Ils ont trouvé la faille dans le système d’e-voting

DémocratieDes chercheurs ont identifié en quelques jours une grave lacune dans le logiciel de vote électronique de La Poste. Ils racontent.

Vanessa Teague (professeure à l’Université de Melbourne), Olivier Pereira (professeur à l’Université catholique de Louvain) et Sarah Jamie Lewis (directrice d’Open Privacy).

Vanessa Teague (professeure à l’Université de Melbourne), Olivier Pereira (professeur à l’Université catholique de Louvain) et Sarah Jamie Lewis (directrice d’Open Privacy).

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

Aucun d’entre eux n’a le droit de vote en Suisse. Une chercheuse britannique, un professeur belge et une professeure australienne viennent pourtant de marquer de leur empreinte une étape cruciale de l’évolution du système électoral suisse. Il n’aura fallu à ce trio que quelques jours pour mettre à jour une faille majeure dans le logiciel de vote électronique développé par La Poste. Leur conclusion: le système permet à son opérateur ou à un pirate informatique de changer des voix sans laisser de traces. En d’autres termes d’influencer le résultat d’un scrutin sans que cela puisse être prouvé.

C’est pour déceler des vulnérabilités dans son programme que La Poste a publié le mois dernier le code source, avant de lancer en parallèle un appel aux hackers (lire l’encadré).

Lorsque Sarah Jamie Lewis est tombée sur une copie du code, tous ses signaux d’alertes se sont mis au rouge, raconte-t-elle. Ancienne informaticienne pour le gouvernement britannique, elle dirige aujourd’hui Open Privacy, une organisation non gouvernementale basée au Canada spécialisée dans la confidentialité d’outils électroniques. Olivier Pereira, lui, est professeur à l’Université de Louvain, Vanessa Teague à l’Université de Melbourne. C’est cette dernière qui a, la première, perçu un potentiel problème. Pendant quatre intenses journées, tous trois ont décortiqué une partie du code avant de se rendre compte qu’une manipulation de votes était possible. Ils ont ensuite, pendant une dizaine de jours, compilé le fruit de leurs recherches avant de le transmettre à La Poste. Ils étaient les premiers à le faire, devançant deux autres chercheurs.

Professeur dans un petit institut de sécurité informatique basé à Bienne, Rolf Haenni a empilé les heures sur son temps libre avant d’identifier à son tour l’erreur. Une découverte étonnante lorsqu’on sait que ce spécialiste de la cryptographie avait déjà attiré l’attention de La Poste sur le même problème. Il y a deux ans.

«C’est très préoccupant, réagit Olivier Pereira, de l’Université de Louvain. Pourquoi l’erreur n’a-t-elle pas été réparée alors qu’elle était connue? Et comment a-t-elle échappé à tous les filtres précédents?» Des interrogations entourent la responsabilité de l’EPFZ et du cabinet KPMG, chargés d’auditer des parties du système. Le professeur belge décrit par ailleurs la faille comme une erreur grave, mais «élémentaire». Il peine à comprendre comment Scytl, la société mandatée par La Poste pour développer le code source, a pu la laisser passer. Olivier Pereira ne serait pas étonné que d’autres lacunes soient découvertes. «Nous n’avons examiné que 3% à 5% du code et cela a suffi pour y trouver une faille majeure.»

Pourquoi une vulnérabilité signalée il y a deux ans déjà se trouve-t-elle toujours dans le système? Cette erreur n’aurait pas dû se produire, regrette La Poste, qui affirme qu’elle examinera les «circonstances en détail afin de déterminer comment cela a pu se produire». La Chancellerie fédérale, de son côté, affirme qu’il est trop tôt pour tirer des conclusions. Elle attend les conclusions de l’examen.

Dans l’immédiat, l’entreprise Scytl a communiqué avoir corrigé le défaut. Leader sur le marché des systèmes de vote par internet, l’entreprise n’a pas répondu à nos sollicitations. Ce couac donne des munitions aux voix critiques à son égard. Une enquête du magazine alémanique en ligne «Republik» soulignait en début d’année son caractère controversé, notamment en raison de problèmes de sécurité dans d’autres logiciels.

L’affaire met à mal la Confédération alors que les fronts se durcissent contre sa volonté de normaliser en Suisse le vote électronique en allégeant les procédures administratives. Un comité interpartis a lancé une initiative pour demander un moratoire. La découverte ne concerne d’ailleurs pas que la Suisse: en Australie, le système de vote de Scytl, déployé dans des élections régionales, contient la même faille que celle découverte ici.

Une récompense?

Prise à partie sur Twitter, Sarah Jamie Lewis a dû se défendre d’être opposée aux votations par internet. «J’y suis favorable à terme. Mais il faut que ces systèmes soient tenus à des standards de sécurité extrêmement élevés, affirme-t-elle. Nous parlons ici d’élections et pas d’une application pour compter ses calories.»

Reste la question de la récompense. Le trio de chercheur touchera-il une part de la somme promise par La Poste à qui décèlerait quelque chose? Rien n’est moins sûr car le trio n’a pas participé de manière officielle, ne souhaitant pas signer l’accord de confiden­tialité exigé par La Poste. Leur argument: la plus grande transparence doit guider la conception d’outils démocratiques.

Créé: 14.03.2019, 22h47

Le piratage continue

Plus de 3000 hackers du monde entier ont répondu à l’appel de La Poste et se sont inscrits pour tenter, pendant un mois, de pirater son système de vote électronique. Il ne leur reste plus que dix jours avant de devoir arrêter les hostilités: le délai prend fin le 24 mars. À voir ce qui ressortira de ce test d’intrusion visant à tester la fiabilité d’un programme destiné notamment au Canton de Neuchâtel dès 2020.

En parallèle, La Poste a publié le code source certifié de son système de vote électronique le 7 février, comme l’exige la Confédération. Le géant jaune affirme avoir déjà reçu 67 messages. Jusqu’à présent, cinq chercheurs ont décelé la même faille critique.

Le système de vote électronique qui est actuellement en usage dans les cantons de Thurgovie, de Neuchâtel, de Fribourg et de Bâle-Ville n’est pas concerné par ce problème, a rappelé La Poste. Il ne permet pas non plus, à lui seul, de s’introduire dans le système. Le code source sera modifié sur la base de cette découverte et d’autres éventuelles remarques des hackers et chercheurs. Les meilleurs se répartiront un prix de 250'000 francs, en fonction de la rapidité et du niveau de gravité de la faille détectée.

Articles en relation

Nouveau vol de données chez Swisscom

Technologie Après le piratage de 20 000 comptes clients il y a un an, l’opérateur dévoilait mercredi s’être fait piquer des données de 800 000 clients. Plus...

Une majorité des PME suisses sous-estime les risques de cyberattaque

Entreprises Editorial Une étude souligne que les petites et moyennes entreprises ne sont pas assez protégées contre le piratage informatique. Plus...

La rédaction sur Twitter

Restez informé et soyez à jour. Suivez-nous sur le site de microblogage

Publier un nouveau commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous vous prions d’utiliser votre nom complet, la discussion est plus authentique ainsi. Vous pouvez vous connecter via Facebook ou créer un compte utilisateur, selon votre choix. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.

Caricatures

Après l'accord avec l'UE, Johnson doit convaincre le Parlement
Plus...