Cyberattaque souhaitée: la Poste lance un test de résistance pour le système de vote électronique

La sécurité est la priorité absolue en ce qui concerne le vote électronique en Suisse

La Poste mise sur la transparence en matière de vote électronique: depuis 2021, tous les composants de son système de vote électronique ayant une incidence sur la sécurité sont accessibles au public. Grâce à un programme bug bounty à durée indéterminée, les spécialistes du monde entier peuvent tester le système 24 heures sur 24, avec la perspective de primes financières pour les failles confirmées.

De plus, la Poste effectue régulièrement des tests d’intrusion publics. Durant une période définie, des hackeuses et hackers éthiques tentent de s’introduire de manière ciblée dans le système. Ces tests sont prescrits par la loi et constituent un élément central de l’exploitation à l’essai du vote électronique dans les cantons. Le test d’intrusion public, qui s’étend sur plusieurs semaines, fait partie du programme de la Communauté Vote électronique de la Poste.

Le test d’intrusion se déroule jusqu’au 24 août 2025

À partir d’aujourd’hui et jusqu’au 24 août, la Poste met à disposition son environnement de vote électronique pour des attaques ciblées sur pit.evoting.ch. Le test portera sur la dernière version du système qui entrera en service à partir de 2026 pour les votations et les élections. Les spécialistes en informatique du monde entier peuvent tester le processus de vote, déceler les failles de sécurité et tenter de s’introduire dans l’urne électronique. Pour la première fois, ils peuvent aussi tester la fonctionnalité des champs de texte ouverts. Ces «votes manuscrits» peuvent être utilisés lors d’élections au cours desquelles les électrices et les électeurs peuvent inscrire eux-mêmes les candidats de leur choix s’ils ne figurent pas sur les listes officielles.

Des primes attrayantes en cas de failles détectées

Pour les failles confirmées, la Poste verse des primes allant jusqu’à 250 000 francs. Pour les personnes ayant signalé les trois premières failles confirmés, un bonus de 3000 francs est accordé en plus de la prime. Depuis le lancement du programme bug bounty pour le vote électronique, la Poste a déjà versé plus de 220 000 francs à des hackeuses et hackers éthiques pour des failles avérées.

Pourquoi les contrôles de sécurité publics sont-ils efficaces?

Les tests d’intrusion publics sont un moyen éprouvé de cybersécurité. Ils complètent les audits internes et externes par des contrôles indépendants effectués par la communauté informatique mondiale.

Les avantages:

• Diversité des perspectives: des modes de pensée différents engendrent des scénarios d’attaque plus créatifs.
• Tests réalistes: les attaques simulent de véritables menaces dans des conditions réelles.
• Détection précoce: les failles sont détectées avant de pouvoir être exploitées.
• Instaurer la confiance: la transparence renforce la confiance dans les processus numériques et le système de vote électronique de la Poste.
  
  

Cybersécurité à la Poste: bien plus que des tests

Des tests publics comme le PIT et des événements comme BärnHäckt sont des éléments importants de l’exploitation à l’essai du vote électronique et de la stratégie de cybersécurité de la Poste. Mais ceux-ci ne constituent qu’une partie d’une approche globale de la sécurité:

• Security by Design: la sécurité fait d’emblée partie intégrante de l’architecture système.
• Audits réguliers: les audits internes et externes restent essentiels.
• Sensibilisation à la sécurité: les formations renforcent la conscience des risques en matière de sécurité de toutes les personnes impliquées.
• Communication transparente: l’ouverture dans la gestion des failles crée de la confiance.

Comme les années précédentes, la Poste publiera un rapport à l’issue du test d’intrusion. Les personnes intéressées pourront y découvrir si et comment le système a résisté aux attaques.