La Poste soumet son système de vote à un test de piratage poussé
Du 25 février au 24 mars 2019, la Poste va soumettre son système de vote électronique à un test de piratage public, se conformant ainsi aux exigences de la Confédération et des cantons. Dans le cadre de ce «test d’intrusion », les spécialistes informatiques inscrits pourront tester le système sous toutes ses coutures et tenter de manipuler le résultat d’un scrutin fictif. La Poste intégrera les résultats de ce test de piratage dans le développement de son système de vote électronique. Par ailleurs, la Poste publie aujourd’hui le code source de son système. Des experts indépendants pourront l’examiner d’un œil critique et se préparer de manière approfondie au test d’intrusion. Denis Morel, responsable Vote électronique à la Poste, explique dans un entretien qu’il ne se fait pas le moindre souci au sujet de cette mise à l’épreuve, peu courante en Suisse. Il n’en est pas moins impatient de découvrir la créativité et la perspicacité dont feront preuve les hackers hautement spécialisés qui participeront au test.
Denis Morel, la Confédération et les cantons imposent la réalisation d’un test de piratage public avant la mise en service d’un système de vote électronique de dernière génération dans notre pays. Cela ne vous empêche-t-il pas de dormir?
Non, pas du tout, et j’ai de bonnes raisons de ne pas m’inquiéter: le système de vote électronique de la Poste est déjà utilisé depuis des années et les hackers n’attendent pas l’annonce d’une date précise pour soumettre le système à un test de stress public. Tous les deux mois environ, nous réalisons en interne ce type de test d’intrusion avec des spécialistes issus des domaines les plus divers.
Vous avez déjà lancé un appel international afin d’inciter des spécialistes à participer à ce test de sécurité prévu en février. La Poste a-t-elle été submergée par les inscriptions?
Cet appel a en effet suscité un très vif intérêt puisque nous avons enregistré 450 préinscriptions. Les tests de piratage publics sont très rares dans notre pays, mais sont usuels au niveau mondial, par exemple chez Google ou, en Suisse, dans des entreprises comme Swisscom. Parmi les plus de 450 candidatures reçues, certaines émanent d’éminents spécialistes extrêmement compétents dans ce domaine. Une inscription est obligatoire pour nous permettre de protéger les autres applications hébergées sur le serveur de la Poste contre toute tentative de piratage. C’est d’ailleurs ce qui est convenu dans le code de conduite. Le piratage de systèmes informatiques est une pratique punissable en Suisse, d’où la nécessité d’établir des conventions spécifiques pour protéger les hackers.
S’agissant des dispositifs de sécurité qui entourent le vote électronique, comment se présente un tel test de résistance et quelle forme revêt-il concrètement?
Avec notre système, nous simulons le déroulement d’un scrutin en nous basant sur la période habituelle de quatre semaines, qui couvre l’expédition des cartes d’électeur, l’expression du suffrage et le dépouillement final. Nous reconstituons ainsi le scénario d’un scrutin normal. Pendant ce laps de temps, les hackers peuvent «se défouler» sur le système en utilisant plusieurs cartes d’électeur. Il s’agit pour eux de manipuler l’urne de vote sans que nous nous en apercevions.
Qu’attend la Poste de ce test de piratage public? Les exigences de la Chancellerie fédérale en matière de sécurité ne correspondent-elles pas déjà aux normes internationales les plus strictes à ce jour?
Un niveau de sécurité élevé est assuré grâce à un concept global inhérent à la technologie mise en œuvre et non au moyen d’une mesure ou d’un logiciel en particulier. Notre système de vote électronique répond aux exigences les plus rigoureuses en matière de sécurité. Permettez-moi de recourir à une image très simple: notre système est comparable à un hérisson qui se met en boule par réflexe pour se protéger. Un renard se blessera ainsi le museau sur ses piquants et n’aura que très peu de chance de parvenir à ses fins. À moins que le renard, en champion de la survie, ne mette à profit sa ruse et son intelligence animale pour trouver un moyen de duper le hérisson. C’est dans cet esprit que nous espérons en savoir davantage sur les idées, les scénarios, la perspicacité et l’imagination utilisés à l’égard de notre système par des hackers ingénieux, qui cherchent à mettre «notre hérisson» en péril sans avoir le nez en sang.
Vous promettez un niveau de sécurité encore plus élevé que celui dont bénéficient les services bancaires en ligne utilisés quotidiennement aujourd’hui, et ce en vertu du concept de «vérifiabilité individuelle et universelle». Pouvez-vous expliquer ce que cela recouvre au profane que je suis?
