16 requested by the voter.
  • the server 11 does not store these numbers.
  • an SV candidate server (not shown) which keeps the list of possible choices for the current election, is accessible without an IDV vote number. It is read-only and is isolated from servers 11 and 12.
  • the cipher server 12 does not store any candidate data. It cannot send data to server 11 .
  • the data to be counted are on the ballot paper 16 validated by the voter.
  • the reconstitution of the vote is done with the data read from the memory of the electronic tag 15 of each ballot 16 in the polling station or in a center for counting postal votes.
  • the server 12 switches to read-only mode. Only the update zone corresponding to the vote number can be modified and only for the replacement of the “inactivated ballot” attribute by the “activated ballot” attribute.
  • the memory of the server 12 can be calibrated with respect to the number of polling stations, keys and votes, in order to ensure that no vote and/or vote validation data can be stored there. This calibration can be electronic (limitation of memory capacity for example).
  • the data corresponding to the voting requests are destroyed: no postal vote is then possible. Only the encryption keys remain stored. Statistical data such as the number of voters and/or vote requests by correspondence by office can be calculated and stored before the deletion of the requests. On the day of the vote, once the keys have been sent to the polling stations or to a counting centre, these keys can be destroyed.
  • All encrypted data like DIS, DCS and DMS can be encrypted with the signature of the zones that allow to encrypt them like IDA1 and IDBL for DIS.
  • the result of the signature polynomial CRC for example, is sent to the server for encryption, rather than IDA1 and IDBL. This method makes it possible to have several identical ciphers and, thus, to make it impossible to identify a voter for a vote.
  • the voter identifies himself on the server 11 and makes a request for a postal vote. After verification of his identity, an IDV vote number and a PIN1 code are randomly generated by the server 11 and sent to the encryption server 12.
  • the voter receives a single self-adhesive blank electronic label 15 and identical paper ballots 16 to those used face-to-face on the day of the vote, with candidate data 17 printed in plain text.
  • the voter can also print the ballot 16 of the candidate he wants to choose.
  • the blank electronic label 15 of voting data contains only a non-unique IDBL number (batch number for example), the common code (for example) and/or a national polling station number. These numbers are encoded in the blank electronic label 15 by the municipality (for example) before sending this electronic label 15 and the paper ballots 16 if the voter cannot print them and has requested them. .
  • the voter chooses the paper ballot 16 of his candidate then sticks the blank electronic label 15 on the chosen ballot 16.
  • the blank electronic tag 15 and the paper slip 16 chosen can no longer be separated without destruction.
  • the voter uses his user terminal 13 equipped with an electronic tag reader 14.
  • the voter launches the voting software or the voting application.
  • the voter enters or scans and/or photographs directly in the application the information of the chosen candidate and entered on the paper ballot stuck to the blank electronic label.
  • the graphic information is transformed into alphanumeric data (via optical character recognition “OCR” and an image signature “IMG”).
  • OCR optical character recognition
  • IMG image signature
  • the user terminal 13 can check locally in this list, the presence of the candidate chosen by the voter and validate his choice.
  • the alphanumeric data and the graphic information and/or their signatures can be stored in a dedicated zone of the electronic tag 15.
  • the voter puts his ballot 16 on the reader 14 of the electronic label 15.
  • the application detects the presence of electronic tag 15 on reader 14.
  • the application reads the common code and/or the voter's polling station number (on six digits for example) from the electronic tag 15 and/or directly from the server with the IDV vote number.
  • the application reads the IDBL batch number and generates three random numbers IDBT, IDB1 and
  • the application encrypts the candidate data directly on the terminal 13 with the KBT key consisting of IDBL and IDTA, which gives DCT. These data can also be encrypted directly in the electronic label 15 of the bulletin 16 (in 3DES for example). Using the PIN1 code, this DCT encrypted data is stored in the “rereading” candidate memory zone of the electronic tag.
  • the application performs a first encryption on the terminal 13 of the candidate data entered or scanned with the key KB2 consisting of IDBL and IDB2, encryption which gives DCO. These data can also be encrypted by the electronic tag 15 (in 3DES for example).
  • the application generates a PIN1 code.
  • the DCT encrypted data is stored in the “rereading” candidate memory zone of the electronic tag 15.
  • the application sends IDBL, IDB1, IMG and DCO previously encrypted to the encryption server 12.
  • the election code (the common code, for example, and/or polling station number) is also sent and/or read directly on the server .
  • IDB1 and IDBL are encrypted with the KIE key of the server 12 which corresponds to the election (the municipality and/or the polling station number).
  • the result of this encryption is DIS.
  • the DCO data is encrypted with the KDE server key 12 which corresponds to the election.
  • the result of this encryption is DCS.
  • IMG data is encrypted with KDE server key 12.
  • the result of this encryption is DMS.
  • the PIN2 code corresponding to this election is read on the server.
  • DIS, DCS and the PIN2 code are sent to the user terminal 13.
  • the PIN2 code allows access to the voting zone of the electronic label 15 and stores DIS, IDB1 and IDB2, DCS there.
  • the ballot 16 is then validated with the vote validation number DIS and retains the DCS encrypted candidate data.
  • the encryption server 12 stores the number of the vote IDV as corresponding to an “activated ballot”.
  • a memory 50 of an electronic tag 15, for example of the RFSID type (acronym for “Radio Frequency Same I Dentification”) implemented in the second embodiment comprises: - an area 51 for keeping the batch number, a number which is common with other 16 bulletins to promote anonymity,
  • the present invention relates to an electronic tag for postal voting by association with a ballot paper, which comprises a memory comprising information representing a ballot validation code.
  • the information representative of a slip validation code comprises, in encrypted form, a batch number of slips and/or a random number.
  • the information representative of a ballot validation code comprises, encrypted by a batch number of ballots and/or a random number then by a remote server, an identification of the choice of user among the possible choices during the election.
  • the memory further comprises an image of a ballot paper on which this electronic tag is stuck.
  • the memory further comprises information representative of the counting, by a ballot box, of the vote carried by the ballot.
  • Batch number zone which corresponds to the identical serial number (patent reminder “non-unique number”). This zone is initialized when the slip is produced with a non-unique number. This number is identical for a batch of slips (for example identical for a roll of 1000 slips).
  • Selection data zone Initialized when printing the ballot with the election number, polling station number (accessible or not by PIN1 code) and/or with when validating the ballot. This data makes it possible to check the ballot before its validation.
  • Zone "report image” image or image signature (accessible by PIN2).
  • the PIN1 code is linked to the voter and is identical for all the ballots of a voter. It will be modified by the application is stored in the memory of the user terminal.
  • the PIN1 code is linked to the voter and the PIN2 code is linked to the election and/or a polling station number.
  • a redundancy for example a cyclic redundancy code (“CRC”), makes it possible to verify the integrity of data.
  • CRC cyclic redundancy code
  • All of these zones 51 to 55 can be accessed by PIN and/or are encrypted.
  • an electronic identification system is preferably used such as a smart card (with or without contact), a PIN code or other.
  • the disadvantage of such systems is that the secrecy of the vote may not be respected. Indeed if we can link a voter to the candidate he has chosen, the secrecy of the vote would not be respected.
  • the invention makes it possible to identify a voter independently of the voting system (electronic and/or digital paper and/or paper) while making it possible to activate the vote.
  • An ID1 electronic identification system linked to a database to identify the voter and an RD1 electromechanical system controlled by ID1 to activate the voting system mechanically (no electronic and/or computer link).
  • the RD1 system after validation by ID1, activates a push button for example which thus authorizes the vote.
  • the device is also activated electromechanically by the voting system VT1 in order to validate the vote by activating a second push button for acknowledgment, for example, connected to the identification system ID1.
  • the RD1 system is encapsulated in a secure and completely transparent box so that the voter can see the mechanical actions. Two indicator lights linked to each mechanical action make it possible to visualize the meaning (“Request for Vote” and “Voted”).
  • the device can be connected to an electronic voting system, to the ballot box and/or the terminal of the “digital paper voting” system and/or to a paper ballot box. In all cases, the device activates them mechanically.
  • the elements of the electronic attendance system include:
  • This actuator A1 makes it possible to activate a button with electrical contact C1 making it possible to send a coded electrical signal to the bollard or to the ballot box.
  • This actuator A2 controls an electromechanical actuator with coded electronic control to acknowledge a vote by activating the electrical contact C2 which sends a coded electrical signal to the electronic identification system.
  • the electrical contact C2 is integrated into the mechanical lever of the ballot box and connected to the electronic identification system which receives the coded signal to acknowledge the vote.
  • an electronic unit ID1 can be seen making it possible to identify a voter and activate a coded actuator A1, which actuates a coded electrical contact C1 connected to and decoded by a ballot box VT1 and lights the indicator V1.
  • VT1 activates a coded actuator A2, which activates the coded electrical contact C2 connected and decoded by the identification system ID1, and thus acknowledges the vote.
  • the V2 indicator meaning "voted” is then lit for a few seconds. All the mechanical actions of activations or validations are visible but are inaccessible.
  • Figure 6 shows the production of paper ballots with electronic tags.
  • An ID1 electronic unit used to identify a voter and activate the coded actuator A1, which actuates the coded electrical contact C1 connected and decoded by terminal BP1.
  • LED V1 is then on.
  • the terminal BP1 activates the coded actuator A2, which actuates the coded electrical contact C2 connected and decoded by the identification system ID1, and thus acknowledges the request for the production of the bulletin.
  • the V2 indicator meaning "voted” is then lit for a few seconds. All the mechanical actions of activations or validations are visible but are inaccessible.
  • An electronic unit ID1 used to identify a voter and activate the coded actuator A3, which releases the ballot box opening lever VTP1 when the V1 light is on.
  • Lever L1 can be operated by the person responsible for the ballot box, the flap opens and the coded contact C3 integrated into the lever is open. After introduction of the envelope in VTP1, the lever L1 is returned to its initial position and closes the coded electrical contact C3 integrated into the lever L1 and connected and decoded by the system identification ID1, and thus acknowledges the vote.
  • the V2 indicator meaning "voted” is then lit for a few seconds. All the mechanical actions of activations or validations are visible but are inaccessible.
  • the present invention relates to a system for counting votes by correspondence by reading an electronic tag associated with a ballot paper, which comprises means for reading information representative of a validation code newsletter in an electronic tag memory.
  • the information representative of a ballot validation code comprises, in encrypted form, a batch number of ballots and/or a random number
  • the vote counting system further comprising a means for receiving an encryption or decryption key corresponding to the encryption implemented to encrypt the ballot batch number and/or the random number.
  • the information representative of a ballot validation code comprises, encrypted by a batch number of ballots and/or a random number then by a remote server, an identification of the choice of user among the possible choices during the election, the vote counting system further comprising means for receiving encryption or decryption keys corresponding to the encryptions implemented to encrypt the batch number of ballots and/ or the random number.
  • the vote counting system comprises a means of writing in the memory of the electronic tag associated with the ballot paper, information representative of the counting, by the vote counting system, of the vote carried by the ballot.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Le procédé (30) de vote par correspondance comporte : - une étape (31) de connexion d'un terminal utilisateur à un premier serveur, - une étape (32) d'authentification de l'utilisateur du terminal utilisateur par le premier serveur, et d'association d'un seul numéro de vote à l'utilisateur, - une étape (33) de mémorisation par un deuxième serveur, du numéro de vote de l'utilisateur, - une étape (34) de transmission, par le deuxième serveur au terminal utilisateur, d'un code de validation de bulletin, - une étape (36) d'inscription, par le terminal utilisateur dans une étiquette électronique, d'une information représentative du code de validation de bulletin, - une étape (38) de transmission, par le deuxième serveur à un système de comptage de votes, d'un élément de validation de bulletin, - par le système de comptage de votes, pour chaque bulletin de vote associé à une étiquette électronique, une étape (39) de lecture de l'information représentative du code de validation dans ladite étiquette électronique et - une étape (40) de vérification de correspondance entre l'information représentative du code de validation lu et l'élément de validation reçu par le système de comptage et, seulement si cette vérification est positive, une étape de prise en compte du bulletin associé à ladite étiquette électronique.

