Suisse : des experts ont décelé de graves problèmes dans le système de vote en ligne
Avant même le début du bug bounty prévu sur ce système

Le , par Jonathan

139PARTAGES

12  0 
Les bug bounties sont devenus des choses courantes pour les entreprises ou organisations qui veulent s'assurer de la fiabilité de leurs systèmes de sécurité ou des logiciels qu'elles utilisent régulièrement. Il y a seulement quelques jours, on apprenait que la poste suisse avait lancé un bug bounty sur son système de vote électronique en offrant des primes allant jusqu'à 150000 dollars. Ce bug bounty est sensé démarrer le 25 février pour s'achever le 24 mars de cette année, mais il se pourrait bien que les choses ne se passent pas comme prévu.

La semaine dernière, le code source du logiciel de vote de la poste suisse et la documentation technique décrivant son architecture ont été divulgués en ligne. Selon MotherBoard, des experts en cryptographie ont étudié ce code pendant quelques heures et en sont arrivés à la conclusion que ce dernier était non seulement mal construit, mais aussi qu'il ne correspondait pas à la norme à laquelle ils s'attendaient. Sarah Jamie Lewis, ancienne ingénieure en sécurité chez Amazon et ancienne informaticienne pour l'agence de renseignement britannique GCHQ, a déclaré que le système de vote électronique de la poste suisse utilise des solutions cryptographiques relativement nouvelles sur le terrain et qui doivent être implémentées de manière très spécifique pour rendre le système auditable, mais la conception choisie par les programmeurs a été contraire à la réalité.


Pour Lewis, actuellement directeur exécutif de l'Open Privacy Research Society, une organisation canadienne à but non lucratif qui développe des logiciels sécurisés et renforçant la confidentialité pour les communautés marginalisées, le système offre la possibilité à un initié de mal configurer intentionnellement le système pour le rendre plus facile à manipuler, tout en laissant croire que la mauvaise configuration était involontaire. Donc les attaques extérieures ne sont pas la seule préoccupation à avoir avec ce système de vote électronique. Bien que la poste affirme que le système a fait l'objet de trois audits, parmi lesquels un audit du chiffrement de bout en bout, elle n'a jamais rendu publics les rapports d'audit ni indiqué si des modifications importantes avaient été apportées à la suite de ces audits.

Il serait peut-être utile de rappeler comment fonctionne le système de vote électronique suisse : les votants s’authentifient sur le site web de vote en utilisant leur date de naissance et un code d’initialisation qu’ils reçoivent de la poste suisse dans leurs boites mail ; lorsqu'ils effectuent leurs sélections à l'écran, les votes sont chiffrés avant de parvenir aux serveurs de la poste, où ils sont traités via un réseau mixte qui les mélange pour les séparer de tout ce qui pourrait les relier à l'électeur ; une fois que les votes sont mélangés, ils sont comptés puis déchiffrés.

Les différentes sorties des experts au sujet des problèmes qu'ils ont pu déceler dans ce système de vote, ont créé des doutes au sein du public, surtout aussi parce que jamais un système de vote n'avait été déployé avec un tel niveau de complexité. Certains pensent que quel que soit le niveau de sécurité qui puisse être mis en place, on n'est pas à l'abri d'une manipulation des votes lorsqu'ils se font de façon électronique. L'utilisation des bulletins de vote en papier ne garantit pas non plus une transparence totale, mais il est plus difficile de manipuler les votes de cette façon et le risque de se faire prendre y est élevé. D'autres pensent aussi que le vote électronique enfreint même le caractère secret du vote, car le choix de l'électeur ne doit être connu de personne d'autre que lui, ce qui peut ne pas être le cas dans le cadre d'un vote en ligne.

Et vous ?

Pensez-vous qu'il soit possible de mettre en oeuvre un système de vote électronique sécurisé, autonome et dont la popularité puisse avoir confiance ?
Partagez-vous l'avis de ceux qui pensent qu'il est préférable de s'en tenir au vote avec des bulletins en papier ?

Voir aussi :

Suisse : jusqu'à 150000 dollars offerts pour un bug bounty sur le système de vote en ligne, dans le cadre d'un test d'intrusion public
La technologie blockchain est-elle adaptée pour voter pendant des élections ? Non, selon des experts qui ont présenté un rapport au Congrès US
La Corée du Sud mettra au point un système de vote basé sur la blockchain le mois prochain pour accroître la sécurité des services de vote en ligne

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Ecthelion2
Membre extrêmement actif https://www.developpez.com
Le 15/03/2019 à 11:32
Citation Envoyé par Pill_S Voir le message
Justement, la perte d'anonymat est une incitation à soit assumer ses opinions (chose rare), soit se la boucler!
Ce n'est pas une question d'assumer ou pas...

