Développement continu du système de vote électronique: signalement des spécialistes
Au début de l’année 2021, la Poste a lancé un programme de la Communauté relatif au vote électronique et a publié les composants et documents essentiels de la version bêta de son futur système de vote électronique. Ceci est une mesure de cyber-sécurité. En collaboration avec les spécialistes internationaux, la Poste entend identifier et supprimer la moindre faille afin de maintenir en permanence le plus haut niveau de sécurité possible pour le système.
Cette page contient une description de tous les constats confirmés dont la Poste juge le degré de gravité élevé ou critique après réalisation d’une analyse technique approfondie. Les données sont mises à jour régulièrement.
Aperçu des constats
| État | 02.05.2023 |
|---|---|
| Nombre de signalements | 237 |
| Nombre de constats à niveau de gravité élevé | 4 |
| Nombre de constats niveau à gravité critique | 0 |
| Total des récompenses versées | € 149 950 |
Constats confirmés à degré de gravité élevé ou critique
La Poste publie l’intégralité de son futur système de vote électronique de manière pérenne. Des spécialistes ont la possibilité d’analyser les documents et de tester le code source. Dans le cadre du programme bug bounty, la Poste verse des récompenses pour toute faille confirmée. Il s’agit là de mesures de cybersécurité et de pratiques d’excellence à l’échelle internationale visant à maintenir le plus haut degré de sécurité. L’objectif de ces mesures est d’identifier suffisamment tôt les éventuelles failles dans le système sur la base des signalements et de les éliminer.
Toutes les signalement fourns, qui comportent des questions, des remarques et des constats, sont publiés sur la plateforme spécialisée GitLab.
Ci-dessous vous trouvez une description régulièrement mise à jour de tous les constats confirmés dont la Poste juge le degré de gravité élevé ou critique après réalisation d’une analyse technique approfondie.
Ces constats sont classés chronologiquement suivant leur date de publication sur GitLab.
Date: septembre 2021
Personne ayant signalé l’erreur: Ruben Santamarta
Degré de gravité: élevé
Description: l’erreur décrite montre qu’une attaque sur une instance hors ligne du Secure Data Manager (SDM) est possible si une personne mal intentionnée réussit à sauvegarder un logiciel malveillant sur un support de données crypté employé pour l’acheminement physique des données entre les ordinateurs en ligne et hors ligne. Le programme SDM permet au canton de mettre en place le scrutin électronique avant chaque élection ou votation. Ce programme fonctionne sur plusieurs ordinateurs hors ligne et un ordinateur en ligne au sein de l’infrastructure cantonale. En exploitant cette erreur, un pirate pourrait ainsi compromettre la bonne configuration du scrutin électronique en passant par un ordinateur hors ligne.
La possibilité d’attaque se situe au moment où les données importées sont validées et pourrait être facilitée par l’absence actuelle de restriction définissant quelles données peuvent être importées dans le répertoire SDM.
Statut et solution: SDM - Insecure USB file handling during 'importOperation'Target not accessible
Date: octobre 2021
Auteur: analyse des experts indépendants de la Confédération (auteurs: V. Teague, O. Pereira et Th. Haines), qui a permis à l’équipe Vote électronique de la Poste de déceler l’erreur
Degré de gravité: élevé
Description: l’erreur permettrait à un attaquant qui a réussi à prendre le contrôle du client de vote, du serveur du vote et d’une composante de contrôle, de mettre en péril la vérifiabilité individuelle. L’attaquant pourrait alors falsifier une clé publique − composante cryptographique employée dans la transmission sécurisée et intacte d’un message adressé à l’électeur − et ainsi réussir à la faire accepter aux autres composantes de contrôle. L’électeur lui-même ne serait donc pas en mesure de constater que son vote a été invalidé. En d’autres termes, la vérifiabilité individuelle ne serait pas garantie. L’attaque serait néanmoins identifiée lors de la vérification des votes effectuée par le canton.
Statut et solution: Insufficient Signature Validation of the Election Public Key resulting in possible attacks against individual verifiability
Date: juin 2021
Auteur: Pierrick Gaudry, Véronique Cortier, Alexandre Debant
Degré de gravité: élevé
Description: si un attaquant réussit à prendre le contrôle de certaines parties de l’infrastructure du serveur de la Poste et de la dernière composante de contrôle hors-ligne gérée par le canton, il pourrait profiter de l’erreur pour violer le secret du vote de plusieurs voix. En effet, les composantes de contrôle actuelles ne vérifient pas si une urne donnée appartient à un scrutin en particulier. Elles ne contrôlent pas non plus si les votes d’une urne ont déjà été mélangés et déchiffrés.
Statut et solution: Risk of privacy breach due to the CCMs not checking the ZKP before mix-decrypting
Date: février 2021
Auteur: Thomas Haines
Degré de gravité: élevé
Description: un attaquant qui parvient à pénétrer dans l’infrastructure de vote électronique pourrait mettre à profit l’erreur décrite pour avoir accès à des informations lui permettant de découvrir des codes de vérification et le code de confirmation. Il pourrait en profiter pour indiquer à l’électeur le bon enregistrement de son vote, tout en enregistrant en arrière-plan son vote de manière falsifiée.
Statut et solution: The algorithm GenCMTable allows an adversary to recover the election event's set of possible short return codes