Catégorisation des résultats du test d’intrusion public



Guidage vocal

Catégorisation des trouvailles dans le cadre du test d’intrusion public 06.03.2019

Sur demande de la Confédération et des cantons, la Poste effectue un test d’intrusion public sur son système de vote électronique entre le 25 février et le 24 mars 2019. Durant cette période, environ 3000 membres de la communauté des experts en sécurité informatique à travers le monde mettront le système à l’épreuve et signaleront leurs trouvailles. Comment celles-ci seront-elles traitées et catégorisées? À combien se monte l’indemnisation par la Poste en cas de faille confirmée? Réponses dans cet article.

Si, pendant le test d’intrusion public, un participant pense pouvoir effectuer une manipulation ou avoir identifié une faille, il le signale sur la plateforme www.onlinevote-pit.ch. SCRT SA, l’entreprise indépendante mandatée par la Confédération et par les cantons, procède alors à un premier examen du cas. Si une trouvaille s’avère plausible, elle la transmet aux spécialistes du vote électronique de la Poste pour analyse. Après cette analyse, la société SCRT SA indique au participant s’il a effectivement détecté une faille ou non. Les failles confirmées sont publiées sur la plateforme www.onlinevote-pit.ch et le participant perçoit une indemnisation. Après la publication sur la plateforme, l’auteur de la découverte est libre de publier les résultats de ses recherches, une pratique qui n’est pas autorisée dans de nombreux tests d’intrusion.

L’ensemble du processus est surveillé par des représentants de la Confédération et des cantons.

Qu’advient-il lorsqu’une faille est confirmée?

Les failles confirmées sont catégorisées comme suit:

Sont classés dans la catégorie 1 Pratiques d’excellence les résultats qui permettent d’identifier des possibilités d’optimisation non critiques. Il est courant que dans le cadre de tests d’intrusion, de nombreux de résultats relevant de cette catégorie sont trouvés, et on s’attend à ce que cela soit également le cas ici.

Les éléments de cette première catégorie ne constituent souvent pas un problème de sécurité et des solutions peuvent être trouvées de manière relativement aisée. Un exemple typique: lorsqu’une mise à jour est disponible pour un composant logiciel et que celle-ci n’a pas encore été effectuée. Le fait de ne pas suivre les recommandations en matière de pratiques d’excellence relève parfois d’un choix délibéré, visant par exemple à maintenir la compatibilité avec des navigateurs Internet plus anciens.

Les failles de la catégorie Pratiques d’excellence donnent lieu à une indemnisation d’au minimum CHF 100.−.

La catégorie 2 Intrusion dans le système concerne les cas où un participant a réussi à pénétrer dans les serveurs du système de vote électronique (obtention d’un accès shell). Un tel accès ne suffit pas en soi pour que le vote électronique puisse être manipulé sans que cela soit détecté. Mais il pourrait théoriquement permettre de procéder à des actions sur le serveur qui impacteraient le système. L’indemnisation pour les failles de cette deuxième catégorie est de CHF 1000.− au minimum.

La catégorie 3 Détruire/rendre inutilisables des votes sur le serveur correspond aux tentatives réussies de perturber le système de vote électronique au point de rendre le décompte des voix impossible. L’indemnisation pour la catégorie 3 est de CHF 5000.− au minimum.

La catégorie 4 Violation du secret des urnes dans le système couvre les attaques qui, par l’espionnage du système de vote électronique, permettent à leurs auteurs de déterminer qui a voté ou comment une personne a voté. Un participant qui réussirait une telle attaque percevrait au moins CHF 10 000.−.

La catégorie 5 correspond aux attaques ayant permis de manipuler des suffrages dans l’urne; par exemple, de modifier des votes «Oui» en «Non». L’indemnisation est alors de CHF 20 000.− ou plus.

Les manipulations des catégories 1 à 5 seraient détectées et signalées par le système de vote électronique et par ses mécanismes de contrôle.

Si un participant devait parvenir à manipuler des votes de telle sorte que la manipulation ne serait pas remarquée pendant un scrutin normal, la faille détectée entrerait alors dans la catégorie 6. Pour les attaques réussies du système relevant de la catégorie 6, des indemnisations allant de CHF 30 000.− à CHF 50 000.− sont prévues.

Vous trouverez les détails relatifs aux indemnités dans les conditions de participation.

Les conclusions issues du test d’intrusion public seront intégrées dans le développement du système de vote électronique de nouvelle génération.