Sécurité

Le système de vote électronique de La Poste sous le feu des hackeurs

C’est sur fond de vives critiques que le géant jaune a lancé son vaste test d’intrusion public. Réalisé sous la surveillance de la Chancellerie fédérale, il est censé révéler les failles de sa plateforme e-vote: pendant un mois, 2700 hackeurs tenteront notamment de manipuler des scrutins

«Lol, burn it with fire» – brûlez tout. Le jugement est sans appel. Il vise le système de vote électronique de La Poste. Son auteure, c’est la spécialiste canadienne en cryptographie, Sarah Jamie Lewis, qui concluait ainsi dimanche sur Twitter une semaine de vives critiques et de moqueries sur ce système de la part de la communauté geek. Ces critiques viennent s’ajouter à celles de plusieurs politiciens qui ont lancé fin janvier une initiative populaire demandant un moratoire global sur le vote électronique pendant au moins cinq ans. Or depuis lundi midi, le système du géant jaune est soumis à un vaste test d’intrusion: pendant quatre semaines des hackeurs du monde entier pourront s’attaquer au système pour en révéler les failles contre rémunération.

«Il ne s’agit pas de démontrer l’infaillibilité du système, mais bien ses faiblesses, pour pouvoir les éliminer», se sont d’emblée défendus lundi devant la presse Denis Morel et Oliver Spycher, responsable du projet de vote électronique respectivement à La Poste et pour la Chancellerie fédérale. «L’objectif à l’issue de ce test est d’avoir une discussion basée sur des faits», a ajouté Denis Morel, refusant de prendre position sur les critiques relayées sur les réseaux sociaux et dans la presse.

Trois quarts des hackeurs viennent de l’étranger

Concrètement, 2700 personnes se sont inscrites: le panel, qui n’a fait l’objet d’aucune sélection, vient pour un quart de Suisse, les autres testeurs viennent de l’étranger, principalement de France (13%), des Etats-Unis (7%), d’Allemagne (5%) et d’Inde (3%). Ils pourront s’attaquer aux serveurs de La Poste pour tenter de modifier un vote et briser le secret du vote. Ils pourront aussi mettre à l’épreuve les systèmes de vérifiabilité individuelle et collective – contrôle du vote par le citoyen et garantie que l’urne et son contenu n’ont pas été modifiés.

Lire aussi: La Poste prend le monopole du vote électronique

Il leur est par contre interdit de s’en prendre aux ordinateurs et tablettes des électeurs. De même, le cadre du test ne permet pas le social engineering, littéralement ingénierie sociale, des pratiques de manipulations psychologiques. Ainsi que les attaques par déni de service, soit le blocage à l’accès des plateformes, «qui ne sont pas spécifiques au vote électronique et font l’objet de tests à l’interne», indique le géant jaune.

Jusqu’à 50 000 francs de récompense

Comme dans tout bug bounty – chasse au bug – des compensations sont prévues: un millier de francs pour quelqu’un qui parviendrait à s’introduire dans l’un des serveurs, par exemple, jusqu’à 50 000 francs dans le cas d’une manipulation de vote non détectable par le votant ou la commission électorale. Ce système de rétribution, totalisant 150 000 francs, est censé garantir que les éventuelles failles seront communiquées, relève Oliver Spycher. Les résultats seront publiés sur la plateforme www.onlinevote-pit.ch «aux deuxième et troisième trimestres de cette année».

Lire également: Super-attaque contre le vote électronique

«Le test en lui-même n’est pas une mauvaise chose, c’est même une pratique courante», relève Alexis Roussel, ex-président du parti Pirate et cofondateur de la plateforme de courtage en cryptomonnaies Bity. «Ce qui pose problème avec le système de La Poste, c’est la démarche.» A savoir, déléguer la gestion d’un domaine aussi sensible que l’exercice du droit de vote à une entreprise privée, critique celui qui a notamment contribué à la mise en place de feu le système de e-vote genevois, développé par le canton.

Lire finalement notre analyse: Cybersécurité: la Suisse pèche par manque de moyens

Le système de La Poste est, quant à lui, déjà utilisé dans les cantons de Neuchâtel, Fribourg, Bâle-Ville et Thurgovie. A Neuchâtel, il a été remis en question mercredi dernier par deux interpellations au Grand Conseil.

Publicité