Test de piratage public du système de vote électronique de la Poste

Guidage vocal

Test de piratage public du système de vote électronique de la Poste 07.02.2019

Du 25 février au 24 mars 2019, la Poste soumettra son système de vote électronique à un test de résistance. Dans le cadre de ce test, également appelé test d’intrusion public (PIT), hackers et autres spécialistes informatiques indépendants pourront attaquer délibérément le système de vote électronique de la Poste afin d’en vérifier la fiabilité. Comment se déroulera le test d’intrusion et que se passera-t-il si le test révèle des trouvailles? Voici les réponses aux principales questions à ce sujet.

Comment se déroule le test d’intrusion?

À l’occasion du test, une votation fédérale est simulée. Comme pour une votation normale, l’enregistrement du vote démarre quatre semaines avant le jour du scrutin. C’est aussi à ce moment-là que le test d’intrusion commence. La date de scrutin retenue pour cette votation est le dimanche 24 mars 2019. Le test d’intrusion se déroulera donc du 25 février au 24 mars.

Les personnes désirant participer au test doivent s’inscrire sur la plateforme www.onlinevote-pit.ch. La Confédération et les cantons ont confié la réalisation du test d’intrusion et la gestion de la plateforme à la société indépendante SCRT SA.

Les participants peuvent télécharger leurs cartes d’électeur pour le test sur la plateforme. Comme pour une votation normale, la carte d’électeur contient les codes nécessaires pour prendre part à l’élection simulée, et donc au test d’intrusion. Cependant, dans le cas de cette simulation, ils peuvent demander plusieurs cartes d’électeur. Celles-ci ne sont d’ailleurs pas envoyées par courrier, mais mises à disposition sous forme électronique.

Les participants peuvent faire part des éventuelles failles constatées sur la plateforme www.onlinevote-pit.ch. L’entreprise SCRT les examinera et transmettra les trouvailles plausibles à la Poste, qui les analysera et, le cas échéant, les reproduira. Si la Poste parvient à confirmer une faille, elle en validera la publication et octroiera une indemnité financière à la personne l’ayant signalée, pour autant que cette personne ait été la première à le faire.

Le dimanche 24 mars, les urnes électroniques seront déchiffrées et les votes dépouillés par la commission électorale fictive. Les constats de faille peuvent être envoyés jusqu’au 25 mars, minuit.

Pourquoi la Poste soumet-elle son système de vote électronique à un test d’intrusion?

Le système de vote électronique entièrement vérifiable doit être autorisé par la Confédération pour que les cantons puissent le proposer aux électeurs et aux électrices. Pour obtenir cette autorisation, il est nécessaire de soumettre le système à un test d’intrusion public, conformément aux exigences de la Confédération et des cantons. La Poste se conforme à cette exigence.

Quel est le but du test d’intrusion?

Le système de vote électronique entièrement vérifiable élaboré par la Poste est à la pointe de la technologie. Cela signifie qu’il répond au stade de développement le plus récent et qu’il remplit les conditions de sécurité les plus élevées. Dans le secteur informatique, les tests d’intrusion sont très souvent utilisés pour contrôler des systèmes et des processus de pointe de manière approfondie, avant leur exploitation dans des conditions réelles. C’est précisément le but du test qui est mené sur le système de vote électronique. Les résultats du test d’intrusion seront intégrés au développement du système.

Quelles sont les attaques qui peuvent être lancées par les participants?

Toutes les attaques visant à consulter les suffrages ou à manipuler les votes. Les attaques contre les mécanismes de sécurité centraux du système de vote électronique, la vérifiabilité individuelle et universelle, font également partie du périmètre du test.

