Droits populaires

La «faille considérable» du vote électronique

Le chancelier de la Confédération, Walter Thurnherr, reconnaît que la lacune qui a été détectée par des experts dans le système de La Poste est grave

La perspective de voir le vote électronique se généraliser en Suisse semble s’éloigner. Il y a tout juste une semaine, La Poste et la Chancellerie fédérale ont annoncé qu’une erreur avait été décelée dans le code source du système de scrutin en ligne développé par La Poste avec son partenaire Scytl. Ce système fait l’objet d’un test d’intrusion de grande envergure jusqu’au 24 mars. Trois mille hackers se sont annoncés pour y participer. Mais des experts indépendants ont aussi décidé de mettre le modèle de La Poste à l’épreuve et de publier ce qu’ils avaient trouvé. Dans son rapport, ce «groupe international de chercheurs», composé de la Canadienne Sarah Jamie Lewis, du Belge Olivier Pereira et de l’Australienne Vanessa Teague, dit avoir identifié une «faille critique» qui permet à un individu de modifier le résultat d’un vote sans se faire remarquer. Deux autres scientifiques, Rolf Haenni, de l’Université de Berne, et Thomas Haines, qui enseigne en Norvège, ont fait la même découverte.

Lire aussi:  La Poste prend le monopole du vote électronique

La Poste a assuré que Scytl avait corrigé l’erreur. Mais l’affaire fait grand bruit à Berne. Lundi, trois conseillers nationaux, Franz Grüter (UDC/LU), Claudio Zanetti (UDC/ZH) et Balthasar Glättli (Verts/ZH), ont interpellé le Conseil fédéral à l’heure des questions. Invité à répondre, le chancelier Walter Thurnherr n’a pas caché son malaise ni son irritation. «C’est une faille considérable», a-t-il dit du défaut détecté par ces spécialistes en informatique. Il est d’autant plus fâché qu’elle avait déjà été repérée en 2017, durant la phase de développement du modèle de La Poste, et que Scytl n’y avait «remédié que partiellement». Or, la Chancellerie n’en a rien su. «Elle n’a été informée de cette lacune qu’après la publication du code source et l’ouverture du test d’intrusion public», a-t-il regretté à la tribune du National.

Lire également:  Super-attaque contre le vote électronique

Certification mise en doute

Le modèle de vote électronique de La Poste restant seul en lice pour une possible extension à l’ensemble du pays et aux Suisses de l’étranger, la Chancellerie et l’entreprise ont décidé de l’expérimenter à grande échelle. Ils ont publié son code source et lancé ce test d’intrusion. Celui-ci concerne la vérifiabilité universelle, c’est-à-dire la possibilité de s’assurer lors du dépouillement qu’aucun vote n’a été manipulé. Le problème détecté ne concerne pas le mode de scrutin déjà appliqué par les cantons partenaires de La Poste, soit Neuchâtel, Fribourg, Bâle-Ville et Thurgovie, car celui-ci repose sur le principe de la vérifiabilité individuelle: chaque électeur s’identifie à l’aide de sa date de naissance et d’un code de vérification personnel.

La fiabilité du vote en ligne est controversée. Une initiative populaire exigeant son abandon a été lancée. Les trois conseillers nationaux la soutiennent, tout comme leur ex-collège Jean Christophe Schwaab (PS/VD). «Ce n’est pas une simple faille qui a été détectée. C’est beaucoup plus grave. Le processus est déficient à tous les niveaux et il est tout aussi grave que les cantons et la Confédération n’aient pas été informés de ce qui avait été découvert en 2017», critique-t-il. Cela va même plus loin, car le modèle de La Poste a été certifié par des experts de l’Université de Cambridge, de l’EPF de Zurich et de la société de révision KPMG. «Je ne comprends pas qu’il ait pu être certifié alors que les exigences légales sur le vote électronique n’étaient pas respectées. Ont-ils audité l’ensemble du code source? N’ont-ils pas cherché au bon endroit?» s’interroge-t-il.

Cette question d’audit contrarie aussi Walter Thurnherr. «Par souci de transparence», il se dit favorable à la publication des rapports de certification rédigés par KPMG. Mais c’est à La Poste de décider de les rendre publics, précise-t-il. Pour le chancelier, «le modèle ne recevrait pas d’autorisation générale pour être engagé comme système de vote vérifiable» en l’état actuel. La Poste devra démontrer qu’elle est capable de revoir les processus de sécurité si elle espère poursuivre son projet. Jean Christophe Schwaab est pour sa part convaincu que la confiance sera impossible à restaurer.

Publicité