La Poste Suisse lance un challenge aux hackeurs. Elle va mettre à disposition pour un test public d’intrusion son futur système de vote électronique. Ce système d’e-voting qui sera notamment utilisé par le Canton de Neuchâtel dès 2020. Durant un mois, du 25 février au 24 mars 2019, les personnes intéressées pourront lancer des attaques contre ce système sécurisé de vote par internet. Les personnes qui communiqueront des failles recevront une indemnité financière.
En Suisse, des cantons mènent depuis 2004 des essais de vote électronique (ou e-voting) lors de scrutins fédéraux, et cela dans les limites fixées par le droit fédéral. Le Canton de Neuchâtel a été, en septembre 2005, le premier des trois cantons pilotes (Genève, Zurich et Neuchâtel) à avoir permis à ces électrices et électeurs de voter par Internet pour une votation fédérale.
Passer un test public d’intrusion
La Poste Suisse propose un système de vote électronique avec une vérifiabilité complète. Cette dernière garantit l’identification systématique des dysfonctionnements à la suite d’erreurs logicielles, d’erreurs humaines ou de tentatives de manipulation. Le droit fédéral exige non seulement que ce système soit certifié avant sa première utilisation, mais aussi que le code source soit publié.
La Confédération et les cantons ont décidé que les systèmes de vote électronique proposant la vérifiabilité complète doivent passer un test public d’intrusion – également appelé test de pénétration – avant leur première utilisation. Un test d’intrusion sert à tester la sécurité d’un système en le soumettant à une attaque. Un test de ce type est déjà réalisé dans le cadre de la procédure de certification menée par un organe accrédité.
Un challenge pour hackeurs
Il a été décidé d’organiser de surcroît un test public d’intrusion. Son but est de donner à un grand nombre de personnes la possibilité de tester la sécurité du système. La Confédération et les cantons ont fixé des exigences communes qui s’appliqueront au test public d’intrusion. Ces exigences obligent le fournisseur du système de vote électronique à mettre ce dernier à disposition pour le test pendant quatre semaines.
Les hackeurs qui participeront au test tenteront de manipuler des suffrages, de lire des suffrages exprimés, de violer le secret du vote et de mettre hors service ou de contourner les dispositifs de sécurité qui protègent aussi bien les suffrages que les données inhérentes à la sécurité. La documentation relative au système et le code source devront avoir été publiés avant la réalisation du test.
Un montant de 250'000 francs alloué
La Poste Suisse mettra son système à disposition, du lundi 25 février au dimanche 24 mars, pour la réalisation du test public d’intrusion. La société SCRT, spécialisée dans les tests d’intrusion, enregistrera les participants pour le compte de la Confédération et des cantons. Elle évaluera ensuite les réponses et rendra ses conclusions dès que possible.
La Confédération et les cantons, par l’intermédiaire de egovernement suisse, alloueront un montant de 250 000 francs suisses pour la réalisation du test public d’intrusion, conformément au plan stratégique de la cyberadministration suisse. Les personnes qui communiqueront des failles de sécurité permettant de tirer des enseignements particulièrement précieux recevront une indemnité financière. La Poste Suisse fixera le montant des indemnités en question et procédera à leur versement.
Les personnes désireuses de participer au test peuvent s’inscrire sur le site https://onlinevote-pit.ch, où elles trouveront toutes les informations concernant les modalités du test.
