Le test d’intrusion public permet aux hackeuses et hackers éthiques d’examiner une copie exacte de l’environnement de production du système de vote électronique afin d’y déceler des failles de sécurité. Le test se déroule donc dans les mêmes conditions que l’utilisation du vote électronique lors des élections et des votations.
Activité de 6923 adresses IP
Lors du test d’intrusion public de cette année, la Poste a enregistré une activité provenant de 6923 adresses IP. 146 adresses ont fait preuve d’une activité élevée avec plus de 50 accès au serveur de vote électronique pendant la durée du test.
28 944 accès à la plateforme de vote
Comme c’est le cas avec les scrutins, la Poste suit également les tentatives d’attaque du système pendant un test d’intrusion. Elle a ainsi constaté environ 29 000 accès à la plateforme de vote, dont 9665 sont à considérer comme des tentatives d’attaque.
Attaques provenant de 62 pays
La Poste invite des spécialistes du monde entier à mettre son système de vote électronique à l’épreuve. Lors du test de cette année, elle a constaté des accès en provenance de 62 pays. Les participantes et les participants les plus actifs proviennent de 27 pays au total. La plupart des tentatives d’attaque sont venues des États-Unis d’Amérique (19%), suivis de la Suisse et de la France (environ 12% pour chaque pays).
Une faille confirmée
Les spécialistes participants ont envoyé au total quatre messages à la Poste. La Poste a pu en confirmer un comme étant une faille, avec un degré de gravité faible (comme premier des quatre niveaux «faible», «moyen», «élevé» et «critique»). Le constat ne portait pas sur des aspects liés à la sécurité. Il indique une amélioration dans la communication entre les serveurs, qui rend les requêtes simultanées impossibles. La Poste a intégré cette optimisation dans le serveur de vote.
Versement d’une récompense de 4500 francs
La Poste a versé une récompense de 1500 francs à la personne qui a signalé la faille. Comme elle a en outre été la première à signaler une faille confirmée, elle s’est également vu octroyer un bonus supplémentaire de 3000 francs. En 2024, la Poste a augmenté les récompenses mises au concours pour les failles de sécurité dans le vote électronique. Elle verse désormais jusqu’à 50 000 francs pour les failles critiques. Si une personne parvient à manipuler le scrutin électronique de façon inaperçue, elle recevra jusqu’à 250 000 francs.
Accéder au rapport final concernant le test d’intrusion public 2024 (en anglais)