Communiqués de presse

Des hackers et hackeuses ont mis à l’épreuve le système de vote électronique

Près de 3400 hackers et hackeuses du monde entier ont tenté, durant quatre semaines, de pirater le futur système de vote électronique de la Poste. Ils ont mis le système à l’épreuve avec quelque 60 000 attaques. Ce «test d’intrusion» est maintenant terminé. Il consiste en une forme de test au cours duquel les hackers et hackeuses attaquent une application afin de déceler ses éventuelles failles. Lors de ce test, personne n’a réussi à s’introduire dans le système de vote électronique ni dans l’urne électronique. La Poste est loin d’en avoir fini avec les tests d’intrusion: d’autres possibilités de test sont actuellement expérimentées par des hackers et hackeuses éthiques, et l’examen indépendant mandaté par la Confédération est en cours.

Section Contenu riche

La Poste travaille d’arrache-pied à la mise en place d’un système de vote électronique sécurisé pour la Suisse. Une nouvelle étape vient d’être franchie. Des hackers et hackeuses éthiques du monde entier ont pu participer pendant quatre semaines à ce que l’on appelle un test d’intrusion public. Il s’agit d’une forme de test au cours duquel les hackers attaquent une application, afin de trouver des faiblesses ou des failles de sécurité. Le test d’intrusion du système de vote électronique a eu lieu du 8 août au 2 septembre 2022. Pour la Poste, cet instrument est important car il permet d’identifier d’éventuelles failles dans le système, de les supprimer à temps et de rendre ainsi le système encore plus sûr. Le point de vue extérieur de spécialistes indépendants est un élément central au développement d’un système de vote électronique sécurisé pour la Suisse.

Le test d’intrusion a suscité l’intérêt de hackers et hackeuses du monde entier. Environ 3400 hackers et hackeuses ont tenté de pirater le système de vote électronique de la Poste, avec pas moins de 60 000 attaques dirigées contre le système. Le test est maintenant terminé et les résultats sont disponibles: personne n’a réussi à pirater le système de vote électronique ni même à pénétrer dans l’urne électronique. «Nous sommes ravis qu’autant de spécialistes aient tenté de pirater notre système. Plus ils seront nombreux, mieux ce sera pour la sécurité du système. Nous voulons bien sûr en apprendre plus sur les failles, mais le fait que personne n’ait réussi à pénétrer dans le système est une réussite pour nous – cela témoigne du haut niveau de sécurité de notre système», se réjouit Nicole Burth, responsable Services de communication à la Poste.

Aucun constat grave détecté lors de l’examen détaillé de l’infrastructure du système de vote électronique

Depuis début 2021, la version bêta du système de vote électronique de la Poste est passée au crible par des experts mondiaux. Le vote électronique permet à l’électorat de participer aux votations et aux élections par voie électronique. L’électorat pouvant utiliser le vote électronique reçoit par courrier le matériel de votation ou de vote et, en complément de celui-ci, les codes de sécurité personnels lui permettant d’accéder au vote électronique. Les électeurs et les électrices peuvent ainsi s’inscrire sur la plateforme de vote électronique de leur canton et participer à une élection ou à une votation par voie électronique. Toutes les informations transmises lors du vote sont anonymisées et protégées grâce à un chiffrement de bout en bout. Seules les autorités électorales cantonales peuvent avoir accès au résultat dans l’urne électronique. Il n’est à aucun moment possible de tirer des conclusions sur l’électeur ou l’électrice ayant déposé un vote. Lors du test d’intrusion, les hackers et hackeuses éthiques ont également eu l’occasion de tester le processus de vote sur le portail de vote avec des modèles de carte de vote.

Grâce au test d’intrusion, les hackers et hackeuses éthiques ont pu, pour la première fois, cibler également l’infrastructure de vote électronique – c’est-à-dire la carapace du système de vote électronique. Ils ont aussi pu tester le processus de vote sur le portail en question avec des modèles de cartes de vote. Tout comme cela se passera lors des élections et des votations.

Les constats sont classés selon les quatre degrés de gravité suivants: faible, moyen, grave et critique. Lors du test d’intrusion, aucun constat de gravité moyenne, grave ou critique n’a été reçu ou confirmé. Après vérification, la Poste n’a pu confirmer qu’un seul des deux constats reçus. Il s’agissait d’un degré «faible». Le constat ne concernait pas des aspects relatifs à la sécurité, mais sert à alléger les processus sur le portail de vote. La Poste met en œuvre cette proposition. Le hacker a reçu une récompense de 500 francs.

Nouvel examen indépendant sur mandat de la Confédération

L’achèvement du test d’intrusion est un pas de plus vers la mise à disposition d’un système de vote électronique sécurisé en Suisse. Parallèlement aux possibilités de contrôle menées par les hackers et hackeuses, un examen indépendant est toujours en cours sur mandat de la Confédération. Les expertes et experts engagés à cet effet examinent si le système répond aux exigences des bases légales. Les premiers rapports d’audit ont été publiés en avril 2022. Depuis lors, la Poste a continué à développer son système. Le système de vote électronique fait actuellement l’objet d’un nouvel examen par les experts indépendants nommés par la Confédération. La Poste prévoit de mettre son nouveau système de vote électronique à la disposition des cantons intéressés dans le courant de 2023.

Informations complémentaires:

Aperçu général des constats du programme de la communauté: Actualité de l’examen public

Renseignements:

Service de presse Poste, Silvana Grellmann, 058 341 26 71, presse@poste.ch