Dès le début de 2021, la Poste a publié en plusieurs étapes sur la plateforme spécialisée GitLab tous les documents et composants essentiels de la version bêta de son futur système de vote électronique avec vérifiabilité complète. Depuis lors, des experts du monde entier ont participé au contrôle et proposé des améliorations que la Poste a mises en œuvre. Des informations actuelles sur les signalements sont régulièrement publiées sur ce blog.
En juillet 2021, la Chancellerie fédérale a en outre chargé plusieurs groupes d’experts de vérifier le système dans les domaines de la cryptographie, des logiciels, de l’infrastructure ainsi que de l’exploitation et de procéder à des tests de pénétration. Ce contrôle indépendant est une condition requise pour utiliser un système conformément aux futures bases légales. La Poste a échangé régulièrement avec les experts pendant ce contrôle. Elle a analysé en détail les rapports d’audit et présenté des rapports de réponse à ceux-ci, afin de montrer comment elle entendait remédier aux signalements.
État d’avancement des travaux et priorités d’action
Les travaux visant à remédier aux signalements constatés sont en cours. La Poste a déjà mis en œuvre une partie des conclusions des rapports d’audit dans le dernier release de système. Les signalements résolus sont présentés par composant du système sur la plateforme spécialisée GitLab (code source système, primitive cryptographique, protocole cryptographique).
D’autres améliorations sont prévues: la Poste a élaboré un plan d’action pour remédier aux signalements en suspens et en a informé la Chancellerie fédérale et les cantons impliqués. Ces travaux se concentrent sur les aspects du protocole cryptographique et leur mise en œuvre dans le logiciel. La Poste procède à des précisions ainsi qu’à des améliorations et à des nouveaux codages ciblés, notamment en ce qui concerne les preuves cryptographiques et les constats relatifs au secret du vote et à la vérifiabilité individuelle.
La Poste ne mettra ce système opérationnel à disposition des cantons que lorsque les travaux prévus dans le plan d’action auront été réalisés. Les cantons intéressés devraient ainsi pouvoir introduire le vote électronique en 2023, dans le cadre de l’exploitation à l’essai du vote électronique conformément aux bases légales.
Rapport de réponse de la Poste aux rapports des experts
Les rapports d’audit des experts sont disponibles sur le site Internet de la Chancellerie fédérale. Les rapports de réponse de la Poste se trouvent ci-après.
| Groupe d’experts | Domaine(s) d’examen | Antwortbericht/e der Post (englisch) |
|---|---|---|
| Adamiste Stephane (SCRT) | Exploitation et organisation | Response to SCRT Scope 3 |
| Basin David (Contego Laboratories) | Protocole cryptographique | Response to Basin Scope 1 |
| Dubuis Eric, Haenni Rolf, Koenig Reto and Locher Philipp (BFH) | Protocole cryptographique; Logiciel | |
| Essex Aleksander (Western University Canada) | Protocole cryptographique | Response to Essex Scope 1 |
| Ford Bryan (EPFL) | Protocole cryptographique; Logiciel; Exploitation et organisation | Response to Ford Scopes 1, 2 & 3 |
| Fontes Antonio (SCRT) | Exploitation et organisation | Response to SCRT Scope 2a |
| Haines Thomas (Australian National University), Pereira Olivier (Université catholique Louvain), Teague Vanessa (Thinking Cybersecurity) | Protocole cryptographique; Logiciel | Response to Haines, Pereira, Teague Scopes 1 & 2T |
| Mowat Alain (SCRT) | Test de pénétration | Response to SCRT Scope 4 |
| Perrig Adrian (ETHZ) | Test de pénétration | Response to ETHZ Scope 4 |
