En 2021, la Poste a publié l’ensemble des composants et documents essentiels concernant son système de vote électronique à vérifiabilité complète. Dans le cadre du programme de la Communauté Vote électronique, elle a invité des spécialistes en informatique du monde entier à tester le système à la recherche de failles. Ce programme est un instrument de cybersécurité éprouvé et efficace sur lequel la Poste mise en plus des contrôles de sécurité internes et mandatés. Depuis lors, de nombreux cryptographes, hackers éthiques et spécialistes informatiques ont passé le système au crible et envoyé plus de 300 signalements à la Poste. Les failles avérées sont classés en fonction de leur degré de gravité: «faible», «moyen», «élevé», et «critique». Depuis 2021, cinq failles de degré élevé, réglées depuis par la Poste, ont été enregistrées dans le cadre du contrôle public. Aucune faille critique n’a été signalée à ce jour.
Des efforts récompensés
Les contrôles de sécurité sont complexes. C’est pourquoi la Poste prévoit des récompenses financières pour les hackers éthiques qui testent le système sans avoir de relation contractuelle avec l’entreprise, dans le cadre d’un programme dit bug bounty. Il s’agit d’un programme dans lequel des spécialistes en informatique sont invités à vérifier si les systèmes informatiques présentent des failles de sécurité. En contrepartie, ils reçoivent une récompense pour les vulnérabilités identifiées. Depuis le début du programme pour le vote électronique, quelque 200 000 francs sont venus récompensés des failles avérées. Le contrôle public entame désormais une nouvelle phase et la Poste augmente les récompenses pour tous les degrés de failles du vote électronique (échelle CVSS) de 50 à 100%.
Vitesse et persévérance s’avèrent payantes
Les nouvelles récompenses seront pour la première fois disponibles lors du test d’intrusion public qui démarre aujourd’hui. Celui-ci durera jusqu’au 3 juillet et s’adresse aux spécialistes en informatique intéressés du monde entier. Ces derniers ont doublement intérêt à commencer les tests approfondis rapidement: seule la première personne à signaler une vulnérabilité peut prétendre à une récompense. En outre, les trois hackers éthiques les plus rapides lors du test d’intrusion en cours recevront un bonus d’environ 3000 francs, en plus de la récompense ordinaire selon le degré de gravité, s’ils parviennent à identifier une amélioration ou une faille de sécurité.
Troisième test d’intrusion public de suite
Lors d’un test d’intrusion public, aussi appelé «penetration test» dans les cercles spécialisés, des hackers éthiques attaquent l’infrastructure informatique du système afin d’y déceler des failles de sécurité. La tenue répétée de tels tests de sécurité publics est prescrite par les bases légales relatives à l’exploitation à l’essai du vote électronique.
Depuis 2022, la Poste soumet chaque année son système de vote électronique à vérifiabilité complète à un test d’intrusion public. Lors de la dernière session, à l’été 2023, quelque 2600 personnes intéressées ont participé et soumis le système à plus de 50 000 attaques. La Poste a confirmé une faille de degré de gravité «faible».
Pourquoi les contrôles de sécurité publics sont-ils efficaces pour plus de cybersécurité? Quelles mesures supplémentaires sont recommandées?
Découvrez des conseils utiles dans le livre blanc Sécurité des données:
