L’histoire commençait pourtant bien – Trois communes des Yvelines ont eu la bonne idée de lancer un vote sur la blockchain Tezos. Souvent décrié, il semblerait que cette initiative ne soit pas plus fructueuse que celles qui l’ont précédé. Il n’aura fallu que quelques jours à François-Xavier Thoorens pour trouver une multitude de failles.
Le vote sur la blockchain
Une consultation citoyenne concernant un projet de déviation d’une route départementale a été lancée dans les Yvelines. Ainsi, les habitants de 3 communes des Yvelines auront la possibilité de voter “Pour” ou “Contre” ce projet via une blockchain.
Derrière cette initiative, nous retrouvons la startup Avosvotes. Celle-ci propose une application mobile de vote basé sur la blockchain Tezos.
Le vote via la blockchain sera clôturé le 8 octobre. Une deuxième session en bureau de vote sera réalisée le 11 octobre pour laisser le choix de la méthode à chacun.
FX Thoorens s’empare du dossier
Suite au lancement de l’opération, FX Thoorens (CEO de Ark Ecosystem) a décidé de regarder de plus près le système de vote proposé par Avosvotes. Il a publié deux thread, les 5 et 6 octobre, détaillant l’ensemble de ses recherches et trouvailles.
Bon après un café ce matin je me penche de près sur l'application de vote @avosvotes pour une consultation publique. Plus d'info ici : https://t.co/QV52RcQkFs
— fx thoorens (@fxthoorens) October 5, 2020
Dès l’arrivée sur le site, les recherches prennent une drôle de tournure. Mot de passe renvoyé en clair à l’utilisateur, algorithmes de chiffrement utilisés avec les paramètres par défauts, mauvaise sécurisation de l’API (service qui permet de communiquer avec les bases de données l’application), les failles pleuvent.
Autre point dérangeant : les votes sont accessibles en clair sur la blockchain. Il serait préférable que ces derniers soient confidentiels jusqu’à la fin du scrutin, précise FX Thoorens.
oui c'est bien ce que vous croyez, la value c'est le vote. l'autre étant la valeur 5….
Vous pouvez donc connaître vous aussi le résultat des votes en comptant tout simplement le nombre de tx avec valeur 5 ou 1. Je laisse au lecteur les devoirs pour savoir si Pour = 1 ou 5
— fx thoorens (@fxthoorens) October 5, 2020
Évidemment, FX Thoorens n’est pas rancunier, il a tout de même pris la peine de contacter les équipes de Avosvotes pour les notifier de ses diverses trouvailles.
Lors de sa seconde journée de recherche, FX Thoorens s’est attaqué au smart contract de l’application.
Après la journée d'hier exploitant les problématiques somme toute classiques de l'application de votes, penchons nous sur le smart-contract Tezos.
Auditons mes bonshttps://t.co/xkP5YPrCky
— fx thoorens (@fxthoorens) October 6, 2020
Une fois de plus, ce dernier a du mal à comprendre l’utilité du smart contract et la cohérence du recours à une blockchain.
Le maire de Verneuil-sur-Seine répond
Nous avons contacté Fabien Aufrechter, maire de Verneuil-sur-Seine, pour obtenir des éclaircissements sur la situation. En premier lieu, il a souhaité assurer que l’intégrité du scrutin n’avait pas été touchée.
« La sécurité et la sincérité du scrutin n’ont pas été touchées contrairement à ce qu’a laissé entendre FX Thoorens. Fait qu’il a lui-même reconnu hier sur le slack CryptoFR. »
Celui-ci en profite par ailleurs pour rappeler que cette action était une initiative de petite envergure, dont la majorité du traitement est manuelle.
« FX Thoorens n’a pas réussi à voter via le système déployé simplement parce que le KYC est manuel. À chaque fois qu’il a tenté, ses votes ne sont pas pris en compte, car ils ne sont pas rattachés à un ID. […] Il ne s’agit pas d’une app de Google ni d’Apple mais bien d’une app micro-locale gérée à 80% à la main. »
Malgré ce bad buzz, “le usecase est un succès” selon Fabien Aufrechter. Cependant, l’utilité de la blockchain reste pour le moins floue. Blockchain bullshit ou réelle, difficile de trancher.
4 responses à “Ce petit village gaulois fait voter sur la blockchain Tezos – Il dévoile les failles du système en direct sur Twitter”
Alexandre C.
je pense que l'utilité d'une block chain de type "proof of stake" est particulièrement cohérente avec un système de vote. Ce que cherche un votant, c'est une anonymisation du vote et non un "mécompte" des votes. Effectivement, l'implémentation du smart contrat permet (plus ou moins) de voire un tendance du résultat, cependant les failles critiques remontées par "FX Thoorens" sont à classer dans le cadre OWASP d'une api de votant et non dans le système de comptabilité (Tezos et son smart contract). Pourquoi tant décrier cet usage ? je trouve ça plutôt intéressant de ne pas uniquement focaliser une block chain sur " de la thune... de la thune... de la thune..."
· Il y a 3 ans
Frenchduff
Il suffit de lire les tweets pour savoir que c'est du flan: - une faille SQL a été trouvé, autrement dit le système de vote était compromis. Une autre faille a été mentionné, sans en savoir plus. - le smart contract n'était pas sécurisé et tf thoorens a réussi à annuler tous les votes et multiplier les siens : https://twitter.com/fxthoorens/status/1313461330431684609 Autrement dit, pas juste la blockchain mais toute la stack n'est que de la poudre de perlimpinpin.
· Il y a 3 ans
Roby
Et on ne parle pas ici du plot twist où il a pu récupérer les documents d'identité, certificats de domiciles et qui a voté quoi... un beau désastre ce vote par la blockchain. https://twitter.com/fxthoorens/status/1313815898654945280
· Il y a 3 ans
Steph
Baser une application sur l'utilisation de la blockchain et faire des fautes aussi importantes, c'est un non sens. La blockchain n'est ici plus qu'un artifice marketing. Un peu comme ceux qui avaient prétendu sortir une application complexe de tokénisation dans l'immobilier sous 3 mois pour pouvoir le crier sur les médias. Quant au choix de Tezos, la fondation Tezos a pour coutume de sponsoriser les projets pour évangéliser. Donc un choix rarement pour raisons techniques. Plus sérieusement, en faisant les choses bien, le vote sur blockchain a un grand avenir devant lui. Mais c'est bien plus complexe qu'une application avec des failles aussi flagrantes qu'exposées dans l'article.
· Il y a 3 ans