Le test d’intrusion a pour objectif de tester le système de vote électronique, et non les autres systèmes et processus touchant au vote électronique. C’est la raison pour laquelle les scénarios dans lesquels d’autres systèmes ou processus sont attaqués sont exclus du test. Cette exclusion concerne aussi les attaques connues et pour lesquelles il existe déjà des mesures de sécurité. De tels scénarios ne fourniraient aucun retour d’expérience utile. Les scénarios suivants sont notamment exclus du test:

  • Attaques contre le PC, l’ordinateur portable ou la tablette de l’électeur: la vérifiabilité individuelle intègre un mécanisme de sécurité face à de telles attaques. La vérifiabilité individuelle fait partie intégrante du test d’intrusion.
  • Social engineering: ces attaques mettent à profit la bonne foi ou le sentiment d’insécurité des personnes pour accéder à des informations confidentielles. Il est difficile de simuler un tel comportement lors d’un test. En outre, la vérifiabilité individuelle intègre un mécanisme de sécurité contre le social engineering auprès des électeurs. Le social engineering au sein des commissions électorales concerne les processus des cantons sur lesquels la Poste n’a aucune influence, comme le déchiffrement et le dépouillement de l’urne électronique.
  • Attaques par déni de service distribué (attaques DDoS): en principe, les attaques DDoS font partie des infrastructures de sécurité des systèmes informatiques. Chaque système connaît toutefois des limites en termes de capacité. Les attaques DDoS ne font cependant pas partie du test, car elles ne sont pas spécifiques au vote électronique et n’apporteraient aucun enseignement complémentaire. Cette limitation est normale dans le cadre d’un test d’intrusion. La Poste effectue régulièrement des tests DDoS pratiques afin de se protéger contre de telles attaques.

Pour plus de détails, veuillez vous référer au Code de conduite.

Que fera la Poste si une faille est détectée?

Réaliser un test d’intrusion public revient à s’exposer volontairement à l’ingéniosité de hackers indépendants. Il faut donc s’attendre à ce qu’ils détectent des trouvailles.

La Poste analysera les résultats du test de manière professionnelle et éliminera les erreurs et les failles pertinentes dans les meilleurs délais.

La Poste effectue-t-elle le test d’intrusion de manière transparente et crédible?

C’est en effet le cas, notamment pour les raisons suivantes:

  • Tous les scénarios d’attaque visant à consulter ou à manipuler les suffrages sont autorisés lors du test d’intrusion.
  • Tous les résultats confirmés sont publiés sur la plateforme www.onlinevote-pit.ch.
  • Chaque participant a le droit de publier ses résultats après 45 jours au maximum. Pour de nombreux tests d’intrusion, cette pratique n’est pas autorisée.
  • Il n’existe aucune restriction relative à la participation. Un enregistrement des participants est néanmoins nécessaire.
  • Les testeurs peuvent demander plusieurs cartes de vote afin de lancer des attaques multiples contre le système.
  • Le code source  du système est publié, y compris la documentation nécessaire à la vérification de tous les aspects de sécurité du système.

Avec ces conditions-cadres, la Poste répond aux exigences de la Confédération et des cantons et va parfois au-delà des pratiques du secteur informatique en matière de tests d’intrusion.

Existe-t-il des différences entre le test d’intrusion et un vrai scrutin?

Oui, il y a quelques différences, notamment:

  • La Poste va désactiver certaines mesures de sécurité du système pour permettre aux participants de se concentrer entièrement sur des attaques visant le système central. L’expérience acquise ces dernières années dans le cadre de l’exploitation permet à la Poste d’identifier rapidement les auteurs potentiels d’attaques. Les signes d’alerte y afférents sont ignorés pour le test.
  • Pour des raisons pratiques, dans le cadre du test d’intrusion, les cartes d’électeur sont envoyées par voie électronique et non par courrier. Par ailleurs, les cartes sont générées par la Poste et non par les autorités cantonales.
  • Les participants au test peuvent commander plusieurs cartes d’électeur et non une seule.

Qui peut participer au test d’intrusion?

Tout le monde peut s’inscrire. Il n’y a aucune condition particulière. Certaines personnes telles que les collaborateurs de la Poste ne peuvent toutefois pas percevoir d’indemnités.

Où les participants peuvent-ils s’inscrire?

Sur la plateforme www.onlinevote-pit.ch.

Pourquoi les participants doivent-ils s’inscrire?

L’inscription est nécessaire pour trois raisons:

  • sur le plan légal, elle confère aux participants le droit de s’attaquer au système;
  • elle garantit le versement d’une indemnité si la faille est confirmée;
  • elle permet de garantir que les participants se soumettent aux conditions de participation. C’est une étape indispensable pour garantir la tenue en bonne et due forme du test et des échanges appropriés avec les quelque 2500 participants inscrits à travers le monde.