Dans le débat autour du vote électronique, ce sont souvent les émotions qui prennent le dessus au détriment des arguments factuels. Le test d’intrusion doit donc permettre de réorienter la discussion sur des faits en montrant que, dans un domaine aussi sensible que celui des votations et des élections par voie électronique, suffisamment de précautions sont prises pour permettre de déceler sur le champ d’éventuelles manipulations du scrutin, ce qui n’est pas le cas avec les processus de vote actuels. Avec la vérifiabilité individuelle, le système me transmet, sous forme d’une série de chiffres, la confirmation que ma voix est bien arrivée dans l’urne comme je l’entendais. En tant que citoyen, je peux donc déceler une éventuelle tentative de manipulation opérée sur le chemin du bulletin jusqu’à l’urne si la série de chiffres reçue ne correspond pas à celle qui figure sur ma carte d’électeur.
Et qu’en est-il de la vérifiabilité universelle?
Un système doté de la vérifiabilité universelle offre la garantie d’un dépouillement correct de l’urne électronique, preuve à l’appui. Pour ce faire, il intègre des dispositifs de sécurité couvrant tout le processus de vote électronique, de l’expression du suffrage jusqu’à son arrivée dans l’urne, ainsi que le dépouillement consécutif des voix. Le système est donc capable de signaler toute tentative de manipulation, soit au citoyen lui-même, soit aux cantons concernés.
La Poste publie aujourd’hui le code source: qu’est-ce que cela signifie exactement et quelles informations sont ainsi livrées aux experts informatiques?
L’urne électronique est constituée de différents composants techniques, parmi lesquels un logiciel renfermant tous les éléments cryptographiques, notamment pour le cryptage ou la vérifiabilité. Le code source correspond à l’écriture de ce logiciel, à son mode de fonctionnement. Pour utiliser une nouvelle image, je dirais que le code source est comme une recette de cuisine, qui inclut en outre la description et la liste de toutes les infrastructures nécessaires. Les cuisiniers auront ainsi une idée précise de la recette. Reste à savoir s’ils seront en mesure de réussir le plat aussi bien que l’auteur de la recette. Beaucoup d’éléments sont ainsi rendus publics, ce qui a aussi son importance, car seule la transparence permettra d’instaurer la confiance nécessaire à l’égard du futur processus de votation ou d’élection par voie électronique.
Vous hasarderiez-vous à un pronostic concernant le test d’intrusion prévu en février?
Nous avons hâte d’observer la créativité, la perspicacité et la polyvalence dont feront preuve les «hackers» lors de ce test et de voir comment ils s’y prendront pour mettre notre système de vote électronique à l’épreuve. Il ne s’agira pas de savoir comment tel ou tel problème a été résolu, mais de vérifier la capacité du système à déceler de façon fiable les tentatives de manipulation puis à déclencher une alarme.
Quel montant percevra un hacker qui aura réussi à mettre en évidence des failles dans le système de la Poste?
Le projet prévoit une enveloppe globale de 150 000 francs, qui compense les dépenses en fonction de la réussite et de la recommandation jusqu’à un montant maximal de 50 000 francs.
Les exigences de la Confédération et des cantons
Dans un communiqué de presse (lien) publié aujourd’hui, jeudi, la Chancellerie fédérale et les cantons annoncent une nouvelle étape menant à l’introduction d’un système de vote électronique en Suisse: conformément aux exigences du droit fédéral, un système de vote électronique à vérifiabilité complète doit être soumis à un test d’intrusion public avant sa première mise en service. Ce test vise à vérifier la sécurité du système en le soumettant à des attaques. La Poste se conforme aux exigences posées en lançant un test d’intrusion public à partir de la mi-février.
La poste soutient cette approche. Cette procédure fournira des éléments factuels pour étayer le débat public portant sur les questions de sécurité. Il revient aux parlements cantonaux et à la population de décider s’ils souhaitent introduire le vote électronique comme troisième canal supplémentaire, en complément aux urnes et au vote par correspondance.
La Poste achemine actuellement quelque 20 millions de lettres par la voie postale uniquement pour les élections et les votations.
Blog E-Voting Post Test de piratage
Blog E-Voting Post Code source
la Confédération test d’intrusion
Inscriptions pour le test d’intrusion: www.onlinevote-pit.ch
Classé dans: