La semaine dernière, la Poste a confirmé le premier constat dans le cadre du test d’intrusion. Le degré de gravité était «faible». La personne qui a signalé cette faille s’appelle Vladyslav Zubkov. Âgé de 22 ans, ce dernier est étudiant en informatique à l’Ecole polytechnique fédérale (EPF) de Zurich. Comme il a été le plus rapide, il a reçu un bonus de 3000 euros, en prime des 1000 euros de récompense offerts pour la faille identifiée. Dans un entretien, il raconte à la Poste comment il a découvert le piratage éthique et entend s’engager à l’avenir dans l’amélioration de la cybersécurité, notamment dans son pays d’origine, l’Ukraine.
Vous êtes le premier à nous avoir communiqué une faille qui a pu être confirmée − félicitations! Quelle amélioration potentielle avez-vous trouvée?
La faille que j’ai signalée ne concerne pas un point faible qu’un hackeur pourrait exploiter directement. Il s’agit d’une définition manquante dans le header de la requête http. En effectuant ma recherche, j’ai suivi les modules standard de la sécurité web. Habituellement, les titres sont vérifiés de façon automatique lors d’un contrôle de sécurité. C’est pourquoi j’ai été assez surpris quand ma faille a été confirmée. Je croyais que quelqu’un d’autre serait plus rapide.
Dans un travail d’étude lors de votre master à l’EPFL, vous vous êtes déjà penché sur le système de vote électronique. Quelles ont été vos découvertes les plus importantes?
L’année dernière, j’ai réalisé un projet de master à l’École polytechnique fédérale de Lausanne et rédigé un travail de semestre sur le vote électronique. Dans ce contexte, j’ai examiné le système et j’ai trouvé différents points faibles et améliorations potentiels, que j’ai signalés dans le cadre du programme bug bounty de la Poste. Avec le test d’intrusion public, j’ai pu scruter plus précisément le code source et la spécification. À mes yeux, le système a été nettement amélioré depuis 2022 − et les failles que j’avais relevées ont aussi été prises en compte.
Vous aviez déjà communiqué auparavant d’autres failles du programme pour le vote électronique. Avez-vous un intérêt particulier pour le vote électronique?
D’abord, c’était pour moi un simple travail d’études. Mais quand j’ai mieux connu le projet, il a éveillé mon intérêt: ce système est très important d’un point de vue politique et social. Et je trouve formidable de pouvoir contribuer à la sécurité d’un dispositif aussi significatif pour la démocratie et la société suisses. Qui plus est, pour moi, le programme bug bounty pour le système de vote électronique de la Poste est unique.
Merci beaucoup pour ce retour positif. Qu’est-ce qui différencie le programme pour le vote électronique d’autres auxquels vous avez participé?
J’ai déjà participé à de très nombreux événements de hacking et à des programmes bug bounty de grandes entreprises internationales. Pour moi, le programme du vote électronique de la Poste s’en démarque pour différentes raisons: le thème en soi a cette grande pertinence politique. Et les composantes centrales du système sont dévoilées, c’est-à-dire qu’il est possible de presque tout contrôler. La manière dont le système peut être installé sur un laptop personnel, et par conséquent dont les attaques peuvent être simulées, est également bien documentée.
C’est pourquoi la Poste, à mes yeux de «chasseur de bounty» remplit les trois critères essentiels: elle traite les failles communiquées immédiatement et a des temps de réponse courts, elle verse de bonnes récompenses, et il y a sans cesse de nouveaux aspects à étudier dans le programme.
Comment avez-vous découvert le hacking éthique? Quelle est votre motivation?
C’était il y a environ quatre ans. À l’époque, j’avais autour de 17 ans. J’étudiais déjà l’informatique à l’Université polytechnique nationale d’Odessa (Ukraine). Je me suis tourné avec toujours plus d’intérêt vers la spécialité de la cybersécurité. C’est ainsi que j’ai entendu parler des événements de hacking tels que les tests d’intrusion et les programmes bug bounty et que j’ai commencé à pratiquer le hacking éthique en parallèle de mes études.
Vous étudiez actuellement encore à l’EPF de Zurich. Quelle vision avez-vous de votre avenir professionnel?
Je vais commencer par terminer mes études de master. Ensuite, je souhaite me consacrer à la sécurité des systèmes informatiques. Quant à savoir si je le ferai comme chercheur indépendant ou comme spécialiste de la sécurité informatique au sein d’une start-up ou d’une entreprise établie, pour l’instant, je ne me pose pas encore vraiment la question. Ce qui m’importe, c’est que la cybersécurité s’améliore sans cesse dans les systèmes utilisés par les particuliers et les entreprises. À l’avenir, je souhaiterais également contribuer à la numérisation de mon pays, l’Ukraine, en particulier en travaillant sur la cybersécurité.
Pour moi, un aspect fondamental dans l’e-government est celui de la confiance: quand des développeurs de logiciels comme la Poste dévoilent leurs systèmes, des spécialistes comme moi peuvent les scruter et les vérifier. Cela contribue fortement à instaurer la confiance dans des systèmes aussi complexes que celui du vote électronique. À mon avis, dans ce domaine, la Suisse et la Poste en tant que prestataire de système frayent la meilleure voie possible.
Un contrôle continu du système de vote électronique
La première utilisation du nouveau système de vote électronique de la Poste a été un succès lors des votations du mois de juin 2023 dans les cantons de Bâle-Ville, de St-Gall et de Thurgovie. Malgré cette inauguration réussie, la Poste continue à perfectionner le système, la sécurité étant la priorité absolue en ce qui concerne le vote électronique. Impliquer des hackeuses et des hackeurs éthiques dans les contrôles de cybersécurité est une mesure particulièrement efficace.
Depuis 2021, la Poste a publié les principales composantes et documentations du système. Elle les actualise en permanence afin que des spécialistes puissent les étudier. La Poste mène très régulièrement des tests d’intrusion publics lors desquels des hackeurs éthiques peuvent attaquer la plateforme dédiée aux élections et aux votations et tenter d’y déceler des failles.
Les failles avérées donnent lieu à une récompense sous la forme d’un montant allant jusqu’à 230 000 euros, selon le degré de gravité. La Poste a en outre promis aux trois premiers hackeurs à signaler une faille réelle un bonus de 3000 euros.