Description

PROCÉDÉ ET DISPOSITIF DE VOTE PAR CORRESPONDANCE
DOMAINE TECHNIQUE DE L’INVENTION
La présente invention vise un procédé et un dispositif de vote par correspondance. Elle s’applique, notamment au vote par anticipation.
ÉTAT DE LA TECHNIQUE
Le vote par correspondance pose de nombreux problèmes techniques liés à la sécurité, notamment garantie d’intégrité du bulletin choisi, garantie d’anonymat, émargement, nécessité d’éviter un double vote, voire de permettre à l’électeur de changer de choix après avoir adressé son bulletin de vote par correspondance.
EXPOSÉ DE L’INVENTION
La présente invention vise à remédier à tout ou partie de ces inconvénients.
À cet effet, selon un premier aspect, la présente invention vise un procédé de vote par correspondance, qui comporte :
- une étape de connexion d’un terminal utilisateur à un premier serveur ;
- une étape d’authentification de l’utilisateur du terminal utilisateur par le premier serveur, et d’association d’un seul numéro de vote à l’utilisateur ;
- une étape de mémorisation par un deuxième serveur, du numéro de vote de l’utilisateur ;
- une étape de vote par l’utilisateur suivie d’une étape de vérification qu’il s’agit de la première étape de vote par l’utilisateur ;
- s’il s’agit de la première étape de vote par l’utilisateur :
- une étape de transmission, par le deuxième serveur au terminal utilisateur, d’un code de validation de bulletin physique,
- une étape d’inscription, par le terminal utilisateur dans une étiquette électronique, d’une information représentative du code de validation de bulletin physique, et
- une étape de transmission, par le deuxième serveur à un système de comptage de votes, d’un élément de validation de bulletin physique, le système de comptage de votes étant distinct du deuxième serveur ;
- par le système de comptage de votes, pour chaque bulletin de vote physique associé à une étiquette électronique, une étape de lecture de l’information représentative du code de validation dans ladite étiquette électronique ; et
- une étape de vérification de correspondance entre l’information représentative du code de validation lu et l’élément de validation reçu par le système de comptage et, seulement si cette vérification est positive, une étape de prise en compte du bulletin associé à ladite étiquette électronique. Ainsi, le bulletin physique associé par l’utilisateur au code de validation de bulletin est inconnu des différents serveurs, ce qui garantit la confidentialité du vote. De plus, le numéro de vote ne permet pas de retrouver l’identité de l’utilisateur, ce qui garantit l’anonymat du vote. Enfin, l’invention interdit qu’un même électeur vote deux fois en n’associant qu’un seul numéro de vote à l’utilisateur et en mémorisant que le terminal utilisateur a déjà reçu un code de validation de bulletin.
On note que les premier et le deuxième serveur peuvent constituer un serveur unique assurant les fonctions de serveurs présentées ci-dessus.
On note aussi que l’association d’une étiquette électronique à un bulletin de vote peut se faire en intégrant l’étiquette électronique dans le bulletin de vote portant un choix possible de l’électeur, en collant cette étiquette sur un tel bulletin, en intégrant l’étiquette dans une enveloppe contenant le bulletin de vote de l’utilisateur ou en collant cette étiquette sur une telle enveloppe. La présente invention est donc compatible aussi bien avec les dépouillements manuels par lecture visuelle du choix fait par l’électeur qu’avec des dépouillements électroniques avec lecture électronique du choix fait par l’électeur.
Dans des modes de réalisation, au cours de l’étape de transmission, par le deuxième serveur au terminal utilisateur, d’un code de validation de bulletin, le terminal utilisateur transmet au deuxième serveur un numéro de lot de bulletins et/ou un numéro aléatoire, le deuxième serveur chiffre chaque numéro reçu du terminal utilisateur et le retourne chiffrée au terminal utilisateur.
Dans des modes de réalisation, au cours de l’étape de transmission, par le deuxième serveur au terminal utilisateur, d’un code de validation de bulletin, le terminal utilisateur chiffre une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection, avec, comme clé de chiffrement, un numéro de lot de bulletins et/ou un numéro aléatoire, et transmet l’identification de choix chiffrée au deuxième serveur, le deuxième serveur chiffrant cette identification de choix chiffré et la retournant chiffrée au terminal utilisateur.
Dans des modes de réalisation, le procédé comporte, après l’étape d’authentification de l’utilisateur du terminal utilisateur par le premier serveur, une étape de transmission à l’utilisateur d’une pluralité de bulletins de vote, portant, de manière visible et lisible à l’œil, un choix possible au cours de l’élection, chaque bulletin de vote étant physiquement lié à une étiquette électronique conservant, en mémoire, l’identification du choix porté par le bulletin.
Dans des modes de réalisation, l’identification du choix porté par le bulletin est conservée chiffrée en mémoire de l’étiquette électronique.
Dans des modes de réalisation, le procédé comporte une étape de transmission, à l’utilisateur, d’un premier code d’accès au contenu d’une première partie de la mémoire de chaque étiquette électronique reçue par l’utilisateur, cette première partie conservant un identifiant du vote et/ou une identification du choix effectué par l’utilisateur au cours de l’élection.
Dans des modes de réalisation, le procédé comporte une étape de modification, par le terminal utilisateur, du premier code conjointement à l’étape d’inscription, par le terminal utilisateur dans une étiquette électronique, d’une information représentative du code de validation de bulletin. Dans des modes de réalisation, le procédé comporte une étape de transmission, par le deuxième serveur au terminal utilisateur, d’un deuxième code d’accès au contenu d’une deuxième partie de la mémoire de chaque étiquette électronique reçue par l’utilisateur, cette deuxième partie conservant l’information représentative du code de validation de bulletin.
Dans des modes de réalisation, le procédé comporte une étape d’inscription, en mémoire de chaque étiquette électronique reçue par l’utilisateur, d’un numéro de lot de bulletins commun aux étiquettes électroniques de plusieurs utilisateurs.
Dans des modes de réalisation, le procédé comporte une étape de collage d’une étiquette électronique sur un bulletin portant une identification visible et lisible à l’œil du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection, une étape de capture d’une image du bulletin portant l’étiquette électronique collée, une étape de chiffrement de cette image et une étape de mise en mémoire de l’étiquette électronique de cette image chiffrée conjointement à l’étape d’inscription, par le terminal utilisateur dans une étiquette électronique, d’une information représentative du code de validation de bulletin.
Dans des modes de réalisation, le procédé comporte une étape de reconnaissance optique de caractères de l’identification du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection portée par le bulletin sur lequel est collé l’étiquette électronique et une étape d’inscription, par le terminal utilisateur dans la mémoire de l’étiquette électronique, d’une information représentative de l’identification lue par reconnaissance optique de caractères.
Dans des modes de réalisation, le procédé comporte une étape de collage d’une étiquette électronique sur une enveloppe contenant le bulletin portant une identification visible et lisible à l’œil du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection.
Dans des modes de réalisation, le procédé comporte une étape de transmission, par l’utilisateur à un bureau de vote, d’un bulletin de vote associé à une étiquette électronique, dans une enveloppe formant cage de Faraday.
Selon un deuxième aspect, la présente invention vise une étiquette électronique pour vote par correspondance par association avec un bulletin de vote, qui comporte une mémoire comportant une information représentative d’un code de validation de bulletin.
Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée, un numéro de lot de bulletins et/ou un numéro aléatoire.
Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée par un numéro de lot de bulletins et/ou un numéro aléatoire puis par un serveur distant, une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection.
Dans des modes de réalisation, la mémoire comporte, de plus, une image d’un bulletin de vote sur lequel est collée cette étiquette électronique.
Dans des modes de réalisation, la mémoire comporte, de plus, une information représentative de la comptabilisation, par une urne, du vote porté par le bulletin. Selon un troisième aspect, la présente invention vise un système de comptage de votes par correspondance par lecture d’une étiquette électronique associée avec un bulletin de vote, qui comporte un moyen de lecture d’une information représentative d’un code de validation de bulletin dans une mémoire de l’étiquette électronique.
Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée, un numéro de lot de bulletins et/ou un numéro aléatoire, le système de comptage de vote comportant, de plus, un moyen de réception d’une clé de chiffrement ou de déchiffrement correspondant au chiffrement mis en oeuvre pour chiffrer le numéro de lot de bulletins et/ou le numéro aléatoire.
Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée par un numéro de lot de bulletins et/ou un numéro aléatoire puis par un serveur distant, une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection, le système de comptage de vote comportant, de plus, un moyen de réception de clés de chiffrement ou de déchiffrement correspondant aux chiffrements mis en oeuvre pour chiffrer le numéro de lot de bulletins et/ou le numéro aléatoire.
Dans des modes de réalisation, le système de comptage de votes comporte un moyen d’écriture dans la mémoire de l’étiquette électronique associée au bulletin de vote, d’une information représentative de la comptabilisation, par le système de comptage de vote, du vote porté par le bulletin.
