La Poste ne cesse de répéter qu’elle entend fournir aux cantons un système de vote électronique sûr. Nous avons donc voulu savoir dans quelle mesure il l’était réellement. À l’occasion du test d’intrusion public, qui se déroule en ce moment, nous avons rencontré un hackeur éthique. Depuis plusieurs années, la Poste invite les hackeurs à tester ses systèmes informatiques pour y déceler d’éventuelles failles de sécurité et leur offre une récompense pour chaque faille qu’ils identifient. Elle procède également ainsi dans le cadre du système de vote électronique et du test d’intrusion public qui est en cours.
Ruben Santamarta a 40 ans et vit en Espagne. Officiellement «chercheur en sécurité», il est passionné par le piratage informatique et la sécurité de l’information depuis l’âge de 15 ans. Officiellement, il est «chercheur en sécurité».
Dans le cadre de ce test d’intrusion public, des hackeurs éthiques tentent d’attaquer l’infrastructure du futur système de vote électronique de la Poste. Ce test dure quatre semaines. Pour la première fois, des hackeurs peuvent simuler en détail la procédure de vote sur le portail dédié en utilisant des modèles de cartes de vote et peuvent lancer des attaques contre le système. L’objectif est de déceler les failles éventuelles et de les éliminer en temps utile. La Poste offrira jusqu’à 30 000 francs de récompense pour les failles confirmées qui auront été identifiées dans le cadre du test d’intrusion. Cette nouvelle initiative complète l’initiative existante: des experts indépendants du monde entier ont testé le futur système de vote électronique de la Poste depuis le début de l’année 2021. La Poste verse même des récompenses allant jusqu’à un total de 250 000 francs.
Nous avons saisi cette opportunité pour échanger avec un hackeur éthique, Ruben Santamarta. Le hackeur âgé de 40 ans a grandi en Espagne et a travaillé pour des entreprises du monde entier. Cela fait maintenant une vingtaine d’années qu’il est actif dans la sécurité informatique.
Ruben Santamarta, le test d’intrusion public est en cours. C’est pourquoi nous aimerions d’abord avoir la réponse à cette question: du point de vue d’un hackeur, dans quelle mesure est-il facile de pirater le système? Ce n’est pas facile du tout. Une personne malveillante, cherchant à compromettre entièrement le système de vote électronique de la Poste dans le but de changer le résultat d’une élection ou d’une votation, devra assurément mobiliser une quantité non négligeable de ressources, ne serait-ce que pour essayer de pirater le système.
Parlons de hacking ou, comme l’on dit, en français de piratage informatique. Vous êtes ce que l’on appelle un hackeur éthique. Pouvez-vous nous expliquer en quoi consiste le piratage éthique? Quelle est la différence par rapport au piratage classique? D’un point de vue technique, le piratage éthique et le piratage classique sont assez similaires. Les deux utilisent les mêmes technologies et la même méthodologie. Le but du piratage est d’extraire des informations pour acquérir des connaissances auxquelles l’on n’est pas autorisé à accéder. La différence entre les deux types de piratage réside donc dans le résultat. Un hackeur éthique partage le résultat de telles attaques pour améliorer un système et aider les entreprises, tandis qu’un hackeur classique utilise les informations obtenues pour nuire.
Exercer le métier de «hackeur» est peu commun. Comment êtes-vous devenu hackeur? Je suis passionné d’informatique et de sécurité depuis mon adolescence. À 15 ans, j’ai commencé à apprendre à programmer sur mon temps libre. La programmation est la base du piratage et de la sécurité informatique. J’ai toujours voulu savoir comment fonctionnaient les choses. Je trouvais cela très excitant et motivant de réussir à identifier des failles que personne n’avait découvertes avant moi. Et c’est encore le cas aujourd’hui. Par ailleurs, c’est toujours une grande satisfaction pour moi lorsqu’une entreprise parvient à améliorer l’un de ses systèmes grâce à mon travail.
Après le gymnase, j’ai commencé à travailler comme programmeur. Ce poste n’était pas lié à la sécurité informatique, mais il m’a permis de développer mes compétences. J’avais à peine 20 ans lorsque j’ai été embauché par une société spécialisée dans les antivirus. Depuis 2006, je suis chercheur en sécurité indépendant et j’ai collaboré avec de nombreuses organisations et entreprises internationales.
Il est difficile d’imaginer le quotidien d’un hackeur. Pouvez-vous nous décrire une journée de travail type? Eh bien, je n’ai pas de «journée de travail type». En tant que chercheur en sécurité indépendant, je travaille quand je veux. Il y a des jours, voire des nuits, où je suis ultra concentré sur un projet et ne parviens pas à faire autre chose. Et puis, il y a des jours où je fais simplement des recherches et où j’étudie des articles spécialisés.
Et comment abordez-vous votre travail? En général, je commence par collecter un maximum d’informations. Je consulte des articles, des documents techniques, des vidéos, etc. Tout cela m’aide à comprendre l’ensemble du système que je cherche à analyser. Ce n’est qu’ensuite que je me mets à analyser le code, à essayer de comprendre comment il fonctionne. Je ne lance pas d’attaque avant d’avoir absolument tout compris dans les moindres détails. On peut comparer mon travail à celui d’un détective. Il faut vraiment tout examiner, réunir des preuves et essayer de déterminer ce qui s’est passé. C’est ensuite seulement que l’on peut agir.
Et qu’est-ce qui vous a particulièrement motivé à tenter de pirater une entreprise comme la Poste? Si je me suis intéressé à la Poste, c’est en raison de son système de vote électronique. Un tel système est très utile pour nombre de personnes. Avec son système de vote électronique, la Poste contribue à faciliter l’exercice de la démocratie en Suisse. C’est pourquoi j’ai vraiment eu envie de m’impliquer dans ce projet. Dans ce cas précis, je n’étais pas uniquement motivé par le fait de comprendre le fonctionnement du système, mais aussi par le fait qu’il s’agit, selon moi, d’un projet majeur et de grande envergure. Le vote électronique repose sur la sécurité du système. D’où mon envie de prendre part au test.
Y a-t-il des différences avec les autres programmes auxquels vous avez participé? Oui, l’approche de la Poste est différente de celle d’autres programmes auxquels j’ai participé. Tout d’abord, l’ensemble du processus est très transparent. En tant que hackeur éthique, vous avez accès à tout (toutes sortes de documents ou d’informations internes). En outre, si vous avez la moindre question, la Poste est là pour y répondre. Ce programme diffère des autres car, en général, vous n’avez pas accès à toutes ces données. C’est cette transparence qui le distingue des autres programmes auxquels j’ai participé. Autre particularité: la Poste offre des récompenses plus élevées – ce n’est évidemment pas la raison pour laquelle il faut essayer de pirater le système, mais cela peut motiver.
En toute honnêteté, du point de vue d’un hackeur, dans quelle mesure le système de vote électronique de la Poste est-il sûr? Je pense que le système a été considérablement amélioré par rapport à la première version qui a été publiée en 2019. J’étudie le système depuis un bon moment maintenant et, à mon avis, la sécurité est tout à fait correcte. Évidemment, il y a encore des choses à améliorer. Par exemple, certaines failles découvertes dans le cadre du programme bug bounty doivent être corrigées maintenant, d’autant que la Poste continue d’ajouter certaines fonctionnalités. Autrement dit, ce n’est pas encore terminé. Mais mon impression générale concernant les aspects liés à la sécurité du système est bonne.
