Vous participez dès le début au programme de la communauté et avez déjà soumis différents constats. Quel est votre intérêt pour le vote électronique?
Le thème du vote électronique m’intéresse depuis longtemps. Au début des années 2000, j’ai effectué un doctorat en informatique à l’École polytechnique fédérale de Lausanne (EPFL), avec spécialisation en cryptographie. À cette période, les premières discussions au sujet du vote électronique en Suisse ont eu lieu. Aussi bien la solution de vote électronique du canton de Genève que le code source de l’ancien système de la Poste ont fait l’objet de mon attention. Lorsque la Poste a commencé à publier son nouveau système en 2021, j’étais immédiatement intéressé : dans la pratique, il n’y a pas beaucoup de systèmes qui utilisent des bases cryptographiques aussi complexes et ambitieuses. Ce défi m’a attiré. En tant que citoyen, je me suis également penché sur le vote électronique. Comparé au vote physique, le vote électronique est complexe. Les profanes ne peuvent pas comprendre eux-mêmes son fonctionnement. Cet aspect m’intéresse d’un point de vue philosophique et politique.
Vous êtes entrepreneur et maître de conférences. Combien de temps vous reste-t-il pour le piratage éthique?
Il y a deux ans, je me trouvais en pause professionnelle. C’est précisément durant cette période que la Poste a publié les premiers documents de son nouveau système de vote électronique. Je voulais en savoir plus et j’ai eu le temps d’examiner de plus près le code et la spécification. J’ai également commencé à écrire moi-même un logiciel de vérification. Mais cela s’est avéré trop coûteux.
Aujourd’hui, il me reste très peu de temps pour examiner le système en plus de mes activités professionnelles. Je prends donc la documentation avec moi pendant les vacances. Je suis alors assis à la plage ou au chalet de montagne avec un surligneur dans une main et le code source imprimé ou la spécification dans l’autre.
Qu’est-ce qui vous intéresse particulièrement dans le système de vote électronique et le programme de la communauté de la Poste?
Le vote électronique est un projet ambitieux sur le plan cryptographique. Au moment de mon doctorat, les «zero knowledge proofs» [méthode cryptographique permettant de prouver qu’une information est correcte sans révéler l’information en elle-même, ndlr] était un concept théorique du monde académique. Il n’était pas encore réellement appliqué dans la pratique. La Poste a été l’une des premières entreprises à utiliser de telles preuves. L’interface entre le monde académique et pratique m’intéresse. C’est dans cette perspective que j’ai voulu étudier le système de vote électronique de la Poste.
Dans le cadre du programme Communauté, j’ai surtout remarqué la grande transparence – en ce qui concerne la publication du système, mais aussi la gestion des failles identifiées. J’ai déjà vécu cela autrement.
Que changeriez-vous au programme communautaire?
À mon avis, il existe des détails que la Poste pourrait encore améliorer. De mon point de vue, les «Write-ins» [saisi d’un nom dans un champ de texte libre, utilisé pour les élections ndlr] n’étaient pas suffisamment documentés dans les spécifications de sécurité, ce qui m’a personnellement causé plus de travail. En outre, je trouve qu’on pourrait améliorer la structure de la documentation. La Poste pourrait ainsi simplifier encore davantage l’accès à ce domaine complexe pour les personnes externes. Pour le reste, le programme Community et Bug Bounty est organisé de manière très conviviale pour les participants.
Pour finir : comment vivez-vous le transfert de savoir-faire entre le monde académique et l’industrie informatique ? Les projets open source et les programmes bug bounty permettent-ils de mettre en pratique les connaissances scientifiques?
Cette question reflète précisément le déroulement de ma carrière professionnelle entre le monde académique et l’industrie. L’open source peut être un puissant moteur pour le développement de logiciels. Moi-même, j’ai cofondé une start-up sur la base d’une initiative open source.
Dans le domaine de l’intelligence artificielle, nous constatons à quel point l’open source est bénéfique. Les grandes entreprises internationales ont misé sur la publication de logiciels sous licences libres et la proximité avec le monde académique. En peu de temps, de grands progrès ont ainsi été réalisés dans le domaine du machine learning. Les programmes open source et bug bounty sont à mon avis des facteurs de réussite essentiels, tant du point de vue du développement que pour créer un climat de confiance dans les solutions numériques.