Les avantages, buts et caractéristiques particulières de cette étiquette électronique et de ce système de comptage de votes étant similaires à ceux du procédé objet de l’invention, ils ne sont pas rappelés ici.
BREVE DESCRIPTION DES FIGURES
D’autres avantages, buts et caractéristiques particulières de l’invention ressortiront de la description non limitative qui suit d’au moins un mode de réalisation particulier du dispositif et du procédé objets de la présente invention, en regard des dessins annexés, dans lesquels :
La figure 1 représente, schématiquement, un premier mode de réalisation du dispositif de vote par correspondance objet de l’invention,
La figure 2 représente, sous forme d’étapes réalisées par différents moyens physiques, dans un premier mode de réalisation du procédé objet de l’invention,
La figure 3 représente, sous forme de transmissions de données, un deuxième mode de réalisation du procédé objet de l’invention,
La figure 4 représente différentes zones d’une mémoire d’étiquette électronique mise en oeuvre dans le deuxième mode de réalisation du procédé objet de l’invention,
La figure 5 représente une urne de vote automatique,
La figure 6 représente une production de bulletins de vote et La figure 7 représente des moyens de vote avec une urne classique munie d’un déverrouillage mécanique du levier de la trappe de l’urne.
DESCRIPTION DES MODES DE RÉALISATION
La présente description est donnée à titre non limitatif, chaque caractéristique d’un mode de réalisation pouvant être combinée à toute autre caractéristique de tout autre mode de réalisation de manière avantageuse.
On note, dès à présent, que les figures ne sont pas à l’échelle.
Dans la suite de la description, chaque choix possible que peut réaliser un électeur est appelé « candidat », par analogie avec les élections de personnes, même si la présente invention s’applique indifféremment à ce type d’élection, au référendum ou aux votations. Les bulletins de vote sont des bulletins de vote physiques, c’est-à-dire qu’ils sont manipulés à la main et introduits physiquement dans l’urne.
Premier mode de réalisation
On observe, en figure 1 , un dispositif de vote par correspondance 10, qui comporte un serveur d’authentification 11 , un serveur de validation 12 et un système de comptage de vote 20 associé à une urne 21 . Un terminal utilisateur communicant 13 comportant un lecteur 14 d’étiquette électronique 15 permet à l’utilisateur de se connecter avec les serveurs 11 et 12. L’étiquette électronique 15 est de type connu, par exemple à champ proche, fonctionnant selon le protocole RFID (acronyme de Radiofréquence IDentification pour identification en radiofréquences) ou NFC (acronyme de Near Field Communication pour communication en champ proche).
Au moins un bulletin 16 portant un choix 17 que peut réaliser l’utilisateur lors de l’élection, une enveloppe de vote 18 et une enveloppe de transport 19 sont à disposition de l’utilisateur.
Les serveurs 11 et 12 sont accessibles en ligne, sur la toile (en anglais « web »). Ils communiquent avec le terminal utilisateur 13 par internet. Le serveur de validation 12 communique avec le système de comptage 20 soit par internet, soit par transfert de fichier sur un support physique, appelé « bulletin de vote », par exemple transporté par un service postal. Les serveurs 11 et 12 peuvent constituer un unique serveur mais, préférentiellement, ils sont séparés pour mieux garantir la confidentialité et l’anonymat du vote.
Le terminal utilisateur 13 est, par exemple, un ordinateur, un téléphone mobile ou une tablette, où a été installé un logiciel ou une application de vote par correspondance.
Le système de comptage de vote 20 peut servir à l’émargement et/ou à l’introduction des bulletins de vote dans l’urne 21 .
L’enveloppe 18 est anonyme et configurée pour contenir, à l’abri du regard, un bulletin de vote 16. L’enveloppe 19 permet le transport postal de l’enveloppe 18 jusqu’au bureau de vote. Dans des modes de réalisation, l’étiquette électronique 15 est solidarisée à un bulletin de vote 16 avant d’être remise à l’utilisateur. Dans ce cas, l’utilisateur reçoit au moins deux bulletins de vote portant, chacun, une étiquette électronique 15 et un nom de candidat 17 différent.
Dans des modes de réalisation, l’étiquette électronique 15 est indépendante de tout bulletin de vote 16 lorsqu’elle est remise à l’utilisateur avec, au moins deux bulletins de vote 16 portant, chacun, un nom de candidat 17 différent. L’utilisateur doit alors coller l’étiquette électronique sur un bulletin de vote 16, sur l’enveloppe 18 ou sur l’enveloppe 19, selon les instructions qu’on lui donne.
On observe, en figure 2, les étapes d’un mode de réalisation particulier du procédé 30 de vote par correspondance.
On observe, en figure 2, une séquence 30 d’étapes réalisées par le terminal communicant 13, à gauche, par les serveurs 11 et 12, au centre, et par le système de comptage de vote 20, à droite. Lorsqu’une étape est réalisée par échange entre deux entités, l’étape est à cheval sur les colonnes correspondant à ces deux entités, à l’exception de l’étape 37 qui ne concerne pas les serveurs.
Au cours d’une étape 31 , l’utilisateur se connecte au serveur d’authentification 11 pour demander de réaliser un vote par correspondance, par le biais d’une connexion d’un terminal utilisateur 13 à un premier serveur 11 . On note que, au cours de l’étape 31 , il n’est pas nécessaire que le logiciel ou l’application de vote soit installé sur le terminal utilisateur 13. Eventuellement, c’est au cours de l’une des étapes 31 à 34 que ce logiciel ou cette application est installé sur le terminal utilisateur 13.
Au cours d’une étape 32, le serveur d’authentification 11 réalise l’authentification de l’utilisateur du terminal 13, par exemple par téléchargement d’une photo (ou « scan ») d’au moins une pièce d’identité et/ou d’une preuve de domiciliation ou par reconnaissance biométrique. Si l’authentification est positive, le serveur d’authentification génère un seul numéro de vote IDV pour l’utilisateur.
En d’autres termes, si l’utilisateur se connecte et s’authentifie une deuxième fois, aucun nouveau numéro de vote ne lui est attribué. Le numéro de vote IDV est anonyme. Par exemple, le numéro de vote est un numéro incrémental.
Au cours d’une étape 33, le serveur de validation 12 effectue une mémorisation du numéro de vote IDV anonyme de l’utilisateur.
L’utilisateur réalise une étape de vote. Le serveur réalise alors une étape de vérification qu’il s’agit de la première étape de vote par l’utilisateur.
S’il s’agit de la première étape de vote réalisée, pour le scrutin en cours, par l’utilisateur, au cours d’une étape 34, le serveur de validation 12 transmet au terminal utilisateur un code de validation de bulletin physique. Ce code de validation peut être unique pour tous les terminaux utilisateurs ou pour tous les utilisateurs ayant le même bureau de vote, auquel cas une procédure d’émargement est nécessaire puisqu’il faut interdire qu’un même utilisateur puisse valider deux bulletins de vote. Par exemple, l’enveloppe 19 identifie l’utilisateur ayant voté et, avant de placer l’enveloppe de vote 18 dans l’urne, le bureau de vote vérifie qu’aucun vote n’a été précédemment effectué (en présentiel ou par correspondance) par l’utilisateur identifié. Préférentiellement, le code de validation est différent pour tous les utilisateurs. Par exemple, il s’agit d’un chiffrement, avec une clé attribuée au serveur de validation 12, d’un numéro de lot de bulletins, d’un numéro aléatoire, du numéro de vote IDV et/ou de l’heure de la transmission du code de validation de bulletin au terminal utilisateur.
Au cours d’une étape optionnelle 35, qui correspond au cas où l’utilisateur ne dispose que d’une seule étiquette électronique 15, et qui peut être effectuée avant ou après l’étape 34 ou l’étape 36, l’utilisateur réalise l’association physique de l’étiquette électronique 15 avec le bulletin physique 16, avec l’enveloppe 18 ou avec l’enveloppe 19, selon les instructions qu’on lui adresse.
Au cours d’une étape 36, le terminal utilisateur 13 met en oeuvre le lecteur 14 d’étiquette électronique 15 pour inscrire dans l’étiquette électronique 15 une information représentative du code de validation du bulletin physique. Cette information peut être le code de validation de bulletin reçu du serveur de validation 12 ou un codage/chiffrement de ce code de validation de bulletin auquel cas, le système de comptage 20 doit disposer de la clé de codage/chiffrement ou de décodage/déchiffrement pour vérifier la validité du bulletin de vote. Eventuellement, dans le cas où une étiquette électronique 15 est intégrée à un bulletin de vote, la mémoire de l’étiquette électronique peut conserver le nom de candidat porté par le bulletin de vote. Dans le cas où l’utilisateur ne dispose que d’une seule étiquette électronique 15 pour plusieurs bulletins, le terminal utilisateur 13 peut mettre en oeuvre le lecteur 14 d’étiquettes électroniques 15 pour inscrire dans la mémoire de l’étiquette électronique 15 le nom du candidat porté par le bulletin de vote 16. Une procédure de vérification de correspondance entre le nom du candidat lisible à l’œil et le nom du candidat inscrit en mémoire de l’étiquette électronique 15 est alors préférentielle. Une telle procédure est décrite plus loin.
Au cours d’une étape 37, l’utilisateur adresse au bureau de vote l’enveloppe 19 contenant l’enveloppe 18 qui contient le bulletin de vote 16, par exemple par voie postale.
Au cours d’une étape 38, préférentiellement le dernier jour du vote, le serveur de validation 12 transmet au système de comptage de votes 20, distinct du serveur de validation 12, un élément de validation de bulletin physique, par exemple une clé de codage/chiffrement ou de décodage/déchiffrement d’une information représentative d’un code de validation inscrit dans une étiquette électronique 15. L’élément de validation de bulletin peut aussi comporter le code de validation de bulletin, un horodatage ou une séquence aléatoire qui a été utilisé pour générer l’information représentative du code de validation écrite dans la mémoire de l’étiquette électronique 15.
