Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Suisse : jusqu'à 150 000 dollars offerts pour un bug bounty sur le système de vote en ligne
Dans le cadre d'un test d'intrusion public

Le , par Jonathan

370PARTAGES

14  0 
Ces derniers mois on remarque que de plus en plus d'entreprises et d'organisations passent par des bug bounties afin d'éprouver leurs systèmes de sécurité et les différentes applications dont elles se servent dans le cadre de leurs activités. Parmi elles, on peut citer le cas de la Commission européenne qui a lancé le mois dernier un bug bounty sur une sélection de 15 logiciels open source, avec de grosses récompenses à la clé. Ou encore celui de l'armée française qui a elle aussi lancé un Bug bounty pour muscler sa cyberdéfense.

Cette fois il semblerait que ce soit au tour de la Suisse de procéder de la même manière. En effet, la poste suisse offre des primes à quiconque peut révéler les vulnérabilités de son système de vote électronique lors d'un test qui aura lieu plus tard ce mois-ci. Les personnes désirant participer à ce bug bounty, devront au préalable s'inscrire au test d'intrusion publique et pour chaque vulnérabilité pertinente découverte, elles recevront une compensation financière. Au total, environ 150000 dollars seront à gagner. Ce test d'intrusion publique est exploité et géré par une société tierce et indépendante.

Catégories de vulnérabilités qui seront récompensées

Jusqu'à présent seulement 15 cantons suisses proposaient aux électeurs de voter en ligne et ceci depuis 2004. seulement il est important de préciser qu'à chaque fois, il y a eu des contestations post électorales ayant engendré des procès. Et puisque la réglementation fédérale oblige les cantons à satisfaire à un ensemble supplémentaire d'exigences comme la réalisation de nombreux audits et la publication du code source des composants logiciels, il semble donc évident que ce soit ce qui a poussé la Confédération suisse et les cantons à faire tester publiquement leur système de vote dans le cadre d'un test d'intrusion publique.

Ce test durera quatre semaines (du 25 février au 24 mars 2019), ce qui correspond à la durée d'un vote fédéral suisse. Il sera effectué sur une instance dédiée du système de vote électronique certifié de la poste suisse mis en place comme pour un vote productif. Toute vulnérabilité découverte qui se situe dans les catégories des vulnérabilités méritant une récompense, doit être soumise à examen. La soumission doit être suffisamment détaillée et inclure au moins les informations telles que le titre de la vulnérabilité, la catégorie dans laquelle elle se situe, sa description détaillée, une preuve d'exploitation réussie et un guide de reproduction complet avec tous les codes.

La Suisse est très appréciée pour son système de démocratie plus connu sous le nom de démocratie directe qui est un cadre juridique permettant à tous les citoyens suisses de plus de 18 ans de voter sur le fonctionnement du pays. Seulement, le gouvernement suisse envisage d'étendre ses capacités de vote électronique d'ici octobre 2019 aux deux tiers des 26 cantons de la Confédération. Et en se souvenant des contestations post électorales qu'ont déjà engendrées ces votes en ligne par le passé, certains pourraient y voir un danger pour la démocratie directe suisse.

Source : Online Vote

Et vous ?

Êtes-vous tenté de participer à ce bug bounty ?
Que pensez-vous du vote en ligne ?
Pensez-vous qu'il soit possible de mettre en ligne un système de démocratie directe via des votes en ligne ?
Pensez-vous que les suisses sont technologiquement prêts pour y parvenir ?

Voir aussi :

L'armée française lance un Bug bounty pour muscler sa cyberdéfense et appelle à la mutualisation des forces de tous les acteurs de ce secteur
La Commission européenne lance un bug bounty sur une sélection de 15 logiciels open source, avec de grosses récompenses à la clé
Bug bounty : après le Pentagone, l'US Air Force invite à son tour les experts en sécurité à tester ses systèmes via la plateforme HackerOne

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kain_tn
Membre émérite https://www.developpez.com
Le 16/03/2019 à 0:26
Citation Envoyé par Pill_S Voir le message
Et il semblerait d'après certains témoignages, que même chez nous en Suisse, les manipulations sont non seulement fréquentes, mais équalement connues voire tolérées...

Après, voilà, si ça plait à tout le monde comme ça, d'accepter une fausse impression d'avoir eu un choix alors que derrière tout est bidonné, et que le fait de perdre l'anonymat contrebalance largement ce problème. Bah voilà... tant pis
N'importe quoi. Si tu peux identifier publiquement pour qui les gens votent alors tu ouvres la porte à l'achat de voix pour les élections puisqu'il devient possible de ne payer que si les gens votent effectivement pour toi. En gros, ta perte d'anonymat rendrait encore plus facile les manipulations que tu dénonces.
6  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 13/02/2019 à 11:53
En effet, la poste suisse se propose de vendre aux différents cantons suisses son système de e-voting. Ce sera ensuite à chaque canton d'accepter ou non l'offre de la Poste.