Chacun est sensé être libre de ses opinions, mais ça c'est la théorie, dans la réalité, comme l'ont dit certains, on peut s'en prendre à ton intégrité physique, te harceler moralement, te faire perdre ton emploi, ou autres, sous prétexte que ton vote, même si tu l'assume, ne plait pas à X ou Y, et ça c'est complètement aberrant.

L'anonymat sert à éviter cela.

Cela ne te parait peut-être pas frappant comme réalité, car c'est moins prononcé dans nos pays occidentaux (cela existe tout de même aussi, même si cela n'atteint pas forcément de tels degrés de violence à chaque fois), mais je te rappelle que dans de nombreux pays tu peux être emprisonné / torturé / tué pour tes idées politiques "assumées"...
5  0 
Avatar de kain_tn
Membre émérite https://www.developpez.com
Le 16/03/2019 à 0:26
Citation Envoyé par Pill_S Voir le message
Et il semblerait d'après certains témoignages, que même chez nous en Suisse, les manipulations sont non seulement fréquentes, mais équalement connues voire tolérées...

Après, voilà, si ça plait à tout le monde comme ça, d'accepter une fausse impression d'avoir eu un choix alors que derrière tout est bidonné, et que le fait de perdre l'anonymat contrebalance largement ce problème. Bah voilà... tant pis
N'importe quoi. Si tu peux identifier publiquement pour qui les gens votent alors tu ouvres la porte à l'achat de voix pour les élections puisqu'il devient possible de ne payer que si les gens votent effectivement pour toi. En gros, ta perte d'anonymat rendrait encore plus facile les manipulations que tu dénonces.
5  0 
Avatar de fredinkan
Membre éprouvé https://www.developpez.com
Le 15/03/2019 à 11:19
Le problème de la perte d'anonymat vient surtout des risques à ce que ton avis soit connu.

Regarde les problèmes qu'il y a dans certaines universités très orientée à gauche (particulièrement visible à Bern). Si les mecs apprennent que tu es de droite dans une uni de gauche, tu seras emmerdé pour tout et rien, de même pour qqn de gauche dans une uni de droite... Et ce n'est que pour ce qui est des uni. C'est la même chose dans le monde du travail...

Assumer ses opinions c'est une chose, aller jusqu'à se faire harceler ou menacer à cause de ses opinions en est une autre.
4  0 
Avatar de Jiji66
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 12:05
-) Cette porte dérobée a-t-elle été délibérément laissée dans le système de vote en ligne selon vous ?
Pour moi cela ne fait aucun doute quelle a été délibérément mise en place.
Un tel système se doit d’être en Open Source, c'est la seule solution pour éviter une tentative de manipulation.

-) Partagez-vous l'avis de ceux qui pensent que la Suisse devrait abandonner son système de vote en ligne ?
L'idée d'un vote en ligne est très bonne, il ne faut surtout pas abandonner.

L'exemple des crypto-monnaies est une base parfaite pour ce type d'applications. Je m’explique :

1-) Une Blockchain vide est créé et est distribuée à tout citoyen qui souhaite participer au contrôle de l'élection. Le mécanisme de consensus de la Blockchain permet d'en maintenir l'intégrité.
2-) L'état crée et envoie dans un Wallet-initial un nombre de jetons qui correspond au nombre de votants inscrits sur les listes électorales. Le nombre de jetons est fixe et ne change plus.
3-) Chaque citoyen qui veut voter fait une demande pour recevoir un jeton.
4-) L'état après vérification de la demande, transfère un jeton du Wallet-initial au Wallet-privé du citoyen demandeur. Seul le citoyen qui contrôle son Wallet-privé peut alors déplacer son jeton.
5-) Les candidats publient chacun l'adresse des Wallet-candidats ou les citoyens pourrons déplacer leur jeton.
6-) Le jour du vote, chaque citoyen est invité à déplacer son jeton dans le Wallet-candidat de son choix. Le protocole Blockchain étant du type (Monéro, Dash, Zcash) je jeton est anonymisé.
7-) A la clôture du vote, le comptage des jetons présents dans les Wallet-candidats permet de donner les résultats ... instantanément .....
4  0 
Avatar de Anselme45
Membre expérimenté https://www.developpez.com
Le 15/03/2019 à 9:16
Le système de vote en ligne de la Suisse comporte une porte dérobée jugée très grave
Il ne s'agit pas du "système de vote en ligne de la Suisse"!

Il s'agit d'UNE SOLUTION de système de vote en ligne qu'une société de statut privée, la Poste suisse SA, se propose de commercialiser auprès des autorités des 26 états composant la Confédération Helvétique, communément appelée la Suisse!

