Après une nouvelle phase de développement et un test de piratage couronné de succès, le système de vote électronique de la Poste sera utilisé pour la première fois lors d’élections cet automne
À l’automne 2023, le système de vote électronique de la Poste sera utilisé pour la première fois dans le contexte d’élections fédérales. Le Conseil fédéral a accordé aujourd’hui l’autorisation générale correspondante aux cantons de Bâle-Ville, de Saint-Gall et de Thurgovie. Cette décision intervient après que le système a de nouveau été passé au crible au cours des derniers mois. Du 8 au 31 juillet 2023, 2650 pirates informatiques ont cherché à identifier les vulnérabilités du système de vote électronique dans le cadre d’un test d’intrusion public. Malgré les quelque 55 000 tentatives d’attaque, personne n’a réussi à pénétrer ni dans le système de vote électronique, ni dans l’urne électronique. Par ailleurs, un nouveau contrôle a été effectué sur mandat de la Confédération. Ce contrôle est l’une des bases utilisées par la Poste afin de poursuivre le développement de son système.
Une nouvelle étape importante se profile désormais pour la Poste: après avoir été utilisé lors des votations de juin, le système de la Poste sera employé pour la première lors d’élections fédérales dans les cantons de Bâle, de Saint-Gall et de Thurgovie le 22 octobre prochain. «De nos jours, on peut presque tout faire en ligne. Bientôt, il sera à nouveau possible de voter en toute sécurité par voie électronique grâce à la solution dédiée de la Poste. Je suis fière que nous encouragions ainsi la facilitation numérique de la Suisse et que nous contribuions au développement de la démocratie dans le pays», commente Nicole Burth, responsable Services de communication à la Poste. La première en juin a été un franc succès, avec 4239 personnes qui ont voté par voie électronique. Par ailleurs, plus de la moitié des Suisses de l’étranger ont exprimé leur suffrage en ligne.
La recherche de failles de sécurité se poursuit sans relâche – un nouveau test de résistance réussi haut la main
Même si le système est déjà en service, la recherche de failles de sécurité continue dans le cadre de tests ouverts au public. Du 8 au 31 juillet, des pirates éthiques du monde entier ont eu la possibilité de mettre à l’épreuve la toute dernière version du système de vote électronique en participant à un «test d’intrusion public». Il s’agit d’un type de test au cours duquel les hackeuses et les hackers attaquent une application afin de déceler ses éventuelles failles, et reçoivent une prime s’ils y parviennent. Instrument clé pour la Poste, ce test s’inscrit dans le cadre du programme bug bounty qui garantit l’amélioration continue du système. En effet, il permet à des spécialistes informatiques du monde entier de déceler d’éventuelles vulnérabilités de la solution de vote électronique. De cette manière, la Poste peut éliminer les failles suffisamment tôt et rendre le système encore plus sûr. La récurrence de ce test est en outre une exigence légale de la Confédération. En 2023, 2650 hackeuses et hackers ont tenté de pirater le système de vote électronique lors du test d’intrusion. Malgré plus de 55 000 tentatives d’attaque, personne n’a réussi à pénétrer ni dans le système de vote électronique, ni dans l’urne électronique.
Les constats formulés dans le cadre du programme bug bounty relatif au vote électronique sont classés en quatre degrés de sévérité: «faible», «moyen», «grave» et «critique». Lors du test d’intrusion, aucun constat de sévérité «moyenne», «grave» ou «critique» n’a été reçu ou confirmé. Après vérification, la Poste n’a pu confirmer qu’un seul des quatre constats reçus, qui présentait un degré de sévérité «faible». Le constat en question ne concernait pas des aspects ayant trait à la sécurité et suggérait une amélioration de la navigation web en arrière-plan, une mesure que la Poste a déjà mise en œuvre. Le hacker a reçu une récompense de 1000 francs ainsi qu’un bonus de 3000 francs pour avoir été le premier hacker à établir un constat qui a ensuite été confirmé.
La Poste a déjà versé environ 170 000 francs de récompenses
La Poste a développé ce système en Suisse et pour la Suisse. Dans ce contexte, la sécurité constitue la priorité absolue et fait l’objet de contrôles continus de la part de la Poste. Parallèlement au test d’intrusion public que la Poste mène régulièrement, le code de programmation, les spécifications et d’autres documents fondamentaux relatifs au système de vote électronique sont soumis à des contrôles permanents. Les spécialistes peuvent consulter à tout moment ces documents publics dans leur version la plus récente. La Poste a déjà reçu plus de 285 signalements et versé plus de 170 000 francs de récompenses à des spécialistes informatiques et à des pirates éthiques. À la suite d’un nouveau contrôle effectué sur mandat de la Confédération au deuxième trimestre 2023, la Poste a par ailleurs poursuivi le développement de son système. La Poste a analysé en détail les rapports d’experts et a déjà commencé à mettre en œuvre les propositions d’amélioration formulées. Elle continuera à développer le système sur la base des champs d’action définis dans le catalogue de mesures. Les rapports d’experts et les rapports de réponse de la Poste sont accessibles au public.
Avis aux personnes intéressées: la plateforme de test pour le vote électronique est accessible dès à présent
Dans la perspective des élections fédérales, la Poste a adapté les fonctionnalités de la plateforme de test. Désormais, toutes les personnes intéressées peuvent simuler un vote électronique pour en expérimenter le fonctionnement. Le processus est plus complexe que celui d’une votation car les possibilités de choix sont plus nombreuses. Toutefois, le vote fonctionne comme avec un bulletin papier. Les personnes qui testent la plateforme peuvent par exemple remplacer de manière électronique des candidates et des candidats sur une liste («panachage») ou indiquer deux fois un nom («cumul»).
Lien vers la plateforme de test: demo.evoting.ch
Fonctionnement de la plateforme de test du vote électronique:
Dans un premier temps, l’utilisatrice ou l’utilisateur doit télécharger une carte d’électeur numérique, à imprimer ou à utiliser de manière dématérialisée. Dans le contexte d’un vrai scrutin, les électrices et les électeurs reçoivent par courrier leur carte d’électeur avec les données relatives au vote électronique ainsi que le matériel de vote. Pour s’inscrire au système de vote électronique, il faut saisir le code d’initialisation qui se trouve sur la carte d’électeur et indiquer un élément d’authentification supplémentaire. En situation réelle, cet élément peut varier d’un canton à l’autre: il peut s’agir, par exemple, de l’année de naissance ou de la date de naissance. Sur la plateforme de test, tout le monde utilise l’année de naissance prédéfinie 1980. Le processus conduit ensuite en quelques étapes jusqu’à la fin du vote expérimental.
Autres liens:
- Rapport de clôture 2023 sur le test d’intrusion public relatif au système de vote électronique de la Poste(en allemand)
- Audit indépendant: rapport de réponse de la Poste
- Audit indépendant: rapport d’experts de la Confédération
- Communiqué de presse du Conseil fédéral portant sur l’autorisation générale
Classé dans:
