Ce petit village gaulois fait voter sur la blockchain Tezos – Il dévoile les failles du système en direct sur Twitter

L’histoire commençait pourtant bien – Trois communes des Yvelines ont eu la bonne idée de lancer un vote sur la blockchain Tezos. Souvent décrié, il semblerait que cette initiative ne soit pas plus fructueuse que celles qui l’ont précédé. Il n’aura fallu que quelques jours à François-Xavier Thoorens pour trouver une multitude de failles.

Le vote sur la blockchain

Une consultation citoyenne concernant un projet de déviation d’une route départementale a été lancée dans les Yvelines. Ainsi, les habitants de 3 communes des Yvelines auront la possibilité de voter « Pour » ou « Contre » ce projet via une blockchain.

Derrière cette initiative, nous retrouvons la startup Avosvotes. Celle-ci propose une application mobile de vote basé sur la blockchain Tezos.

Le vote via la blockchain sera clôturé le 8 octobre. Une deuxième session en bureau de vote sera réalisée le 11 octobre pour laisser le choix de la méthode à chacun.

FX Thoorens s’empare du dossier

Suite au lancement de l’opération, FX Thoorens (CEO de Ark Ecosystem) a décidé de regarder de plus près le système de vote proposé par Avosvotes. Il a publié deux thread, les 5 et 6 octobre, détaillant l’ensemble de ses recherches et trouvailles.

Bon après un café ce matin je me penche de près sur l'application de vote @avosvotes pour une consultation publique. Plus d'info ici : https://t.co/QV52RcQkFs

— fx thoorens🔑 🪪 (@fxthoorens) October 5, 2020

Dès l’arrivée sur le site, les recherches prennent une drôle de tournure. Mot de passe renvoyé en clair à l’utilisateur, algorithmes de chiffrement utilisés avec les paramètres par défauts, mauvaise sécurisation de l’API (service qui permet de communiquer avec les bases de données l’application), les failles pleuvent.

Autre point dérangeant : les votes sont accessibles en clair sur la blockchain. Il serait préférable que ces derniers soient confidentiels jusqu’à la fin du scrutin, précise FX Thoorens.

oui c'est bien ce que vous croyez, la value c'est le vote. l'autre étant la valeur 5….

Vous pouvez donc connaître vous aussi le résultat des votes en comptant tout simplement le nombre de tx avec valeur 5 ou 1. Je laisse au lecteur les devoirs pour savoir si Pour = 1 ou 5

— fx thoorens🔑 🪪 (@fxthoorens) October 5, 2020

Évidemment, FX Thoorens n’est pas rancunier, il a tout de même pris la peine de contacter les équipes de Avosvotes pour les notifier de ses diverses trouvailles.

Lors de sa seconde journée de recherche, FX Thoorens s’est attaqué au smart contract de l’application.

Après la journée d'hier exploitant les problématiques somme toute classiques de l'application de votes, penchons nous sur le smart-contract Tezos.

Auditons mes bonshttps://t.co/xkP5YPrCky

— fx thoorens🔑 🪪 (@fxthoorens) October 6, 2020

Une fois de plus, ce dernier a du mal à comprendre l’utilité du smart contract et la cohérence du recours à une blockchain.

Le maire de Verneuil-sur-Seine répond

Nous avons contacté Fabien Aufrechter, maire de Verneuil-sur-Seine, pour obtenir des éclaircissements sur la situation. En premier lieu, il a souhaité assurer que l’intégrité du scrutin n’avait pas été touchée.

« La sécurité et la sincérité du scrutin n’ont pas été touchées contrairement à ce qu’a laissé entendre FX Thoorens. Fait qu’il a lui-même reconnu hier sur le slack CryptoFR. »

Celui-ci en profite par ailleurs pour rappeler que cette action était une initiative de petite envergure, dont la majorité du traitement est manuelle.

« FX Thoorens n’a pas réussi à voter via le système déployé simplement parce que le KYC est manuel. À chaque fois qu’il a tenté, ses votes ne sont pas pris en compte, car ils ne sont pas rattachés à un ID. […] Il ne s’agit pas d’une app de Google ni d’Apple mais bien d’une app micro-locale gérée à 80% à la main. »

Malgré ce bad buzz, « le usecase est un succès » selon Fabien Aufrechter. Cependant, l’utilité de la blockchain reste pour le moins floue. Blockchain bullshit ou réelle, difficile de trancher.