Au cours d’une étape 39, le système de comptage de votes 20 lit l’information représentative du code de validation de bulletin physique dans la mémoire de l’étiquette électronique 15. Au cours d’une étape 40, le système de comptage de votes 20 vérifie, pour chaque bulletin de vote reçu, la correspondance entre :
- l’information représentative du code de validation de bulletin et
- l’élément de validation ou l’un des éléments de validation reçu.
En cas de correspondance, l’enveloppe 18 comportant le bulletin de vote physique 16 est pris en compte, c’est-à-dire validé et introduit dans l’urne 21 .
Le dépouillement des bulletins de votes 16 est ensuite réalisé de manière classique, par lecture visuelle des noms de candidats portés par les bulletins de vote et/ou par lecture électronique des noms de candidats conservés dans les mémoires des étiquettes électroniques 15 portées par les bulletins de vote. Par exemple, le dépouillement met en œuvre la description de l’un des documents FR20100000868 et FR2977698.
Comme on le comprend à la lecture de la description du premier mode de réalisation, le procédé de vote par correspondance 30 comporte :
- une étape 31 de connexion d’un terminal utilisateur 13 à un premier serveur 11 , - une étape 32 d’authentification de l’utilisateur du terminal utilisateur 13 par le premier serveur 11 , et d’association d’un seul numéro de vote à l’utilisateur,
- une étape 33 de mémorisation par un deuxième serveur 12, du numéro de vote de l’utilisateur,
- une étape 34 de transmission, par le deuxième serveur 12 au terminal utilisateur 13, d’un code de validation de bulletin 16,
- une étape 36 d’inscription, par le terminal utilisateur 13 dans une étiquette électronique 15, d’une information représentative du code de validation de bulletin 16,
- une étape 38 de transmission, par le deuxième serveur 12 à un système de comptage de votes 20, d’un élément de validation de bulletin 16,
- par le système de comptage de votes 20, pour chaque bulletin de vote 16 associé à une étiquette électronique 15, une étape 39 de lecture de l’information représentative du code de validation dans l’étiquette électronique 15 et
- une étape 40 de vérification de correspondance entre l’information représentative du code de validation lu et l’élément de validation reçu par le système de comptage 20 et, seulement si cette vérification est positive, une étape de prise en compte du bulletin 16 associé à l’étiquette électronique 15.
On note que la vérification de correspondance peut se faire par déchiffrement de données, en disposant d’au moins une clé de déchiffrement ou par chiffrement, en reproduisant chaque chiffrement réalisé sur les données et en comparant le résultat avec les données chiffrées lues en mémoire de l’étiquette électronique 15.
Plus particulièrement, comme on le présente ci-dessous en regard du deuxième mode de réalisation : - Dans des modes de réalisation, au cours de l’étape 34 de transmission, par le deuxième serveur 12 au terminal utilisateur 13, d’un code de validation de bulletin, le terminal utilisateur transmet au deuxième serveur 12 un numéro de lot de bulletins et/ou un numéro aléatoire, le deuxième serveur chiffre chaque numéro reçu du terminal utilisateur et le retourne chiffrée au terminal utilisateur.
- Dans des modes de réalisation, au cours de l’étape 34 de transmission, par le deuxième serveur 12 au terminal utilisateur 13, d’un code de validation de bulletin, le terminal utilisateur chiffre une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection, avec, comme clé de chiffrement, un numéro de lot de bulletins et/ou un numéro aléatoire, et transmet l’identification de choix chiffrée au deuxième serveur 12, le deuxième serveur chiffrant cette identification de choix chiffré et la retournant chiffrée au terminal utilisateur.
- Dans des modes de réalisation, le procédé comporte, après l’étape 32 d’authentification de l’utilisateur du terminal utilisateur 13 par le premier serveur 11 , une étape de transmission à l’utilisateur d’une pluralité de bulletins de vote 16, portant, de manière visible et lisible à l’œil, un choix 17 possible au cours de l’élection, chaque bulletin de vote étant physiquement lié à une étiquette électronique 15 conservant, en mémoire, l’identification du choix porté par le bulletin.
- Dans des modes de réalisation, l’identification du choix 17 porté par le bulletin 13 est conservée chiffrée en mémoire de l’étiquette électronique 15.
- Dans des modes de réalisation, le procédé comporte une étape de transmission, à l’utilisateur, d’un premier code PIN1 d’accès au contenu d’une première partie de la mémoire de chaque étiquette électronique 15 reçue par l’utilisateur, cette première partie conservant un identifiant du vote et/ou une identification du choix 17 effectué par l’utilisateur au cours de l’élection.
- Dans des modes de réalisation, le procédé comporte une étape de modification, par le terminal utilisateur, du premier code PIN1 conjointement à l’étape 36 d’inscription, par le terminal utilisateur dans une étiquette électronique 15, d’une information représentative du code de validation de bulletin.
- Dans des modes de réalisation, le procédé comporte une étape de transmission, par le deuxième serveur 12 au terminal utilisateur 13, d’un deuxième code PIN2 d’accès au contenu d’une deuxième partie de la mémoire de chaque étiquette électronique 15 reçue par l’utilisateur, cette deuxième partie conservant l’information représentative du code de validation de bulletin.
- Dans des modes de réalisation, le procédé comporte une étape d’inscription, en mémoire de chaque étiquette électronique 15 reçue par l’utilisateur, d’un numéro de lot de bulletins 16 commun aux étiquettes électroniques de plusieurs utilisateurs.
- Dans des modes de réalisation, le procédé comporte une étape de collage d’une étiquette électronique 15 sur un bulletin 16 portant une identification 17 visible et lisible à l’œil du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection, une étape de capture d’une image du bulletin portant l’étiquette électronique collée, une étape de chiffrement de cette image et une étape de mise en mémoire de l’étiquette électronique de cette image chiffrée conjointement à l’étape 36 d’inscription, par le terminal utilisateur dans une étiquette électronique 15, d’une information représentative du code de validation de bulletin.
- Dans des modes de réalisation, le procédé comporte une étape de reconnaissance optique de caractères de l’identification du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection portée par le bulletin 16 sur lequel est collé l’étiquette électronique 15 et une étape d’inscription, par le terminal utilisateur dans la mémoire de l’étiquette électronique 15, d’une information représentative de l’identification lue par reconnaissance optique de caractères.
- Dans des modes de réalisation, le procédé comporte une étape de collage d’une étiquette électronique 15 sur une enveloppe 18, 19 contenant le bulletin 16 portant une identification 17 visible et lisible à l’œil du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection.
- Dans des modes de réalisation, le procédé comporte une étape 37 de transmission, par l’utilisateur à un bureau de vote, d’un bulletin de vote associé à une étiquette électronique, dans une enveloppe formant cage de Faraday.
Deuxième mode de réalisation :
Pour plus de sécurité, par rapport au premier mode de réalisation, on prévoit un code de lecture personnel (en anglais « PIN » pour personal identification number) pour accéder au contenu d’au moins une partie de la mémoire de l’étiquette électronique 15.
Préférentiellement, on met aussi en œuvre un numéro non unique, c’est-à-dire mis en œuvre par plusieurs utilisateurs comme un numéro de lot de bulletins IDBL (numéro non unique généré à la fabrication du bulletin) et un numéro généré par le logiciel ou l’application de vote, par exemple de manière aléatoire.
On marque le bulletin comme validé en inscrivant un code de validation transmis par le serveur de validation 12 en réponse à la transmission, par le terminal utilisateur 13 de ce numéro ou de sa signature.
Lors du dépouillement, pour vérifier la validité du bulletin de vote, le système de comptage de votes 20 lit, dans l’étiquette électronique 15, le numéro non unique IDBL et le numéro IDB1 généré par le logiciel ou l’application de vote pour en déduire le code de validation DIS donné par le serveur.
Le numéro non unique permet de garantir l’anonymat lors de l’envoi des bulletins car on ne peut pas les rattacher à un électeur.
On décrit, ci-après, le deuxième mode de réalisation.
L’utilisateur, aussi appelé électeur, reçoit ou retire les bulletins « papier numérique » 16 d’une pluralité de choix possibles pour le scrutin concerné, chaque bulletin 16 ayant une étiquette électronique 15 intégrée et portant une mention visible 17 d’un seul candidat.
Chaque étiquette électronique 15 conserve en mémoire le nom du candidat chiffré correspondant au nom du candidat lisible 17 inscrit sur le bulletin papier 13. Dans le deuxième mode de réalisation, le dispositif comporte principalement :
- le serveur 11 auquel sont adressées des requêtes et qui génère de manière aléatoire des codes d’identification (« PIN code ») et un numéro de vote personnel IDV pour l’électeur. Chaque électeur doit requérir, par l’intermédiaire d’un terminal utilisateur, au moins deux bulletins de vote, le serveur 11 mémorisant sa demande et lui faisant adresser, par exemple par courrier postal, les bulletins de vote demandés non activés.
- le serveur 12 sur lequel les données de chiffrement (clés, code PIN2 et numéro de vote IDV) sont stockées pour chaque élection (chaque commune, par exemple, et/ou chaque bureau de vote).
- le lecteur 14 d’étiquette électronique 15 relié ou intégré au terminal utilisateur 13 de l’électeur.
- le logiciel de vote ou l’application de vote, installé sur ce terminal utilisateur 13.
- de bulletins de vote 16 munis, chacun d’une étiquette électronique 15 disposant de zones mémoire à accès sécurisés et/ou à écriture unique.
