Depuis début 2021, la Poste publie progressivement la version bêta de son système de vote électronique. La dernière étape en date a consisté à publier le code source en septembre. En parallèle, la Poste a lancé le programme bug bounty public permanent sur le système de vote électronique, dans le cadre duquel elle récompense les constats par un montant allant jusqu’à 250 000 francs selon leur degré de gravité. Des expertes et experts du monde entier ont la possibilité de vérifier et de tester le système, en simulant par exemple des scrutins. Ils peuvent ensuite suggérer des améliorations à la Poste. Le but de ce processus est de déceler les failles et de les éliminer à temps grâce à la participation de professionnels internationaux, et de développer ainsi le système en continu. La sollicitation de ce point de vue extérieur de spécialistes indépendants fait partie intégrante du développement d’un système sécurisé. La vérification publique devrait également représenter une condition posée par la Confédération en vue de la mise en place de systèmes de vote électronique en Suisse, qui pourront être autorisés pour l’exploitation à l’essai définie par la loi et utilisés dans les cantons qui le souhaitent.
Depuis juillet 2021, des expertes et experts indépendants mandatés par la Confédération examinent parallèlement à la vérification publique la version bêta du système de vote électronique de la Poste. Cet examen se terminera par la publication de rapports. Mais les premiers résultats seront annoncés à la Poste avant cette date, afin qu’elle puisse poursuivre rapidement le développement du système de vote électronique. La Poste publiera également les corrections mises en œuvre sur GitLab, ainsi que sur cette page.
Les constats relatifs au système de vote électronique sont classés en quatre catégories correspondant à quatre degrés de gravité (faible, modéré, élevé, critique). Une description de ces degrés de gravité est disponible sur le site Internet de la Communauté Vote électronique.
Jusqu’à présent, plusieurs centaines de personnes, dont des spécialistes du monde scientifique et des hackers éthiques, ont participé au programme Communauté Vote électronique de la Poste. La Poste a reçu 111 signalements, dont trois constats présentant le degré de gravité élevé. Deux d’entre eux nous sont parvenus avant même le lancement du programme bug bounty public. En octobre, l’équipe Vote électronique de la Poste a décelé une nouvelle faille grâce à l’analyse réalisée par les expertes et experts indépendants de la Confédération. La Poste a présenté des propositions de solution pour les trois constats et, dans un des cas, a déjà mis en œuvre la correction dans le système. Nous n’avons pas encore reçu de constat présentant le degré de gravité le plus élevé («critique»).
La Poste considère la cybersécurité comme un processus participatif continu. C’est pourquoi elle se réjouit de la participation soutenue de spécialistes du monde entier à son programme Communauté Vote électronique. Ainsi, cette vérification publique peut déployer tous ses effets en tant que mesure visant à maintenir le plus haut niveau de sécurité d’un système. La Poste corrige toutes les failles critiques avant de mettre son système de vote électronique à disposition des cantons.
Vous trouverez dans cet article de blog un aperçu de la procédure de vérification publique ainsi qu’une description régulièrement mise à jour de tous les constats confirmés dont la Poste juge le degré de gravité élevé ou critique après réalisation d’une analyse technique approfondie.
