Illustration remarquable du « facteur humain » dans la cybersécurité, l’Association internationale pour la recherche en cryptologie (IACR) a annulé ses élections à la direction de 2025. En tant que standardiste en matière de science du cryptage, l’organisation mondiale à but non lucratif a admis qu’une seule clé privée perdue rendait le décompte final des votes mathématiquement inaccessible.
S’appuyant sur le système de vote électronique basé sur le Web, le processus a nécessité que trois administrateurs indépendants combinent leurs actions cryptographiques pour décrypter les résultats. Parce que le protocole exigeait l’unanimité plutôt qu’un seuil de redondance, la perte de la clé d’un administrateur a rendu le décryptage impossible.
Les responsables ont immédiatement lancé de nouvelles élections jusqu’au 20 décembre, en adoptant cette fois un mécanisme de sécurité « 2 sur 3 » pour éviter une répétition de l’impasse.
Une « erreur humaine » fatale
Malgré les principes mathématiques sophistiqués qui sous-tendent l’organisation, le point d’échec s’est avéré strictement analogique. Destinées à sélectionner la nouvelle direction de l’organisme de cryptologie, les élections de 2025 se sont terminées dans une impasse non pas à cause d’un piratage ou d’un bug logiciel, mais d’une simple perte de mot de passe.
Selon l’annonce officielle, les responsables ont confirmé que l’un des trois administrateurs désignés avait « irrémédiablement perdu » sa clé privée, un composant essentiel. pour le décompte final. Sans ce troisième partage, les votes cryptés restent enfermés dans un état de secret permanent.
Dans son communiqué, la commission a admis que”Malheureusement, l’un des trois administrateurs a irrémédiablement perdu sa clé privée, une erreur humaine honnête mais malheureuse, et ne peut donc pas calculer sa part de décryptage.”
Même si le texte soulignait le caractère accidentel de la perte, les conséquences étaient absolues: les résultats des élections sont techniquement impossibles à récupérer.
Suite à cette erreur, l’administrateur Moti Yung, une personnalité éminente du domaine affilié à Google et à l’Université de Columbia, a démissionné de son poste. Son départ montre les enjeux élevés impliqués même dans la cryptographie administrative de routine.
Fragilité systémique : le défaut 3 sur 3
En vertu des règles strictes du protocole Helios, la conception de l’élection a donné la priorité à la confidentialité plutôt qu’à la résilience. Mettant en évidence un choix architectural critique dans la mise en œuvre utilisée par l’IACR, l’échec expose les risques liés aux exigences de l’unanimité.
Comme détaillé dans l’explication de l’IACR sur l’échec, la configuration a exigé les trois actions :
“Pour cette élection et conformément aux statuts de l’IACR, les trois membres du comité électoral de l’IACR 2025 ont agi en tant qu’administrateurs indépendants, chacun détenant une partie de la clé cryptographique nécessaire pour décrypter conjointement les résultats. […] « Cet aspect de la conception d’Helios garantit qu’aucun administrateur ne pourrait s’entendre pour déterminer seul le résultat d’une élection ou le contenu des votes individuels : tous les administrateurs doivent fournir leurs actions de décryptage. Cependant, cela a créé un point de défaillance unique où l’erreur humaine pourrait détruire l’ensemble du processus, et l’a effectivement fait.
Bruce Schneier, un cryptographe renommé et membre de la Harvard Kennedy School, a noté dans des commentaires à la BBC que de telles vulnérabilités sont inhérentes aux systèmes gérés par des personnes. Il a observé :”Qu’il s’agisse d’oubli de clés, de partage inapproprié de clés ou de toute autre erreur, les systèmes cryptographiques échouent souvent pour des raisons très humaines.”
En fin de compte, même les algorithmes les plus sécurisés ne peuvent pas expliquer la perte d’informations d’identification. Comme Schneier l’a ajouté : « Pour assurer une sécurité réelle, [les systèmes cryptographiques] doivent être exploités par des humains. »
Remédiation et voie à suivre
En ce qui concerne la surveillance opérationnelle, l’IACR a agi rapidement pour restaurer l’intégrité de son processus de vote. Face à une élection annulée, l’organisation a immédiatement relancé le processus, avec le calendrier électoral renouvelé allant du 21 novembre au 20 décembre.
En conservant la même liste de candidats et la même liste électorale, la déclaration de l’organisation décrit comment la nouvelle élection modifie fondamentalement les garanties cryptographiques :
« En particulier, nous adopterons un mécanisme de seuil de 2 sur 3 pour la gestion des clés privées, et nous diffuserons une procédure écrite claire que tous les administrateurs devront suivre avant et pendant l’élection. […] « Suite à la démission de Moti Yung de son poste d’administrateur pour cette élection, il sera remplacé par Michel Abdalla. »
Abdalla rejoignant les administrateurs restants pour superviser la nouvelle élection, le seuil inférieur garantit que la perte d’une seule clé ne sera plus catastrophique.
Les électeurs qui avaient auparavant choisi de ne plus recevoir de notifications par courrier électronique sont confrontés à un obstacle : ils doivent se réinscrire manuellement pour recevoir un nouveau bulletin de vote. Pour garantir la participation au vote reprogrammé, l’IACR a exhorté ses membres à vérifier leur statut sur la page du statut d’administrateur.