- d’une enveloppe 19 d’envoi sécurisée avec cage de Faraday pour éviter toute tentative de destruction de l’étiquette électronique 15 du bulletin activé 16 portant le nom du candidat choisi par l’électeur lors de son vote.
- du système de comptage de vote 20 comportant un système d’identification d’électeurs et d’émargement sécurisé répertoriant les noms et prénoms de tous les électeurs ayant voté, système qui garantit le secret du vote et
- le système de dépouillement automatique des enveloppes, aussi appelé « urne » 21 .
Dans ce deuxième mode de réalisation, l’électeur s’identifie et, éventuellement, identifie son bureau de vote, auprès du serveur 11 et lui adresse une demande pour un vote par correspondance. Après vérification de l’identité de l’électeur, un numéro de vote personnel unique IDV est généré, par exemple de manière aléatoire, par le serveur 11 et envoyé au serveur de chiffrement 12.
L’électeur reçoit, ou retire auprès d’une autorité, les bulletins 16 déjà imprimés aux noms des candidats, chaque bulletin conservant, dans la mémoire de son étiquette électronique 15, un identifiant du candidat correspondant au nom lisible 17 du candidat imprimé sur le bulletin 16. Chaque bulletin 16 est alors inactivé, c’est-à-dire que, s’il était lu par le système de dépouillement 21 , celui-ci le considérerait comme invalide et ne prendrait pas en compte.
L’électeur reçoit, par exemple par courriel, message court (« SMS ») et/ou par courrier postal, son numéro de vote IDV ou une partie de celui-ci, l’autre partie lui étant adressé par un autre moyen de transmission, par exemple avec les bulletins 16 s’ils lui sont adressés par courrier postal. Ce numéro de vote IDV permet à l’électeur d’activer, via le serveur de chiffrement 12, un et seul bulletin 16 et de sécuriser son vote. L’étiquette électronique 15 de chaque bulletin 16 conserve aussi en mémoire un numéro non unique, par exemple un numéro de lot IDBL, le code de la commune où l’électeur est autorisé à voter et/ou le numéro national du bureau de vote de l’électeur.
L’étiquette électronique 15 comporte aussi un espace mémoire pour un numéro IDB1 généré par le terminal utilisateur 13, par exemple aléatoirement, numéro qui sera envoyés au serveur 12 qui conserve les clés de chiffrement par bureau de vote par exemple. Ces clés sont générées par l’organisateur de l’élection avant l’ouverture du vote par correspondance pour chaque bureau de vote par exemple KIE uniquement (mode simple) et KDE pour élection avec candidat identifié dans l’étiquette électronique.
Ces clés de chiffrements seront envoyées vers les systèmes de comptage de votes 20 après la fermeture du vote par correspondance.
Les bulletins de vote 16 sont produits avec en mémoire, dans le cas d’un bulletin 16 avec uniquement une zone de validation, le numéro de lot IDBL et, éventuellement, le numéro de bureau de vote et un identifiant de l’élection et, pour accéder à une zone d’identification, le numéro de lot IDBL et, pour accéder à une zone d’dentification de candidat, le code personnel d’accès PIN1 .
Les bulletins de vote 16 sont produits avec en mémoire, dans le cas d’un bulletin 16 avec la zone de validation et une zone de comptabilisation candidat, le numéro de lot IDBL et, éventuellement, le numéro de bureau de vote et un identifiant de l’élection et, pour accéder à la zone d’identification et à la zone de comptabilisation candidat, le numéro de lot IDBL et le code d’accès personnel PIN1 .
Les bulletins de vote 16 sont produits avec en mémoire, dans le cas d’un bulletin avec la zone de validation, la zone comptabilisation candidat et une zone relecture par le terminal 13, le numéro de lot IDBL et, éventuellement, le numéro de bureau de vote et un identifiant de l’élection et, pour accéder à la zone d’identification et à la zone de comptabilisation candidat, le numéro de lot IDBL et le code d’accès personnel PIN1 et, pour accéder à la zone de relecture, le numéro de lot IDBL et un code d’accès personnel PIN2.
Une fois encodés et envoyés, le numéro IDV est supprimé du serveur de demande 11 .
Les données de l’étiquette électronique 15 des bulletins 16 envoyés sont chiffrées et/ou accessible par code personnel PIN1 . Ce code personnel PIN1 est, avant remplacement lors de la validation, identique pour tous les bulletins 16 d’un même électeur. Le code PIN2 n’est pas lié à l’électeur il est lié à l’élection et numéro de bureau.
Au niveau du serveur 12 sont conservés en mémoire, le numéro de vote IDV et un attribut indiquant qu’un bulletin de vote a été validé par cet électeur, ainsi que le code PIN1 , le numéro d’élection, le numéro de bureau de vote et, pour le vote, le numéro de vote, le numéro de bureau de vote, des clés de chiffrement KIE et KDE et le code PIN2 qui sera envoyé au système de comptage de vote 20. PIN2 est envoyé vers le terminal 13 pour accéder à la zone vote de l’étiquette électronique 15. Les données conservées en mémoire de l’étiquette électronique 15 des bulletins de vote 16 permettant de contrôler et de comptabiliser le vote sont, par exemple, identiques à celles des bulletins « papier numérique » produits lors du vote en présentiel sur une borne de vote, par exemple objet de l’un des documents FR20100000868 et FR2977698.
La mémoire de l’étiquette électronique 15 de chaque bulletin de vote 16 activé conserve au moins les deux premiers ensembles de données suivantes :
- un ensemble de données permettant de contrôler la validité du bulletin, qui est calculée et chiffrée par le serveur de chiffrement,
- un ensemble de données représentatives du vote effectué par l’électeur, c’est-à-dire du choix d’un candidat, qui sert à la comptabilisation du vote lors du dépouillement. Ces données qui servent à la comptabilisation du vote sont chiffrées avec la clé KDE stockée sur le serveur 12 et envoyée comme la clé KIE et PIN2 vers le système de comptage de vote 20 concerné.
Les clés KIE, KDE et PIN2 sont générées par l’organisateur de l’élection avant l’ouverture du vote par correspondance. PIN1 est généré lors de la demande de l’électeur pour un IDV associé.
Dans ce deuxième mode de réalisation, après avoir reçu ou retiré les bulletins de vote et le numéro de vote IDV :
- l’électeur lance le logiciel ou l’application de vote sur son terminal utilisateur 13 et accède au serveur de chiffrement 12.
- l’électeur saisit le numéro de vote IDV qui lui a été envoyé. Comme exposé ci-dessus, le numéro de vote IDV valide peut être à reconstituer à partir de deux parties reçues séparément.
- l’électeur pose le bulletin 16 portant, de manière lisible, le nom du candidat 17 de son choix sur le lecteur 14 d’étiquettes électroniques 15 du terminal utilisateur 13.
- le logiciel ou l’application de vote détecte la présence de l’étiquette électronique 15 sur le lecteur 14 d’étiquettes électroniques.
- le logiciel ou l’application de vote adresse une demande d’identification avec le numéro de vote personnel IDV au serveur de chiffrement 12.
Une fois le choix de l’électeur réalisé et le bulletin 16 du candidat placé sur le lecteur 14 d’étiquettes électroniques 15, le logiciel ou l’application de vote demande au serveur de chiffrement 12 une activation de bulletin 16, demande qui ne comporte pas d’identification du candidat choisi. Cette activation comporte les étapes suivantes :
- le logiciel ou l’application de vote lit dans l’étiquette électronique, le numéro de lot IDBL.
- le logiciel ou l’application de vote génère un nouveau numéro aléatoire IDB1 .
- le logiciel ou l’application de vote envoie IDBL et IDB1 au serveur de chiffrement 12. Le numéro de lot permet au serveur de chiffrement 12 de connaître le code d’élection.
Puis IDBL et IDB1 (ou leur signature CRC par exemple) sont chiffrés avec la clé KIE du serveur de chiffrement 12 correspondant au code d’élection. Le résultat de ce chiffrement est DIS. Le code PIN2 (PIN de vote) correspondant à cette l’élection est lu sur le serveur de chiffrement 12. DIS et le code PIN2 sont envoyés au logiciel ou à l’application de vote. Le code PIN2 permet à ce logiciel ou cette application d’accéder à la zone de validation/identification du vote et y stocke IDB1 et le numéro de validation du vote DIS.
Le bulletin est alors validé.
Le serveur de chiffrement 12 marque, dans sa mémoire, le numéro de vote IDV comme correspondant à un « bulletin activé ». Plus aucun autre bulletin 16 de cet électeur ne pourra être activé pour cette élection.
L’électeur met le bulletin 16 dans une enveloppe de vote 18 et l’enveloppe de vote 18 dans l’enveloppe 19 d’envoi sécurisée (suivi courrier par exemple) et la retourne vers un centre de vote par correspondance ou vers sa commune (par exemple) et son bureau de vote. On note que l’enveloppe 19 d’envoi sécurisé identifie l’électeur, c’est-à-dire porte son nom.
Le jour de l’élection en présentiel, l’émargement correspondant au nom de l’électeur porté sur l’enveloppe 19 d’envoi sécurisée est réalisé par le président du bureau de vote à la vue de tous. Puis, le président ouvre cette enveloppe 19 d’envoi sécurisée, en extrait l’enveloppe 18 de vote et l’insère dans l’urne 21 à la vue de tous.
L’enveloppe 18 de vote est identique aux enveloppes de vote en présentiel du bureau de vote.
Le jour de l’élection, le système de comptage de votes 20, par exemple l’urne, reçoit de la part du serveur 12, la clé KIE (correspondant au bureau de vote, par exemple) et lit en mémoire de l’étiquette électronique 15 de chaque bulletin 16, les valeurs IDBL et IDB1 . Puis, le système de comptage de votes 20 effectue le chiffrement de « IDBL+IDB1 » avec la clé KIE, ce qui donne DIS (urne). Enfin, le système de comptage de votes 20 lit, en mémoire de l’étiquette électronique 15, la valeur de DIS qui y a été inscrite par le terminal utilisateur 13 et le compare avec DIS (urne).
Si ces valeurs sont égales, le vote est comptabilisé (avec les données chiffrées et les clé KIE et KDE correspondant au bureau de vote par exemple).