Pour comprendre, la situation:

La Suisse se compose de 26 cantons qui sont de fait des états indépendants avec leur propre gouvernement, leur propre parlement, leur propres lois mais qui font partie de la Confédération Suisse. Cela fonctionne comme les Etats américains qui ont calqué leur organisation politique sur celle de la Suisse. C'est ainsi que l'on parle par exemple de "République et canton de Genève".

Au final, la gestion de la Suisse se partage entre cantons et Confédération: Il y a des missions comme la défense ou les relations extérieures qui se gère au niveau de la Confédération pour tous les cantons et des missions qui dépendent de chaque canton comme par exemple la fiscalité ou l'école. C'est ainsi que pour des conditions familiales identiques, les impôts à payer seront 3 fois plus chers dans le canton de Genève que dans le canton de Zug.

A remarquer aussi en cette période de RIC à la sauce "gilets jaunes", que la Suisse fait voter ses citoyens à 3 niveaux: communal, cantonal et fédéral (les décisions fédérales s'appliquent à tous le pays, les décisions cantonales ne s'appliquent que dans le canton concerné, les décisions communales à la commune concernée).

Cela semble compliqué pour un oeil extérieur mais en réalité c'est une machine parfaitement huilée qui a la mérite de ne pas avoir de révolution dans la rue: Le peuple a son mot à dire, parfois il gagne, parfois il perd mais tout le monde accepte la décision de la majorité sachant que l'avis de tous a été pris en compte...
5  0 
Avatar de Shepard
Membre éprouvé https://www.developpez.com
Le 13/02/2019 à 12:59
Citation Envoyé par Anselme45 Voir le message
Les "bug bounties" ont leur limite. OK pour un système sans intérêt majeur.

Dans le cas d'un système de vote électronique au niveau d'un pays, cela m'étonnerait beaucoup qu'un service de renseignement trouvant une faille l'annonce afin que cela soit corrigé.

Imaginer un peu, "Poutine" trafiquant le résultat de la Présidentielle de la France en inversant les pourcentages Macron/Le Pen...
La question c'est "Quelle est la probabilité que l'équipe Poutine trouve une faille qui ne soit pas découverte par une autre équipe, qui elle est intéressée par les 150k€ ?"
5  0 
Avatar de Ecthelion2
Membre extrêmement actif https://www.developpez.com
Le 15/03/2019 à 11:32
Citation Envoyé par Pill_S Voir le message
Justement, la perte d'anonymat est une incitation à soit assumer ses opinions (chose rare), soit se la boucler!
Ce n'est pas une question d'assumer ou pas...

Chacun est sensé être libre de ses opinions, mais ça c'est la théorie, dans la réalité, comme l'ont dit certains, on peut s'en prendre à ton intégrité physique, te harceler moralement, te faire perdre ton emploi, ou autres, sous prétexte que ton vote, même si tu l'assume, ne plait pas à X ou Y, et ça c'est complètement aberrant.

L'anonymat sert à éviter cela.

Cela ne te parait peut-être pas frappant comme réalité, car c'est moins prononcé dans nos pays occidentaux (cela existe tout de même aussi, même si cela n'atteint pas forcément de tels degrés de violence à chaque fois), mais je te rappelle que dans de nombreux pays tu peux être emprisonné / torturé / tué pour tes idées politiques "assumées"...
5  0 
Avatar de fredinkan
Membre éprouvé https://www.developpez.com
Le 15/03/2019 à 11:19
Le problème de la perte d'anonymat vient surtout des risques à ce que ton avis soit connu.

Regarde les problèmes qu'il y a dans certaines universités très orientée à gauche (particulièrement visible à Bern). Si les mecs apprennent que tu es de droite dans une uni de gauche, tu seras emmerdé pour tout et rien, de même pour qqn de gauche dans une uni de droite... Et ce n'est que pour ce qui est des uni. C'est la même chose dans le monde du travail...

Assumer ses opinions c'est une chose, aller jusqu'à se faire harceler ou menacer à cause de ses opinions en est une autre.
4  0 
Avatar de Jiji66
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 12:05
-) Cette porte dérobée a-t-elle été délibérément laissée dans le système de vote en ligne selon vous ?
Pour moi cela ne fait aucun doute quelle a été délibérément mise en place.
Un tel système se doit d’être en Open Source, c'est la seule solution pour éviter une tentative de manipulation.

-) Partagez-vous l'avis de ceux qui pensent que la Suisse devrait abandonner son système de vote en ligne ?
L'idée d'un vote en ligne est très bonne, il ne faut surtout pas abandonner.

L'exemple des crypto-monnaies est une base parfaite pour ce type d'applications. Je m’explique :

1-) Une Blockchain vide est créé et est distribuée à tout citoyen qui souhaite participer au contrôle de l'élection. Le mécanisme de consensus de la Blockchain permet d'en maintenir l'intégrité.
2-) L'état crée et envoie dans un Wallet-initial un nombre de jetons qui correspond au nombre de votants inscrits sur les listes électorales. Le nombre de jetons est fixe et ne change plus.
3-) Chaque citoyen qui veut voter fait une demande pour recevoir un jeton.
4-) L'état après vérification de la demande, transfère un jeton du Wallet-initial au Wallet-privé du citoyen demandeur. Seul le citoyen qui contrôle son Wallet-privé peut alors déplacer son jeton.
5-) Les candidats publient chacun l'adresse des Wallet-candidats ou les citoyens pourrons déplacer leur jeton.
6-) Le jour du vote, chaque citoyen est invité à déplacer son jeton dans le Wallet-candidat de son choix. Le protocole Blockchain étant du type (Monéro, Dash, Zcash) je jeton est anonymisé.
7-) A la clôture du vote, le comptage des jetons présents dans les Wallet-candidats permet de donner les résultats ... instantanément .....
4  0 
Avatar de fredoche
Membre expert https://www.developpez.com
Le 13/02/2019 à 17:38
Citation Envoyé par Anselme45 Voir le message


Cela semble compliqué pour un oeil extérieur mais en réalité c'est une machine parfaitement huilée qui a la mérite de ne pas avoir de révolution dans la rue: Le peuple a son mot à dire, parfois il gagne, parfois il perd mais tout le monde accepte la décision de la majorité sachant que l'avis de tous a été pris en compte...
Non c'est du velours
La vraie révolution en France ce serait cela : Le peuple a son mot à dire
2  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 15/03/2019 à 9:16
Le système de vote en ligne de la Suisse comporte une porte dérobée jugée très grave
Il ne s'agit pas du "système de vote en ligne de la Suisse"!

Il s'agit d'UNE SOLUTION de système de vote en ligne qu'une société de statut privée, la Poste suisse SA, se propose de commercialiser auprès des autorités des 26 états composant la Confédération Helvétique, communément appelée la Suisse!

1. Ce système n'a été accepté en test que par 3 cantons sur 26.

2. Le vote en ligne est très critiqué en Suisse parce que peu fiable, facilement falsifiable et surtout pas transparent.

  • Il est fréquent en Suisse que lors d'un vote très serré (du style, 50,1% oui / 49,9% non), il y ait des recours et que l'on doive recompter les bulletins de vote; chose impossible avec le vote électronique
  • De nombreux associations, partis politiques et citoyens (les professionnels de l'informatique en premier) s'opposent à l'usage de ces systèmes de vote en ligne qui ont pour 2ème gros problème de laisser la responsabilité du résultat d'un vote à une entreprise privée


3. Au niveau de la politique suisse, un moratoire a été demandé afin que les système de vote en ligne ne soient pas utilisés avant que leur fiabilité n'ait été prouvé (autant dire jamais )

PS: L'emploi d'un système de vote électronique a déjà passablement défrayé la chronique aux USA où des "bidouillages" des résultats ont été plus d'une fois discutés
2  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 15/03/2019 à 11:20
Citation Envoyé par Pill_S Voir le message
Bon sang, pourquoi, mais pourquoi, tient-on à tout prix à l'anonymat absolu du vote !??
Parce que si tout le monde savait pour qui tu votes, tu pourrais perdre ton emploi, tes amis, ta femme demanderait le divorce, tes enfants ne voudraient plus te parler, tu serais mis à l'écart de la société, tu te ferais agresser par des groupes violents.

Alors que grâce à l'anonymat les gens peuvent voter pour le Nouveau Parti Anticapitaliste, Lutte Ouvrière, Solidarité et Progrès ou En Marche sans prendre de risque.
2  0 
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 15:58
Citation Envoyé par esperanto Voir le message
Tu changeras peut-être d'avis le jour où tu seras candidat pour un petit parti et qu'on te fera un devis à 50 000 € juste pour imprimer les bulletins de vote.
Faut arrêter là.
Je sais que c'est malheureusement impossible à assimiler pour un français, mais la France n'est PAS le centre du monde et les solutions françaises ne sont pas les seules possibles.
En Belgique l'ensemble des listes est imprimée par l'état sur le même unique bulletin et l'électeur coche le parti qu'il choisi.
Il ne faut pas imprimer des bulletins en plus parce qu'un parti en plus se présente.
2  0