Les bug bounties sont devenus des choses courantes pour les entreprises ou organisations qui veulent s'assurer de la fiabilité de leurs systèmes de sécurité ou des logiciels qu'elles utilisent régulièrement. Il y a seulement quelques jours, on apprenait que la poste suisse avait lancé un bug bounty sur son système de vote électronique en offrant des primes allant jusqu'à 150000 dollars. Ce bug bounty est sensé démarrer le 25 février pour s'achever le 24 mars de cette année, mais il se pourrait bien que les choses ne se passent pas comme prévu.
La semaine dernière, le code source du logiciel de vote de la poste suisse et la documentation technique décrivant son architecture ont été divulgués en ligne. Selon MotherBoard, des experts en cryptographie ont étudié ce code pendant quelques heures et en sont arrivés à la conclusion que ce dernier était non seulement mal construit, mais aussi qu'il ne correspondait pas à la norme à laquelle ils s'attendaient. Sarah Jamie Lewis, ancienne ingénieure en sécurité chez Amazon et ancienne informaticienne pour l'agence de renseignement britannique GCHQ, a déclaré que le système de vote électronique de la poste suisse utilise des solutions cryptographiques relativement nouvelles sur le terrain et qui doivent être implémentées de manière très spécifique pour rendre le système auditable, mais la conception choisie par les programmeurs a été contraire à la réalité.
Pour Lewis, actuellement directeur exécutif de l'Open Privacy Research Society, une organisation canadienne à but non lucratif qui développe des logiciels sécurisés et renforçant la confidentialité pour les communautés marginalisées, le système offre la possibilité à un initié de mal configurer intentionnellement le système pour le rendre plus facile à manipuler, tout en laissant croire que la mauvaise configuration était involontaire. Donc les attaques extérieures ne sont pas la seule préoccupation à avoir avec ce système de vote électronique. Bien que la poste affirme que le système a fait l'objet de trois audits, parmi lesquels un audit du chiffrement de bout en bout, elle n'a jamais rendu publics les rapports d'audit ni indiqué si des modifications importantes avaient été apportées à la suite de ces audits.
Il serait peut-être utile de rappeler comment fonctionne le système de vote électronique suisse : les votants s’authentifient sur le site web de vote en utilisant leur date de naissance et un code d’initialisation qu’ils reçoivent de la poste suisse dans leurs boites mail ; lorsqu'ils effectuent leurs sélections à l'écran, les votes sont chiffrés avant de parvenir aux serveurs de la poste, où ils sont traités via un réseau mixte qui les mélange pour les séparer de tout ce qui pourrait les relier à l'électeur ; une fois que les votes sont mélangés, ils sont comptés puis déchiffrés.
Les différentes sorties des experts au sujet des problèmes qu'ils ont pu déceler dans ce système de vote, ont créé des doutes au sein du public, surtout aussi parce que jamais un système de vote n'avait été déployé avec un tel niveau de complexité. Certains pensent que quel que soit le niveau de sécurité qui puisse être mis en place, on n'est pas à l'abri d'une manipulation des votes lorsqu'ils se font de façon électronique. L'utilisation des bulletins de vote en papier ne garantit pas non plus une transparence totale, mais il est plus difficile de manipuler les votes de cette façon et le risque de se faire prendre y est élevé. D'autres pensent aussi que le vote électronique enfreint même le caractère secret du vote, car le choix de l'électeur ne doit être connu de personne d'autre que lui, ce qui peut ne pas être le cas dans le cadre d'un vote en ligne.
Et vous ?
Pensez-vous qu'il soit possible de mettre en oeuvre un système de vote électronique sécurisé, autonome et dont la popularité puisse avoir confiance ?
Partagez-vous l'avis de ceux qui pensent qu'il est préférable de s'en tenir au vote avec des bulletins en papier ?
Voir aussi :
Suisse : jusqu'à 150000 dollars offerts pour un bug bounty sur le système de vote en ligne, dans le cadre d'un test d'intrusion public
La technologie blockchain est-elle adaptée pour voter pendant des élections ? Non, selon des experts qui ont présenté un rapport au Congrès US
La Corée du Sud mettra au point un système de vote basé sur la blockchain le mois prochain pour accroître la sécurité des services de vote en ligne
Suisse : des experts ont décelé de graves problèmes dans le système de vote en ligne
Avant même le début du bug bounty prévu sur ce système
Suisse : des experts ont décelé de graves problèmes dans le système de vote en ligne
Avant même le début du bug bounty prévu sur ce système
Le , par Jonathan
Une erreur dans cette actualité ? Signalez-nous-la !