Pourquoi le test d’intrusion est-il réalisé par une entreprise tierce? Quel rôle joue cette société dans le cadre du test d’intrusion?

La Confédération et les cantons ont chargé la société suisse SCRT SA de la mise en œuvre opérationnelle du test d’intrusion, ce qui permet de garantir l’indépendance du test réalisé et de l’évaluation initiale des résultats. SCRT SA est spécialisée dans la réalisation de tests d’intrusion. Ses tâches principales sont:

  • l’exploitation de la plateforme www.onlinevote-pit.ch dédiée aux inscriptions et à la communication des trouvailles;
  • l’examen initial des trouvailles;
  • la communication avec les participants et la coordination entre les participants et la Poste.

Où les participants peuvent-ils faire part des trouvailles? Et jusqu’à quand peuvent-ils le faire?

Les participants communiquent les trouvailles constatées jusqu’au lundi 25 mars 2019, minuit sur www.onlinevote-pit.ch.

Comment l’analyse des résultats du test se déroulera-t-il?

Lorsqu’un participant pense avoir identifié une faille, il le signale sur la plateforme www.onlinevote-pit.ch. SCRT SA, l’entreprise indépendante mandatée par la Confédération et les cantons, procèdera à un premier examen des trouvailles. Si une faille s’avère plausible, SCRT SA le transmettra à un groupe de spécialistes de la Poste. Ce dernier l’analysera et l’évaluera et, le cas échéant, essayera de la reproduire.

Suite à cette analyse, le participant apprendra s’il a effectivement identifié une faille. Après un délai d’attente de 45 jours, il peut lui-même publier la faille avérée. Pour de nombreux tests d’intrusion, cette pratique n’est pas autorisée. L'ensemble du processus est surveillé par la Confédération et les cantons.

S’agissant des résultats confirmés, les participants sont tenus de respecter les règles de publication définies dans le Code de conduite.

Pourquoi faut-il respecter un délai d’attente de 45 jours avant de publier les failles confirmées?

Chaque participant a le droit de publier ses résultats. Pour de nombreux tests d’intrusion, cette pratique n’est pas autorisée. La Poste a néanmoins fixé un délai d’attente de 45 jours maximum, qui doit être respecté par les participants avant toute publication d’une faille. De cette manière, la Poste peut procéder à un examen minutieux des failles soumises et fournir un retour fondé au participant concerné.

Quelles sont les règles en matière d’indemnisation?

Un participant reçoit une indemnité s’il est le premier à signaler une faille et que celle-ci est confirmée par la Confédération, les cantons et la Poste. Le montant de l’indemnité dépend du degré de gravité de la faille constatée. Les catégories suivantes ont été définies:

Catégorie
Indemnité minimum en CHF
Best Practice (possibilités d’optimisation non critiques)
100.–
Intrusion dans le système de vote électronique
1000.–
Altération ou détérioration de votes
5000.–
Violation avérée du secret du vote sur les serveurs
10’000.–
Manipulation des votes détectée par le système
20’000.–
Manipulation des votes non détectée par le système
De 30’000.– à 50’000.–

Vous trouverez les détails relatifs aux indemnités dans les conditions de participation.

Quelles règles les participants doivent-ils observer?

Les règles de comportement et les conditions de participation sont publiées ici. Elles déterminent par exemple ce que les participants ont le droit de tester. Les indemnités et les règles relatives à la publication des failles constatées y sont également définies.

À qui les participants doivent-ils s’adresser en cas de questions sur le test d’intrusion?

Les questions peuvent être envoyées par le biais d’un formulaire de contact sur la plateforme www.onlinevote-pit.ch.

Où le code source est-il publié?

La Poste a publié le code source ici le 7 février 2019. Il est obligatoire de s’inscrire pour pouvoir le consulter. Le code source restera disponible pour une durée indéterminée, conformément aux dispositions légales. Vous trouverez de plus amples informations sur le code source dans le billet du blog.

Le code source a-t-il «fuité», comme on a pu le lire dans les médias?

Non. N’hésitez pas à consulter notre article sur le blog à ce propos.

Des informations complémentaires sur le test d’intrusion