Ce petit village gaulois fait voter sur la blockchain Tezos – Il dévoile les failles du système en direct sur Twitter

Collectionnez les articles du JDC en NFT

Collecter cet article

L’histoire commençait pourtant bien – Trois communes des Yvelines ont eu la bonne idée de lancer un vote sur la blockchain Tezos. Souvent décrié, il semblerait que cette initiative ne soit pas plus fructueuse que celles qui l’ont précédé. Il n’aura fallu que quelques jours à François-Xavier Thoorens pour trouver une multitude de failles.

Le vote sur la blockchain

Une consultation citoyenne concernant un projet de déviation d’une route départementale a été lancée dans les Yvelines. Ainsi, les habitants de 3 communes des Yvelines auront la possibilité de voter “Pour” ou “Contre” ce projet via une blockchain.

Derrière cette initiative, nous retrouvons la startup Avosvotes. Celle-ci propose une application mobile de vote basé sur la blockchain Tezos.

Le vote via la blockchain sera clôturé le 8 octobre. Une deuxième session en bureau de vote sera réalisée le 11 octobre pour laisser le choix de la méthode à chacun.

FX Thoorens s’empare du dossier

Suite au lancement de l’opération, FX Thoorens (CEO de Ark Ecosystem) a décidé de regarder de plus près le système de vote proposé par Avosvotes. Il a publié deux thread, les 5 et 6 octobre, détaillant l’ensemble de ses recherches et trouvailles.

Dès l’arrivée sur le site, les recherches prennent une drôle de tournure. Mot de passe renvoyé en clair à l’utilisateur, algorithmes de chiffrement utilisés avec les paramètres par défauts, mauvaise sécurisation de l’API (service qui permet de communiquer avec les bases de données l’application), les failles pleuvent.

Autre point dérangeant : les votes sont accessibles en clair sur la blockchain. Il serait préférable que ces derniers soient confidentiels jusqu’à la fin du scrutin, précise FX Thoorens.

Évidemment, FX Thoorens n’est pas rancunier, il a tout de même pris la peine de contacter les équipes de Avosvotes pour les notifier de ses diverses trouvailles.

Lors de sa seconde journée de recherche, FX Thoorens s’est attaqué au smart contract de l’application.

Une fois de plus, ce dernier a du mal à comprendre l’utilité du smart contract et la cohérence du recours à une blockchain.

Le maire de Verneuil-sur-Seine répond

Nous avons contacté Fabien Aufrechter, maire de Verneuil-sur-Seine, pour obtenir des éclaircissements sur la situation. En premier lieu, il a souhaité assurer que l’intégrité du scrutin n’avait pas été touchée.

« La sécurité et la sincérité du scrutin n’ont pas été touchées contrairement à ce qu’a laissé entendre FX Thoorens. Fait qu’il a lui-même reconnu hier sur le slack CryptoFR. »

Celui-ci en profite par ailleurs pour rappeler que cette action était une initiative de petite envergure, dont la majorité du traitement est manuelle.

« FX Thoorens n’a pas réussi à voter via le système déployé simplement parce que le KYC est manuel. À chaque fois qu’il a tenté, ses votes ne sont pas pris en compte, car ils ne sont pas rattachés à un ID. […] Il ne s’agit pas d’une app de Google ni d’Apple mais bien d’une app micro-locale gérée à 80% à la main. »

Malgré ce bad buzz, “le usecase est un succès” selon Fabien Aufrechter. Cependant, l’utilité de la blockchain reste pour le moins floue. Blockchain bullshit ou réelle, difficile de trancher.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Commentaires

4 responses à “Ce petit village gaulois fait voter sur la blockchain Tezos – Il dévoile les failles du système en direct sur Twitter


Alexandre C.
je pense que l'utilité d'une block chain de type "proof of stake" est particulièrement cohérente avec un système de vote. Ce que cherche un votant, c'est une anonymisation du vote et non un "mécompte" des votes. Effectivement, l'implémentation du smart contrat permet (plus ou moins) de voire un tendance du résultat, cependant les failles critiques remontées par "FX Thoorens" sont à classer dans le cadre OWASP d'une api de votant et non dans le système de comptabilité (Tezos et son smart contract). Pourquoi tant décrier cet usage ? je trouve ça plutôt intéressant de ne pas uniquement focaliser une block chain sur " de la thune... de la thune... de la thune..."
Répondre · Il y a 3 ans

Frenchduff
Il suffit de lire les tweets pour savoir que c'est du flan: - une faille SQL a été trouvé, autrement dit le système de vote était compromis. Une autre faille a été mentionné, sans en savoir plus. - le smart contract n'était pas sécurisé et tf thoorens a réussi à annuler tous les votes et multiplier les siens : https://twitter.com/fxthoorens/status/1313461330431684609 Autrement dit, pas juste la blockchain mais toute la stack n'est que de la poudre de perlimpinpin.
Répondre · Il y a 3 ans

Roby
Et on ne parle pas ici du plot twist où il a pu récupérer les documents d'identité, certificats de domiciles et qui a voté quoi... un beau désastre ce vote par la blockchain. https://twitter.com/fxthoorens/status/1313815898654945280
Répondre · Il y a 3 ans

Steph
Baser une application sur l'utilisation de la blockchain et faire des fautes aussi importantes, c'est un non sens. La blockchain n'est ici plus qu'un artifice marketing. Un peu comme ceux qui avaient prétendu sortir une application complexe de tokénisation dans l'immobilier sous 3 mois pour pouvoir le crier sur les médias. Quant au choix de Tezos, la fondation Tezos a pour coutume de sponsoriser les projets pour évangéliser. Donc un choix rarement pour raisons techniques. Plus sérieusement, en faisant les choses bien, le vote sur blockchain a un grand avenir devant lui. Mais c'est bien plus complexe qu'une application avec des failles aussi flagrantes qu'exposées dans l'article.
Répondre · Il y a 3 ans

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour