Skip to content

Publication du «manuel de construction» du système de vote électronique

lorem ipsum

Die Offenlegung des neuen E-Voting-Systems der Schweizerische Post schreitet voran. Verschiedene Verbesserungen konnten dank der Meldungen von nationalen und internationalen Fachleuten bereits umgesetzt werden. Neu steht die Systemspezifikation zur Prüfung bereit. In der zweiten Jahreshälfte startet ein öffentliches Bug-Bounty-Programm zu E-Voting.

     

Initiée au début de l’année 2021, la publication du futur système de vote électronique, dont la vérifiabilité est totale, se poursuit étape par étape. La Poste a volontairement lancé ce processus le plus tôt possible afin de disposer de suffisamment de temps pour mettre en œuvre les améliorations signalées. Le protocole cryptographique ainsi qu’une Library open source contenant les algorithmes cryptographiques centraux ont déjà été publiés. À présent, la Poste publie la spécification du système.

Les experts peuvent désormais contrôler la spécification du système


La spécification correspond à une description détaillée du protocole cryptographique. Il s’agit pour ainsi dire du «manuel de construction» du système de vote électronique, qui contient des explications sur tous les éléments nécessaires à sa composition. Ce manuel décrit en effet l’ensemble du processus, de la configuration du scrutin électronique au dépouillement, en passant par la phase de vote, et contient ce que l’on appelle des pseudocodes, qui servent à la description des algorithmes. La spécification décrit les algorithmes les plus généraux et quelques-uns des éléments constitutifs qui les sous-tendent.

Intégration de diverses améliorations grâce aux retours reçus suite à la publication


Depuis le lancement de la publication, le programme communautaire a pris de l’ampleur: différents experts nationaux et internationaux ont ainsi pu signaler les failles qu’ils avaient identifiées. La Poste documente toutes les failles identifiées sur GitLab et entretient un dialogue permanent avec la communauté et les personnes qui déposent des signalements. Sur la base des signalements déjà reçus, la Poste a pu identifier diverses améliorations à apporter aux algorithmes publiés dans la Library open source. Dans la nouvelle version du protocole cryptographique actuellement publiée, une correction relative à la vérifiabilité individuelle a notamment été apportée. Cette correction avait pu être identifiée grâce à un signalement reçu dans le cadre de la publication.

Programme bug bounty public et prochaines étapes


La Poste a décidé de mettre en place un programme bug bounty. Au niveau international, ce type de programmes est considéré comme une pratique d’excellence, mais reste encore peu utilisés en Suisse. La Poste veut ainsi contribuer à ouvrir la voie à ces nouvelles méthodes en Suisse. Cette démarche repose sur la compréhension du fait que le développement de systèmes informatiques est un processus continu, qui ne peut jamais être considéré comme véritablement achevé, et dans lequel les failles de sécurité doivent constamment être identifiées et corrigées. Une telle manière de procéder est indispensable, notamment parce que les méthodes employées pour attaquer les systèmes n’ont de cesse d’évoluer. Dans un tel contexte, la collaboration avec des hackers éthiques s’avère particulièrement utile au processus afin de garder une longueur d’avance sur les cybercriminels.

La Poste étend désormais progressivement son programme bug bounty au vote électronique et lancera ainsi un programme bug bounty public en ce sens dans le courant du second semestre de l’année 2021. Les personnes intéressées peuvent d’ores et déjà s’inscrire auprès de la Poste afin d’être informées du démarrage du programme.

Dans les prochains mois, la Poste publiera le code source du système ainsi que du logiciel de vérification séparé.

Des informations complémentaires sur la publication du nouveau système de vote électronique sont à disposition sur le site de la communauté.

Base légale pour la phase d'essai du vote électronique: le Conseil fédéral entame la procédure de consultation
Fin avril, le Conseil fédéral a entamé la procédure publique de consultation sur la future base légale pour la phase d’essai du vote électronique. Ces exigences seront prises en compte lors du développement ultérieur du système de vote électronique de la Poste, conformément à la feuille de route du projet.
Analyse indépendante: maturité des composantes du système rendues publiques
Le canton de Thurgovie, qui souhaite prochainement participer à la phase d’essai du nouveau système de vote électronique de la Poste, a commandé une analyse indépendante des éléments d’ores et déjà rendus publics. D’après le rapport publié par Carsten Schürmann, professeur d’informatique à l’Université de Copenhague et membre du groupe d’experts mandaté par la Confédération en 2020 pour la réorientation, le degré de maturité de la plupart des composantes est satisfaisant. En ce qui concerne la spécification, le rapport souligne un potentiel d’amélioration en matière d’exhaustivité et de structure. Pour ce qui est de l’analyse cryptographique, les points à améliorer sont également l’exhaustivité, mais aussi la prévention des répétitions. La Poste examine ces deux résultats en vue d’optimiser les éléments concernés. Le rapport est disponible sur GitLab.

S’abonner au blog

Inscrivez-vous à notre Blog sur l'e-government et recevez régulièrement des mises à jour sur nos derniers articles de blog, avis d’experts et tendances dans la branche.

S’abonner maintenant