Skip to content

Le code source du futur système de vote électronique est désormais accessible au public

La Poste publie aujourd’hui le code source de son futur système de vote électronique, lançant en parallèle un programme bug bounty public s’y rapportant. Des experts du monde entier ont désormais la possibilité de vérifier et de tester le système, en simulant par exemple des scrutins, afin de déceler et de signaler d’éventuelles failles. Les spécialistes en la matière peuvent également examiner désormais la description détaillée du logiciel de vérification sous licence open source. Par conséquent, la publication de la version bêta du système est pratiquement complète.

La Poste s’attache à développer son futur système de vote électronique depuis 2019. Son équipe de spécialistes travaille sur ce projet au centre de cryptographie de Neuchâtel. Début 2021, cette équipe a entamé la publication de la version bêta du système, ajoutant progressivement différentes composantes du système. La communauté internationale spécialisée dans ce domaine a déjà pu commencer la vérification du système et soumettre divers signalementsTarget not accessible, grâce auxquels la Poste a pu apporter des améliorations et des correctifs.

150 000 lignes de code source

La Poste divulgue à présent le code source du futur système de vote électronique. La majeure partie des composantes du système est ainsi désormais publiée, prête à être passée au crible par des experts externes, sans limite de temps. Cela fait maintenant depuis 2019 que la Poste travaille à améliorer et à développer continuellement le code source du système, mettant tout particulièrement l’accent sur la correction d’erreurs et l’amélioration de l'auditabilité. L’objectif ainsi visé est de permettre aux experts indépendants de comprendre le code source aussi rapidement que possible. Afin de parfaire l'auditabilité du système, la Poste a mandaté un contrôle indépendant. Le rapport publié démontre sa très bonne auditabilité (soit un score total de 4,4 sur 5 points possibles).

Chaque logiciel bénéficie d’une amélioration et d’un développement continus. La Poste poursuit ce faisant l’approche consistant à développer des logiciels en toute transparence et à publier toutes les modifications apportées. Ainsi, toutes les modifications du code source sont désormais publiées régulièrement sur GitLab, y compris dans l’intervalle entre deux releases. De cette manière, la Communauté peut suivre plus facilement l’ensemble du processus de développement.

Des récompenses pouvant atteindre 250 000 francs

La Poste divulgue de façon permanente toutes les informations relatives au système. C’est en cela que se distingue la vérification du système de vote électronique des autres programmes bug bounty. Les experts ont non seulement la possibilité de tester le code source, mais également d’utiliser et d’examiner le système sur leur ordinateur et d’inspecter minutieusement les bases cryptographiques à la recherche d’erreurs. La Poste offre par ailleurs, pour toute faille critique avérée dans le système de vote électronique, des récompenses comparativement élevées, pouvant atteindre 250 000 francs. Marcel Zumbühl, Chief Information Security Officer de la Poste, déclare: «Nous désirons bénéficier des services des meilleurs spécialistes et hackers dans le monde. C’est pourquoi nous misons sur des récompenses élevées pour toute faille avérée dans notre système de vote électronique. À l’échelle internationale, ces récompenses ne sortent pas de l’ordinaire dans le domaine, mais elles sont sensiblement plus élevées que la moyenne des programmes bug bounty proposés par la Poste et en Suisse, du fait notamment de l’ampleur et de la complexité du système de vote électronique.» La charge de travail qui incombe aux hackers et aux cryptographes dans le cadre de la vérification du système de vote électronique est en effet nettement plus importante que pour d’autres applications.

La Poste développe un logiciel de vérification open source

Au sein de son centre dédié au vote électronique, situé à Neuchâtel, la Poste travaille au développement d’un logiciel de vérification permettant le contrôle complet des votes, lequel constitue une aide technique pour les vérificateurs. Le logiciel de vérification a la capacité d’identifier des votes détournés ou altérés, même si un ou plusieurs serveurs de la Poste hébergeant le système sont infiltrés. À présent, la Poste publie les spécifications de ce logiciel.

Le code source du logiciel de vérification sera quant à lui publié par la Poste dans les mois à venir sous licence open source libre d’accès, permettant ainsi aux tiers de modifier ce logiciel à leur guise ou d’en développer un nouveau, dérivé du logiciel actuel, puis de le commercialiser. Ce projet offre par conséquent la possibilité aux cantons de bénéficier à l’avenir d’un logiciel de vérification développé et exploité indépendamment du système de vote électronique.

 

Actualités du programme de la Communauté
  • Depuis janvier 2021, des experts en matière de vote électronique suisses et étrangers ont soumis au total 24 signalements sur GitLab dans le cadre du programme de la Communauté et de la publication des composantes du système. Parmi ces signalements, deux concernaient des failles d’un degré de gravité «élevé», l’une en rapport avec la vérifiabilité individuelle et l’autre, avec le secret du vote. Dans les deux cas, la solution est disponible et documentée sur la plateforme spécialisée GitLab. Jusqu’à présent, encore aucune faille critique n’a été décelée.
  • Le 19 août 2021 s’est tenu le deuxième webinaire spécialisé au sujet du futur système de vote électronique, auxquels ont eu l’occasion de participer des spécialistes nationaux et internationaux. La présentation ainsi que l’enregistrement de l’événement sont disponibles en ligne.
Résultats du programme bug bounty privé
La Poste lance chaque fois ses programmes bug bounty avec un petit groupe de spécialistes intéressés, puis élargit de manière successive le cercle des participants, jusqu’à ce que le programme devienne public. Près de 800 «hunters» ont déjà participé au programme bug bounty privé sur le vote électronique, qui a été lancé l’année dernière. Ils ont ainsi pu soumettre 39 signalements, dont neuf ont par la suite été confirmés. En guise de récompense, la Poste a versé 53 000 francs aux auteurs des signalements. Les résultats du programme bug bounty privé peuvent être consultés sur GitLab.

S’abonner au blog

Inscrivez-vous à notre Blog sur l'e-government et recevez régulièrement des mises à jour sur nos derniers articles de blog, avis d’experts et tendances dans la branche.