En 2021, la Poste a publié l’ensemble des composants et documents essentiels concernant son système de vote électronique à vérifiabilité complète. Dans le cadre du programme de la Communauté Vote électronique, elle a invité des spécialistes en informatique du monde entier à tester le système à la recherche de failles. Ce programme est un instrument de cybersécurité éprouvé et efficace sur lequel la Poste mise en plus des contrôles de sécurité internes et mandatés. Depuis lors, de nombreux cryptographes, hackers éthiques et spécialistes informatiques ont passé le système au crible et envoyé plus de 300 signalements à la Poste. Les failles avérées sont classés en fonction de leur degré de gravité: «faible», «moyen», «élevé», et «critique». Depuis 2021, cinq failles de degré élevé, réglées depuis par la Poste, ont été enregistrées dans le cadre du contrôle public. Aucune faille critique n’a été signalée à ce jour.
Des efforts récompensés
Les contrôles de sécurité sont complexes. C’est pourquoi la Poste prévoit des récompenses financières pour les hackers éthiques qui testent le système sans avoir de relation contractuelle avec l’entreprise, dans le cadre d’un programme dit bug bounty. Il s’agit d’un programme dans lequel des spécialistes en informatique sont invités à vérifier si les systèmes informatiques présentent des failles de sécurité. En contrepartie, ils reçoivent une récompense pour les vulnérabilités identifiées. Depuis le début du programme pour le vote électronique, quelque 200 000 francs sont venus récompensés des failles avérées. Le contrôle public entame désormais une nouvelle phase et la Poste augmente les récompenses pour tous les degrés de failles du vote électronique (échelle CVSS) de 50 à 100%.
Vitesse et persévérance s’avèrent payantes
Les nouvelles récompenses seront pour la première fois disponibles lors du test d’intrusion public qui démarre aujourd’hui. Celui-ci durera jusqu’au 3 juillet et s’adresse aux spécialistes en informatique intéressés du monde entier. Ces derniers ont doublement intérêt à commencer les tests approfondis rapidement: seule la première personne à signaler une vulnérabilité peut prétendre à une récompense. En outre, les trois hackers éthiques les plus rapides lors du test d’intrusion en cours recevront un bonus d’environ 3000 francs, en plus de la récompense ordinaire selon le degré de gravité, s’ils parviennent à identifier une amélioration ou une faille de sécurité.