Cette opération avec les enveloppes 19 reçues peut se faire à tout moment de la journée de vote. En particulier, elle peut être effectuée en fin du vote en présentiel, ce qui permet à un électeur qui a voté par correspondance de voter en présentiel s’il a changé d’avis et/ou de choix de candidat. Dans ce cas, avant d’introduire une enveloppe 18 de vote par correspondance, le Président et un accesseur doivent s’assurer que le registre d’émargement n’a pas déjà été signé pour le nom de l’électeur portée sur l’enveloppe 19 d’envoi sécurisée. Si un émargement a déjà été fait, l’enveloppe 19 est détruite.
En fin de scrutin, l’urne électronique 21 affiche les résultats comprenant les votes en présentiels et les votes par correspondances. Il est impossible de les différencier ce qui permet de garantir le secret du vote.
Variante du deuxième mode de réalisation - Dépouillement de masse :
Les enveloppes de vote par correspondance peuvent aussi être envoyé vers un centre de dépouillement national ou régional afin d’y être dépouillées. La comptabilisation des voix pourra être faite de manière automatique en insérant les piles d’enveloppes dans le lecteur de masse LEC1 . Ce lecteur contient les clés des KIE et KDE des communes et/ou des bureaux de vote des bulletins à dépouiller.
Variante du deuxième mode de réalisation - Vérification des votes par correspondances :
À tout moment l’électeur peut vérifier, grâce au numéro de suivi, l’acheminement de son enveloppe 19 d’envoi sécurisée.
Des statistiques pourront être faite par numéro national de bureau vote, du nombre de bulletins « validés » avec le nombre de bulletins (enveloppe) reçus et comptabilisés dans les bureaux de vote.
À tout moment, un électeur peut se rendre dans un bureau de vote et demander à vérifier le contenu de l’enveloppe 19 d’envoi sécurisée scellées par ses soins.
Il peut faire une vérification visuelle en ouvrant son enveloppe 19 d’envoi sécurisée. Il peut aussi faire une relecture du contenu de l’étiquette électronique 15 uniquement avec le terminal utilisateur qui y a fait une inscription grâce à sa clé unique qui y est stocké.
Chiffrements et serveurs :
Tous les chiffrements sont faits à l’aide d’algorithmes garantis par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) par exemple, comme AES128, par exemple, et sont tous signés en SHA-256, par exemple.
Le serveur de demandes 11 vérifie et génère les code IDV et PIN1 , les envoie vers le serveur 12 tout en déclenchant l’envoi des bulletins 16 demandés par l’électeur. Le serveur 11 ne conserve pas ces numéros.
Optionnellement, un serveur de candidats SV (non représenté) qui conserve la liste des choix possibles pour l’élection en cours, est accessible sans numéro de vote IDV. Il est en lecture uniquement et est isolé des serveurs 11 et 12.
Le serveur de chiffrements 12 ne stocke aucune donnée du candidat. Il ne peut pas émettre de données vers le serveur 11 .
Les données à dépouiller sont sur le bulletin de vote 16 validé par l’électeur.
La reconstitution du vote se fait avec les données lues en mémoire de l’étiquette électronique 15 de chaque bulletin 16 dans le bureau de vote ou dans un centre de comptabilisation des votes par correspondance. Une fois que les données de chiffrements ainsi que les demandes de vote par correspondance y sont mémorisées, le serveur 12 passe en lecture seule. Seule la zone de mise à jour correspondant au numéro de vote peut être modifiée et uniquement pour le remplacement de l’attribut « bulletin inactivé » par l’attribut « bulletin activé ». La mémoire du serveur 12 peut être calibrée par rapport au nombre de bureaux de vote, de clés et de votes, ceci afin de s’assurer qu’aucune donnée de vote et/ou de validation du vote ne pourra y être stockée. Ce calibrage peut être électronique (limitation de la capacité de la mémoire par exemple). A la clôture du vote par correspondance, les données correspondantes aux demandes de vote sont détruites : aucun vote par correspondance n’est alors possible. Seules les clés de chiffrements restent stockées. Des données statistiques comme le nombre de votants et/ou demandes de vote par correspondance par bureau peuvent être calculées et stockées avant la suppression des demandes. Le jour du vote, une fois les clés transmises vers les bureaux de votes ou vers un centre de dépouillement, ces clés peuvent être détruites.
Signatures avant chiffrements :
Toutes les données chiffrées comme DIS, DCS et DMS peuvent être chiffrées avec la signature des zones qui permettent de les chiffrer comme IDA1 et IDBL pour DIS. Préférentiellement, le résultat de la signature, CRC polynomiale par exemple, est envoyé vers le serveur pour le chiffrement, plutôt que IDA1 et IDBL. Cette méthode permet d’avoir plusieurs chiffrements identiques et, ainsi, de rendre impossible d’identifier un électeur pour un vote.
Plus la méthode de calcul du CRC permet d’obtenir des signatures identiques, plus l’anonymat est sécurisé. Cette sécurité supplémentaire permet de répondre aux détracteurs du vote par correspondance qui pensent que les serveurs mémorisent les données permettant de remonter jusqu’à un électeur.
Cas d’utilisation d’une seule étiquette électronique 15 par électeur :
L’électeur s’identifie sur le serveur 11 et fait une demande pour un vote par correspondance. Après vérification de son identité, un numéro de vote IDV et un code PIN1 sont générés de manière aléatoire par le serveur 11 et envoyés vers le serveur de chiffrement 12. L’électeur reçoit une seule étiquette électronique 15 vierge autocollante et des bulletins papier 16 identiques à ceux utilisés en présentiel le jour du vote, avec les données candidat 17 imprimées en clair. L’électeur peut aussi imprimer le bulletin 16 du candidat qu’il veut choisir. L’étiquette électronique vierge 15 de données de vote contient seulement un numéro non unique IDBL (n° de lot par exemple), le code commune (par exemple) et/ou un numéro national de bureau de vote. Ces numéros sont encodés dans l’étiquette électronique vierge 15 par la commune (par exemple) avant l’envoi de cette étiquette électronique 15 et des bulletins papier 16 si l’électeur ne peut pas les imprimer et qu’il en a fait la demande.
Pour voter, l’électeur choisi le bulletin papier 16 de son candidat puis colle l’étiquette électronique vierge 15 sur le bulletin 16 choisi. L’étiquette électronique vierge 15 et le bulletin papier 16 choisi ne peuvent plus être dissociés sans destruction.
L’électeur utilise son terminal utilisateur 13 muni d’un lecteur d’étiquette électronique 14. L’électeur lance le logiciel de vote ou l’application de vote. L’électeur saisit ou scanne et/ou photographie directement dans l’application les informations du candidat choisi et inscrites sur le bulletin papier collé à l’étiquette électronique vierge. Les informations graphiques sont transformées en données alphanumériques (par l’intermédiaire d’une reconnaissance optique de caractères « OCR » et une signature de l’image « IMG »). A l’aide du code élection, de la commune (par exemple) et/ou du numéro de bureau de vote, l’application se connecte au serveur candidats SV et demande la liste de tous candidats.
Le terminal utilisateur 13 peut vérifier localement dans cette liste, la présence du candidat choisi par l’électeur et valider son choix. Les données alphanumériques et les informations graphiques et/ou leurs signatures peuvent être stockées dans une zone dédiée de l’étiquette électronique 15.
L’électeur pose son bulletin 16 sur le lecteur 14 d’étiquette électronique 15.
L’application détecte la présence de l’étiquette électronique 15 sur le lecteur 14.
L’application lit le code commune et/ou le numéro de bureau de vote de l’électeur (sur six digits par exemple) de l’étiquette électronique 15 et/ou directement sur le serveur avec le numéro de vote IDV.
L’application lit le numéro de lot IDBL et génère trois numéros aléatoires IDBT, IDB1 et
IDB2.
L’application chiffre directement sur le terminal 13, les données candidats avec la clé KBT constituée de IDBL et IDTA ce qui donne DCT. Ces données peuvent aussi être chiffrées directement dans l’étiquette électronique 15 du bulletin 16 (en 3DES par exemple). A l’aide du code PIN1 , ces données chiffrées DCT sont stockées dans la zone mémoire candidat « relecture » de l’étiquette électronique.
L’application effectue un premier chiffrement sur le terminal 13 des données candidat saisies ou scannées avec la clé KB2 constituée de IDBL et IDB2, chiffrement qui donne DCO. Ces données peuvent aussi être chiffrées par l’étiquette électronique 15 (en 3DES par exemple).
L’application génère un code PIN1 . A l’aide du code PIN1 , les données chiffrées DCT sont stockées dans la zone mémoire candidat « relecture » de l’étiquette électronique 15.
L’application envoie IDBL, IDB1 , IMG et DCO préalablement chiffré au serveur de chiffrement 12. Le code élection (le code commun, par exemple, et/ou numéro de bureau de vote) est aussi envoyé et/ou lu directement sur le serveur.
Puis, IDB1 et IDBL sont chiffrés avec la clé KIE du serveur 12 qui correspond à l’élection (la commune et/ou le numéro de bureau de vote). Le résultat de ce chiffrement est DIS.
Les données DCO sont chiffrés avec la clé KDE du serveur 12 qui correspond à l’élection. Le résultat de ce chiffrement est DCS.
Les données IMG sont chiffrés avec la clé KDE du serveur 12. Le résultat de ce chiffrement est DMS.
Le code PIN2 correspondant à cette l’élection est lu sur le serveur. DIS, DCS et le code PIN2 sont envoyé vers le terminal utilisateur 13. Le code PIN2 permet d’accéder à la zone vote de l’étiquette électronique 15 et y stocke DIS, IDB1 et IDB2, DCS. Le bulletin 16 est alors validé avec le numéro de validation du vote DIS et conserve les données candidat chiffrées DCS. Le serveur de chiffrement 12 mémorise le numéro de la vote IDV comme correspondant à un « bulletin activé » .
Architecture de la mémoire d’une étiquette électronique :
Comme illustré en figure 4, une mémoire 50 d’une étiquette électronique 15, par exemple de type RFSID (acronyme de « Radio Frequency Same I Dentification ») mise en oeuvre dans le deuxième mode de réalisation comporte : - une zone 51 de conservation du numéro de lot, numéro qui est commun avec d’autres bulletins 16 pour favoriser l’anonymat,
- une zone 52 de conservation de données d’élection,
- une zone 53 de relecture du nom du candidat, uniquement accessible à l’électeur,