1. Ce système n'a été accepté en test que par 3 cantons sur 26.

2. Le vote en ligne est très critiqué en Suisse parce que peu fiable, facilement falsifiable et surtout pas transparent.

  • Il est fréquent en Suisse que lors d'un vote très serré (du style, 50,1% oui / 49,9% non), il y ait des recours et que l'on doive recompter les bulletins de vote; chose impossible avec le vote électronique
  • De nombreux associations, partis politiques et citoyens (les professionnels de l'informatique en premier) s'opposent à l'usage de ces systèmes de vote en ligne qui ont pour 2ème gros problème de laisser la responsabilité du résultat d'un vote à une entreprise privée


3. Au niveau de la politique suisse, un moratoire a été demandé afin que les système de vote en ligne ne soient pas utilisés avant que leur fiabilité n'ait été prouvé (autant dire jamais )

PS: L'emploi d'un système de vote électronique a déjà passablement défrayé la chronique aux USA où des "bidouillages" des résultats ont été plus d'une fois discutés
2  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 15/03/2019 à 11:20
Citation Envoyé par Pill_S Voir le message
Bon sang, pourquoi, mais pourquoi, tient-on à tout prix à l'anonymat absolu du vote !??
Parce que si tout le monde savait pour qui tu votes, tu pourrais perdre ton emploi, tes amis, ta femme demanderait le divorce, tes enfants ne voudraient plus te parler, tu serais mis à l'écart de la société, tu te ferais agresser par des groupes violents.

Alors que grâce à l'anonymat les gens peuvent voter pour le Nouveau Parti Anticapitaliste, Lutte Ouvrière, Solidarité et Progrès ou En Marche sans prendre de risque.
2  0 
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 15:58
Citation Envoyé par esperanto Voir le message
Tu changeras peut-être d'avis le jour où tu seras candidat pour un petit parti et qu'on te fera un devis à 50 000 € juste pour imprimer les bulletins de vote.
Faut arrêter là.
Je sais que c'est malheureusement impossible à assimiler pour un français, mais la France n'est PAS le centre du monde et les solutions françaises ne sont pas les seules possibles.
En Belgique l'ensemble des listes est imprimée par l'état sur le même unique bulletin et l'électeur coche le parti qu'il choisi.
Il ne faut pas imprimer des bulletins en plus parce qu'un parti en plus se présente.
2  0 
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 8:35
Je ne comprends pas ce qu'on reproche au bon vieux vote papier et pourquoi on dépense des millions pour le remplacer
1  1 
Avatar de esperanto
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 12:01
Citation Envoyé par frfancha Voir le message
Je ne comprends pas ce qu'on reproche au bon vieux vote papier et pourquoi on dépense des millions pour le remplacer
Tu changeras peut-être d'avis le jour où tu seras candidat pour un petit parti et qu'on te fera un devis à 50 000 € juste pour imprimer les bulletins de vote. Car oui, en France au moins, ces frais sont à la charge des candidats, mais ça passe dans les frais de campagne remboursables. Du coup les gros partis n'hésitent pas à imprimer en A4 des bulletins à hauteur de 220 % (un pour la mairie, un pour l'enveloppe et 20% pour les erreurs d'impression) alors que les petits candidats se limiteront à 20% (on tient compte de l'abstention et du fait que tu n'es pas obligé de prendre tous les bulletins en mairie) puisqu'en dessous de 3% (si ce n'est déjà passé à 5?) c'est pas remboursé du tout...

Après, entre le bulletin papier et la mise en réseau où un tiers peut écouter à tout moment s'il a percé le système de cryptage, il y a quand même pas mal de solutions possibles. Un vote sur ordinateur non connecté en réseau serait déjà meilleur dans la mesure où toute tentative de fraude nécessiterait au minimum la présence physique du fraudeur sur le lieu de vote, donc le niveau de fiabilité serait au moins comparable au vote papier (qui est tout de même sensible à la fameuse technique du bourrage des urnes)
1  0 
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 15/03/2019 à 16:08
Citation Envoyé par esperanto Voir le message
vote papier (qui est tout de même sensible à la fameuse technique du bourrage des urnes)
Difficile en Belgique où la liste avec le nombre d'électeurs pour une urne donnée fait partie du travail de décomptage.
Mais bon l'administration est assez avancée pour savoir qui habite où et produire des listes et envoyer les convocations pour dire où aller voter, il ne faut pas s'inscrire.

Bon tout cela n'empêche pas certaines communes de Belgique de passer au vote électronique dans l'unique but de publier les résultats quelques heures plus tôt, c'est tout.
Avec parfois l'effet inverse ... le matériel informatique étant défaillant il doit être dépanné et les files des électers s'allongent ...
1  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web