Afin d’identifier les failles de sécurité, la Poste soumet régulièrement la plateforme de vote ainsi que l’infrastructure de son nouveau système de vote électronique à un examen de la part de spécialistes informatiques du monde entier. La réalisation de ces «tests d’intrusion publics» est une prescription légale émanant de la Confédération.
Depuis le week-end dernier, des hackeuses et hackeurs éthiques mettent à nouveau à l’épreuve le système de vote électronique de la Poste. Cette fois-ci, ils accèdent pour la première fois au système configuré pour les élections au Conseil national afin de passer en revue les nouvelles fonctionnalités. Pour ce faire, la Poste met à leur disposition l’environnement de vote électronique sous l’URL pit.evoting.ch. Il s’agit de la dernière version du système et de la même infrastructure que celle utilisée lors de vrais scrutins. Les spécialistes du monde entier qui le souhaitent peuvent ainsi tester le processus de vote, déceler de potentielles failles de sécurité et tenter de s’infiltrer dans l’infrastructure et dans l’urne électronique. Le test d’intrusion public a lieu du 8 au 31 juillet 2023.
La recherche de failles en vaut la peine
Les spécialistes informatiques qui découvrent une faille reçoivent une récompense de la part de la Poste, qui peut aller jusqu’à 250 000 francs par faille avérée selon son degré de gravité.
Parallèlement au test d’intrusion public que la Poste mène régulièrement pour une durée limitée, le contrôle public du code de programmation, de la spécification et d’autres documentations fondamentales du système de vote électronique a lieu de manière permanente. Ces documents sont toujours accessibles au public dans leur version la plus récente sur la plateforme spécialisée GitLab afin que les spécialistes puissent les examiner. Dans ce contexte, la Poste a déjà reçu plus de 270 signalements et versé plus de 160 000 francs de récompenses.
La Poste publie sur GitLab l’ensemble des signalements issus du contrôle public. En outre, elle consigne les résultats du test d’intrusion public dans un rapport, dont elle informe le public.
Près de 3400 hackeuses et hackeurs du monde entier ont participé au dernier test d’intrusion public mené à l’automne 2022, s’attaquant ainsi au système. Lors de ce test, personne n’a réussi à s’introduire dans le système de vote électronique ni dans l’urne électronique. Un seul hackeur a signalé une faille à la Poste, qui l’a récompensé en conséquence. La Poste a mis en œuvre l’optimisation dans la version du système actuelle.
En quoi le piratage éthique permet-il de renforcer la sécurité?
Le nouveau système de vote électronique de la Poste a été utilisé pour la première fois sans encombres lors des votations du mois de juin 2023 dans les cantons de Bâle-Ville, de St-Gall et de Thurgovie. Après cette première utilisation, la Poste continue à perfectionner le système, la sécurité étant la priorité absolue en ce qui concerne le vote électronique. Impliquer des hackeuses et des hackeurs éthiques dans les examens relatifs à la sécurité est une mesure de cybersécurité particulièrement efficace. La Poste a été l’une des premières entreprises en Suisse à introduire un programme bug bounty public il y a environ deux ans, ce qui lui a permis de recueillir de précieux enseignements. Grâce aux signalements reçus, la Poste a pu corriger efficacement les failles dans ses systèmes et améliorer en permanence la sécurité – y compris du vote électronique.
Dans le cadre du développement de son système de vote électronique, la Poste s’aligne sur le catalogue de mesures publié par la Confédération et les cantons en mars 2023.
Cybersécurité à la Poste
Les technologies numériques évoluent à une vitesse fulgurante. Mais les cybercriminels affinent eux aussi leurs méthodes d’attaque en permanence. C’est pourquoi il est important de vérifier en continu si des améliorations peuvent être apportées aux systèmes informatiques et si ces derniers présentent des failles de sécurité.
La Poste combine diverses méthodes de contrôle pour garantir un haut degré de sécurité des ses applications informatiques. Elle met en place des mesures internes et soumet les applications à un contrôle de la part d’entreprises spécialisées. De plus, depuis plusieurs années, la Poste mène des programmes bug bounty, dans le cadre desquels des particuliers bien intentionnés ayant de vastes connaissances informatiques (désignés par le terme «hackeuses et hackeurs éthiques») cherchent à identifier les failles de sécurité. Ils s’attaquent ainsi aux systèmes et tentent d’y pénétrer. S’ils y parviennent, ils reçoivent une récompense financière de la part de la Poste. La Poste tient compte des failles avérées dans le développement des systèmes, et, partant, améliore sans cesse ses services en ligne.
