Actualité de l’examen public

Développement continu du système de vote électronique: signalement des spécialistes

Cet article est régulièrement mis à jour (état: 11.04.2022).

Au début de l’année 2021, la Poste a lancé un programme de la Communauté relatif au vote électronique et a publié les composants et documents essentiels de la version bêta de son futur système de vote électronique. Ceci est une mesure de cyber-sécurité. En collaboration avec les spécialistes internationaux, la Poste entend identifier et supprimer la moindre faille afin de maintenir en permanence le plus haut niveau de sécurité possible pour le système.

Cette page contient une description de tous les constats confirmés dont la Poste juge le degré de gravité élevé ou critique après réalisation d’une analyse technique approfondie. Les données sont mises à jour régulièrement.

Aperçu des constats

État 11.05.2022
Nombre de signalements 138
Nombre de constats à niveau de gravité élevé 4
Nombre de constats niveau à gravité critique 0
Total des récompenses versées € 102 500

Constats confirmés à degré de gravité élevé ou critique

La Poste publie l’intégralité de son futur système de vote électronique de manière pérenne. Des spécialistes ont la possibilité d’analyser les documents et de tester le code source. Dans le cadre du programme bug bounty, la Poste verse des récompenses pour toute faille confirmée. Il s’agit là de mesures de cybersécurité et de pratiques d’excellence à l’échelle internationale visant à maintenir le plus haut degré de sécurité. L’objectif de ces mesures est d’identifier suffisamment tôt les éventuelles failles dans le système sur la base des signalements et de les éliminer.

Toutes les signalement fourns, qui comportent des questions, des remarques et des constats, sont publiés sur la plateforme spécialisée GitLab.

Ci-dessous vous trouvez une description régulièrement mise à jour de tous les constats confirmés dont la Poste juge le degré de gravité élevé ou critique après réalisation d’une analyse technique approfondie.

Ces constats sont classés chronologiquement suivant leur date de publication sur GitLab.

Issue #5 (e-voting) SDM - Insecure USB file handling during 'importOperation'
Issue #1 (e-voting) Insufficient Signature Validation of the Election Public Key resulting in possible attacks against individual verifiability
Issue #11 (e-voting documentation) Risk of privacy breach due to the CCMs not checking the ZKP before mix-decrypting
Issue #2 (e-voting documentation) The algorithm GenCMTable allows an adversary to recover the election event's set of possible short return codes