- une zone 54 de conservation d’une information représentative d’un code de validation, signifiant que le bulletin est activé, servant à la vérification avant comptabilisation, d’un nom de candidat correspondant au nom du candidat imprimé sur le bulletin, pour comptabilisation par l’urne, et de conservation d’une information signifiant que le bulletin a été comptabilisé, inscrite par urne et
- une zone 55 de conservation d’une image du bulletin ou d’une signature de l’image.
Ainsi, selon un deuxième aspect, la présente invention vise une étiquette électronique pour vote par correspondance par association avec un bulletin de vote, qui comporte une mémoire comportant une information représentative d’un code de validation de bulletin.
Plus particulièrement :
- Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée, un numéro de lot de bulletins et/ou un numéro aléatoire.
- Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée par un numéro de lot de bulletins et/ou un numéro aléatoire puis par un serveur distant, une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection.
- Dans des modes de réalisation, la mémoire comporte, de plus, une image d’un bulletin de vote sur lequel est collée cette étiquette électronique.
- Dans des modes de réalisation, la mémoire comporte, de plus, une information représentative de la comptabilisation, par une urne, du vote porté par le bulletin.
Architecture du bulletin :
Zone N° de lot qui correspond au numéro de série identique (Rappel brevet « numéro non unique »). Cette zone est initialisée lors de la fabrication du bulletin avec un numéro non unique. Ce numéro est identique pour un lot de bulletins (par exemple identique pour un rouleau de 1000 bulletins).
1 : Marquage uniquement
Zone « données élection » Initialisée lors de l’impression du bulletin avec le n° élection, n° de bureau de vote (accessible ou pas par code PIN1) et/ou avec lors de la validation du bulletin. Ces données permettent de contrôler le bulletin avant sa validation.
Zone « bulletin validé » pour vérification avant comptabilisation (accessible par PIN1).
Zone « bulletin comptabilisé » (qui (pourrait être la zone « bulletin validé » mise à jour en « bulletin comptabilisé ») marquage par urne comme comptabilisé (accessible par PIN2).
2 : Avec relecture sécurisée sur terminal utilisateur 13 Zone « candidat relecture » possible uniquement par l’électeur (accessible par PIN1). En variante, cette zone permet de vérifier que le bulletin a été validé par le terminal utilisateur 13 de l’électeur, seul ce terminal pouvant la lire.
3 : Avec nom et/ou code candidat pour dépouillement automatique
Zone « candidat vote » pour comptabilisation par urne ou autre (accessible par PIN2).
4 : Zone « image bulletin » image ou signature image (accessible par PIN2).
Le code PIN1 est lié à l’électeur et est identique pour tous les bulletins d’un électeur. Il sera modifié par l'application est stocké dans la mémoire du terminal utilisateur.
Le code PIN1 est relié à l’électeur et le code PIN2 est lié à l’élection et/ou un numéro de bureau de vote.
Une redondance, par exemple un code de redondance cyclique (« CRC »), permet de vérifier l’intégrité de données.
Toutes ces zones 51 à 55 peuvent être accessibles par PIN et/ou sont chiffrées.
Système d’identification et d’émargement (Figures 5 à 7)
Afin de faciliter l’identification et l’émargement d’un électeur lors du vote, préférentiellement on utilise un système d’identification électronique comme une carte à mémoire (avec ou sans contact), un code PIN ou autre. L’inconvénient de tels systèmes est que le secret du vote peut ne pas être respecté. En effet si on peut relier un électeur au candidat qu’il a choisi, le secret du vote ne serait pas respecté. L’invention permet d’identifier un électeur indépendamment du système de vote (électronique et/ou papier numérique et/ou papier) tout en permettant d’activer le vote. Un système électronique d’identification ID1 relié à une base de données pour identifier l’électeur et d’un système électromécanique RD1 commandé par ID1 pour activer le système de vote de manière mécanique (aucun liaison électronique et/ou informatique). Le système RD1 , après validation par ID1 , active un bouton poussoir par exemple qui vient autorise ainsi le vote. Le dispositif est aussi activé de manière électromécanique par le système de vote VT1 afin de valider le vote en actionnant pour acquittement un second bouton poussoir par exemple, relié au système d’identification ID1. Le système RD1 est encapsulé dans une boite sécurisée et totalement transparente afin que l’électeur puisse voir les actions mécaniques. Deux voyants liés à chaque action mécanique permettent de visualiser le sens (« Demande de Vote » et « A Voté »). Le dispositif peut être connecté à un système de vote électronique, à l’urne et/ou la borne du système de « vote papier numérique » et/ou à une urne papier. Dans tous les cas, le dispositif vient les activer de manière mécanique.
Les éléments du système électronique d’émargement comportent :
-une unité électronique permettant d’identifier un électeur,
- une carte d’identification de l’électeur (carte à puce par exemple),
- un boîtier transparent sécurisé (par exemple en Plexiglass, marque déposée),
- un actionneur A1 électromécanique à commande électronique codée pour activer un vote, - un contact électrique C1 permettant d’envoyer à la borne ou à l’urne un signal électrique codé pour actionner le vote,
- un actionneur A2 électromécanique à commande électronique codée pour acquitter le vote,
- un contact électrique C2 permettant d’envoyer au système d’identification un signal électrique codé pour acquitter le vote,
- un voyant permettant de visualiser l’activation d’un vote V1 ,
- un voyant permettant de visualiser la validation d’un vote V2.
Cet actionneur A1 permet d’activer un bouton à contact électrique C1 permettant d’envoyer à la borne ou à l’urne un signal électrique codé. Cet actionneur A2 commande un actionneur électromécanique à commande électronique codée pour acquitter un vote en activant le contact électrique C2 qui envoie un signal électrique codé au système d’identification électronique.
Dans le cas de l’urne papier traditionnelle, l’actionneur codé A1 permet de libérer le levier d’ouverture de la trappe.
Le contact électrique C2 est intégré au levier mécanique de l’urne et relié au système d’identification électronique qui reçoit le signal codé pour acquitter le vote.
On observe, en figure 5, une unité électronique ID1 permettant d’identifier un électeur et d’activer un actionneur codé A1 , qui actionne un contact électrique codé C1 relié à et décodé par une urne VT1 et allume le voyant V1. Après introduction d’une enveloppe dans l’urne VT1 , VT1 active un actionneur codé A2, qui actionne le contact électrique codé C2 relié et décodé par le système d’identification ID1 , et ainsi acquitte le vote. Le voyant V2, signifiant « a voté » est alors allumé pendant quelques secondes. Toutes les actions mécaniques d’activations ou de validations sont visibles mais sont inaccessibles.
On observe, en figure 6, une production de bulletins papier avec étiquettes électroniques. Une unité électronique ID1 permettant d’identifier un électeur et d’activer l’actionneur codé A1 , qui actionne le contact électrique codé C1 relié et décodé par borne BP1 . Le voyant V1 est alors allumé. Après production du bulletin, la borne BP1 active l’actionneur codé A2, qui actionne le contact électrique codé C2 relié et décodé par le système d’identification ID1 , et ainsi acquitte la demande de production du bulletin. Le voyant V2, signifiant « a voté » est alors allumé pendant quelques secondes. Toutes les actions mécaniques d’activations ou de validations sont visibles mais sont inaccessibles.
On observe, en figure 7, un vote avec une urne pour bulletins papiers classiques et avec déverrouillage mécanique d’un levier d’une trappe de l’urne.
Une unité électronique ID1 permettant d’identifier un électeur et d’activer l’actionneur codé A3, qui libère le levier d’ouverture de l’urne VTP1 le voyant V1 est allumé. Le levier L1 peut être actionné par le responsable de l’urne, la trappe s’ouvre et le contact codé C3 intégré au levier est ouvert. Après introduction de l’enveloppe dans VTP1 , le levier L1 est ramené en position initiale et ferme le contact électrique codé C3 intégré au levier L1 et relié et décodé par le système d’identification ID1 , et ainsi acquitte le vote. Le voyant V2, signifiant « a voté » est alors allumé pendant quelques secondes. Toutes les actions mécaniques d’activations ou de validations sont visibles mais sont inaccessibles.
Ainsi, selon un troisième aspect, la présente invention vise un système de comptage de votes par correspondance par lecture d’une étiquette électronique associée avec un bulletin de vote, qui comporte un moyen de lecture d’une information représentative d’un code de validation de bulletin dans une mémoire de l’étiquette électronique.
Plus particulièrement :
- Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée, un numéro de lot de bulletins et/ou un numéro aléatoire, le système de comptage de vote comportant, de plus, un moyen de réception d’une clé de chiffrement ou de déchiffrement correspondant au chiffrement mis en œuvre pour chiffrer le numéro de lot de bulletins et/ou le numéro aléatoire.
- Dans des modes de réalisation, l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée par un numéro de lot de bulletins et/ou un numéro aléatoire puis par un serveur distant, une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection, le système de comptage de vote comportant, de plus, un moyen de réception de clés de chiffrement ou de déchiffrement correspondant aux chiffrements mis en œuvre pour chiffrer le numéro de lot de bulletins et/ou le numéro aléatoire. - Dans des modes de réalisation, le système de comptage de votes comporte un moyen d’écriture dans la mémoire de l’étiquette électronique associée au bulletin de vote, d’une information représentative de la comptabilisation, par le système de comptage de vote, du vote porté par le bulletin.

Claims

REVENDICATIONS
1 . Procédé (30) de vote par correspondance, caractérisé en ce qu’il comporte :
- une étape (31 ) de connexion d’un terminal utilisateur (13) à un premier serveur (11 ) ;
- une étape (32) d’authentification de l’utilisateur du terminal utilisateur par le premier serveur, et d’association d’un seul numéro de vote (IDV) à l’utilisateur ;
- une étape (33) de mémorisation par un deuxième serveur (12), du numéro de vote de l’utilisateur ;
- une étape de vote par l’utilisateur suivie d’une étape de vérification qu’il s’agit de la première étape de vote par l’utilisateur ;
- s’il s’agit de la première étape de vote par l’utilisateur :
- une étape (34) de transmission, par le deuxième serveur au terminal utilisateur, d’un code de validation de bulletin physique,
- une étape (36) d’inscription, par le terminal utilisateur dans une étiquette électronique (15), d’une information représentative du code de validation de bulletin physique, et
- une étape (38) de transmission, par le deuxième serveur à un système de comptage de votes (20), d’un élément de validation de bulletin physique (16), le système de comptage de votes étant distinct du deuxième serveur ;
- par le système de comptage de votes, pour chaque bulletin de vote physique associé à une étiquette électronique, une étape (39) de lecture de l’information représentative du code de validation dans ladite étiquette électronique ; et
- une étape (40) de vérification de correspondance entre l’information représentative du code de validation lu et l’élément de validation reçu par le système de comptage et, seulement si cette vérification est positive, une étape de prise en compte du bulletin associé à ladite étiquette électronique.
2. Procédé selon la revendication 1 , dans lequel, au cours de l’étape (34) de transmission, par le deuxième serveur (12) au terminal utilisateur (13), d’un code de validation de bulletin, le terminal utilisateur transmet au deuxième serveur (12) un numéro de lot de bulletins et/ou un numéro aléatoire, le deuxième serveur chiffre chaque numéro reçu du terminal utilisateur et le retourne chiffrée au terminal utilisateur.
3. Procédé selon la revendication 1 , dans lequel, au cours de l’étape (34) de transmission, par le deuxième serveur (12) au terminal utilisateur (13), d’un code de validation de bulletin, le terminal utilisateur chiffre une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection, avec, comme clé de chiffrement, un numéro de lot de bulletins et/ou un numéro aléatoire, et transmet l’identification de choix chiffrée au deuxième serveur (12), le deuxième serveur chiffrant cette identification de choix chiffré et la retournant chiffrée au terminal utilisateur.
4. Procédé selon l’une des revendications 1 à 3, qui comporte, après l’étape (32) d’authentification de l’utilisateur du terminal utilisateur (13) par le premier serveur (11 ), une étape de transmission à l’utilisateur d’une pluralité de bulletins de vote (16), portant, de manière visible et lisible à l’œil, un choix (17) possible au cours de l’élection, chaque bulletin de vote étant physiquement lié à une étiquette électronique (15) conservant, en mémoire, l’identification du choix porté par le bulletin.
5. Procédé selon la revendication 4, dans lequel l’identification du choix (17) porté par le bulletin (13) est conservée chiffrée en mémoire de l’étiquette électronique (15).
6. Procédé selon l’une des revendications 1 à 5, qui comporte une étape de transmission, à l’utilisateur, d’un premier code (PIN1 ) d’accès au contenu d’une première partie de la mémoire de chaque étiquette électronique (15) reçue par l’utilisateur, cette première partie conservant un identifiant du vote et/ou une identification du choix (17) effectué par l’utilisateur au cours de l’élection.
7. Procédé selon la revendication 6, qui comporte une étape de modification, par le terminal utilisateur, du premier code (PIN1) conjointement à l’étape (36) d’inscription, par le terminal utilisateur dans une étiquette électronique (15), d’une information représentative du code de validation de bulletin.
8. Procédé selon l’une des revendications 1 à 7, qui comporte une étape de transmission, par le deuxième serveur (12) au terminal utilisateur (13), d’un deuxième code (PIN2) d’accès au contenu d’une deuxième partie de la mémoire de chaque étiquette électronique (15) reçue par l’utilisateur, cette deuxième partie conservant l’information représentative du code de validation de bulletin.
9. Procédé selon l’une des revendications 1 à 8, qui comporte une étape d’inscription, en mémoire de chaque étiquette électronique (15) reçue par l’utilisateur, d’un numéro de lot de bulletins (16) commun aux étiquettes électroniques de plusieurs utilisateurs.
10. Procédé selon l’une des revendications 1 à 9, qui comporte une étape de collage d’une étiquette électronique (15) sur un bulletin (16) portant une identification (17) visible et lisible à l’œil du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection, une étape de capture d’une image du bulletin portant l’étiquette électronique collée par le terminal utilisateur, une étape de chiffrement de cette image et une étape de mise en mémoire de l’étiquette électronique de cette image chiffrée conjointement à l’étape (36) d’inscription, par le terminal utilisateur dans une étiquette électronique (15), d’une information représentative du code de validation de bulletin.
11. Procédé selon la revendication 10, qui comporte une étape de reconnaissance optique de caractères de l’identification du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection portée par le bulletin (16) sur lequel est collé l’étiquette électronique (15) et une étape d’inscription, par le terminal utilisateur dans la mémoire de l’étiquette électronique (15), d’une information représentative de l’identification lue par reconnaissance optique de caractères.
12. Procédé selon l’une des revendications 1 à 9, qui comporte une étape de collage d’une étiquette électronique (15) sur une enveloppe (18, 19) contenant le bulletin (16) portant une identification (17) visible et lisible à l’œil du choix effectué par l’utilisateur parmi les choix possibles au cours de l’élection.
13. Procédé selon l’une des revendications 1 à 12, qui comporte une étape (37) de transmission, par l’utilisateur à un bureau de vote, d’un bulletin de vote associé à une étiquette électronique, dans une enveloppe formant cage de Faraday.
14. Etiquette électronique pour la mise en oeuvre du procédé de vote par correspondance selon l’une des revendications 1 à 13 par association avec un bulletin de vote, qui comporte une mémoire comportant une information représentative d’un code de validation de bulletin.
15. Etiquette électronique selon la revendication 14, dans laquelle l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée, un numéro de lot de bulletins et/ou un numéro aléatoire.
16. Etiquette électronique selon la revendication 14, dans laquelle l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée par un numéro de lot de bulletins et/ou un numéro aléatoire puis par un serveur distant, une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection.
17. Etiquette électronique selon l’une des revendications 14 à 16, dans laquelle la mémoire comporte, de plus, une image d’un bulletin de vote sur lequel est collée cette étiquette électronique.
18. Etiquette électronique selon l’une des revendications 14 à 17, dans laquelle la mémoire comporte, de plus, une information représentative de la comptabilisation, par une urne, du vote porté par le bulletin.
19. Système de comptage de votes pour la mise en oeuvre du procédé de vote par correspondance selon l’une des revendications 1 à 13 par lecture d’une étiquette électronique associée avec un bulletin de vote, qui comporte un moyen de lecture d’une information représentative d’un code de validation de bulletin dans une mémoire de l’étiquette électronique.
20. Système de comptage de votes selon la revendication 19, dans lequel l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée, un numéro de lot de bulletins et/ou un numéro aléatoire, le système de comptage de vote comportant, de plus, un moyen de réception d’une clé de chiffrement ou de déchiffrement correspondant au chiffrement mis en oeuvre pour chiffrer le numéro de lot de bulletins et/ou le numéro aléatoire.
21. Système de comptage de votes selon la revendication 19, dans lequel l’information représentative d’un code de validation de bulletin comporte, de manière chiffrée par un numéro de lot de bulletins et/ou un numéro aléatoire puis par un serveur distant, une identification du choix de l’utilisateur parmi les choix possible au cours de l’élection, le système de comptage de vote comportant, de plus, un moyen de réception de clés de chiffrement ou de déchiffrement correspondant aux chiffrements mis en oeuvre pour chiffrer le numéro de lot de bulletins et/ou le numéro aléatoire.
22. Système de comptage de votes selon l’une des revendications 19 à 21 , qui comporte un moyen d’écriture dans la mémoire de l’étiquette électronique associée au bulletin de vote, d’une information représentative de la comptabilisation, par le système de comptage de vote, du vote porté par le bulletin.
EP22712915.2A 2021-03-05 2022-03-07 Procédé et dispositif de vote par correspondance Pending EP4302285A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2102167A FR3120464B1 (fr) 2021-03-05 2021-03-05 Procédé et dispositif de vote par correspondance
PCT/EP2022/055774 WO2022184944A1 (fr) 2021-03-05 2022-03-07 Procédé et dispositif de vote par correspondance

Publications (1)

Publication Number Publication Date
EP4302285A1 true EP4302285A1 (fr) 2024-01-10

Family

ID=75339961

Family Applications (1)

Application Number Title Priority Date Filing Date
EP22712915.2A Pending EP4302285A1 (fr) 2021-03-05 2022-03-07 Procédé et dispositif de vote par correspondance

Country Status (4)

Country Link
US (1) US20240144765A1 (fr)
EP (1) EP4302285A1 (fr)
FR (1) FR3120464B1 (fr)
WO (1) WO2022184944A1 (fr)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR1000868A (fr) 1949-11-26 1952-02-18 Manuf De L Eclair Schnell Pere Outil pour la fabrication de boutons recouverts de tissu
FR2949269B1 (fr) * 2009-08-19 2012-06-08 Abdelhakim Djoudi Installation pour scrutin electronique
FR2977698B1 (fr) 2011-06-01 2014-01-31 Abdelhakim Djoudi Urne pour la collecte de plis electoraux comportant un moyen de controle de la conformite physique de chaque pli electoral
FR3093851B1 (fr) * 2019-03-15 2021-10-01 Abdelhakim Djoudi Procédé et dispositif de vote et bulletin de vote

Also Published As

Publication number Publication date
FR3120464B1 (fr) 2023-05-19
WO2022184944A1 (fr) 2022-09-09
US20240144765A1 (en) 2024-05-02
FR3120464A1 (fr) 2022-09-09

Similar Documents

Publication Publication Date Title
US8256688B2 (en) Method for certifying and subsequently authenticating original, paper or digital documents for evidences
US20010034640A1 (en) Physical and digital secret ballot systems
EP3690686B1 (fr) Procédé d'authentification, serveur et dispositif électronique d'identité
US20110145150A1 (en) Computerized voting system
EP2260473B1 (fr) Vote électronique produisant un résultat authentifiable.
EP1249799A2 (fr) Procédé, arrangement et dispositif pour voter
US20050218225A1 (en) Methods and systems for voter-verified secure electronic voting
US20180211467A1 (en) Means to create a physical audit trail verifiable by remote voters in electronic elections
FR2738934A1 (fr) Systeme de comptabilisation anonyme d'informations a des fins statistiques, notamment pour des operations de vote electronique ou de releves periodiques de consommation
US20120330732A1 (en) Mobilized polling station
EP0985197B1 (fr) Procede pour produire une image au moyen d'un objet portatif
US20090283597A1 (en) Electronic Voting Device, and Corresponding Method and Computer Program Product
US20190005756A1 (en) Random sample elections
WO2010007479A2 (fr) Appareil et procédé de génération d'un titre sécurisé à partir d'un titre officiel
EP4302285A1 (fr) Procédé et dispositif de vote par correspondance
EP2075726B1 (fr) Outil utilisable pour l'authentification de documents, procédés d'utilisation de l'outil et de documents produits par le ou les procédés
Vignesh et al. E-biometric voting machine
US20060291699A1 (en) Identity and signature verification system
NL1019120C2 (nl) Verkiezingssysteem met mogelijkheid van kiezen op afstand.
FR2944907A1 (fr) Procede de vote electronique securise
FR2820578A1 (fr) Dispositif d'obliteration et de signature manuelle de document electronique, securise par carte a puce, cle publique et tiers de sequestre
Titus Multi-factor authentication for secure electronic balloting credentials
US20060291700A1 (en) Internet signature verification system
Brown et al. E-voting System: Specification and Design Document
ARFVIDSSON ALEXANDER GEORGII-HEMMING CYON

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20231004

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR