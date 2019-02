Comment savoir si un système informatique est infaillible? En proposant aux hackers du monde entier de l’attaquer, contre rémunération. C’est en tout cas l’idée de la Confédération et de La Poste Suisse pour tester la fiabilité de son programme de vote électronique. Du 25 février au 24 mars, le système d’e-voting destiné notamment au Canton de Neuchâtel dès 2020 sera soumis à un véritable stress test: pendant un mois, les pirates informatiques auront le loisir de lancer des attaques contre le système, en tentant de manipuler les résultats d’un scrutin fictif, de lire les suffrages exprimés, de violer le secret du vote ou encore de mettre hors service les dispositifs de sécurité.

Plus de 2500 hackers inscrits

Les hackers sont plus de 2500 à s’être inscrits depuis les quatre coins du globe sur le site créé à cet effet. «Un succès», se réjouit la porte-parole de La Poste Nathalie Dérobert Fellay. Si un quart sont Suisses, les autres viennent des États-Unis, de France, d’Inde, de Turquie ou encore de Roumanie. En tout, près d’une vingtaine de pays sont représentés. Les meilleurs se répartiront un prix de 250'000 francs, en fonction de la rapidité et du niveau de gravité de la faille détectée.

Depuis le début des années 2000, dix cantons se sont lancés dans le scrutin électronique. Deux systèmes ont jusqu’ici été testés, celui de La Poste et celui développé par l’État de Genève. Ce dernier, déclaré trop coûteux, sera abandonné dès 2020. Reste donc le système du géant jaune pour passer de la phase expérimentale à la définitive. Mais la fiabilité du système est, comme l’était le genevois, régulièrement remise en doute. En le soumettant à ce test public, La Poste tient ainsi à prouver sa volonté d’offrir un système sans faille.

«Farce à 250'000 francs»

Mais pour les opposants au vote électronique, la démarche ne suffit pas, bien au contraire. Un comité interpartis a lancé l’initiative «pour une démocratie sûre et digne de confiance», demandant de suspendre les essais du vote électronique, le jugeant faillible et dangereux. Pour l’ancien conseiller national (PS/VD) et membre du comité Jean Christophe Schwaab, le test d’intrusion est une «farce à 250'000 francs».

En cause, le protocole édicté par La Poste, qui interdit un certain nombre de méthodes. Les règles du test stipulent que les attaques dites de «déni de services» (DDoS) sont interdites. Celles-ci comprennent, entre autres, de rendre indisponible le système, d’espionner des opérateurs ou des employés de La Poste. Les techniques visant à espionner les électeurs sont également prohibées. «Il s’agit justement des méthodes que le crime organisé ou des services de renseignements étatiques pourraient utiliser», commente le Vaudois. Une inquiétude relayée mercredi dernier au Grand Conseil neuchâtelois, à travers deux interpellations déposées par des députés Vert et PLR.

«Outre le vote électronique, La Poste exploite différents systèmes critiques, tels que le système d’e-banking de PostFinance, défend Nathalie Dérobert Fellay. Elle effectue régulièrement des tests DDoS pratiques pour prévenir de telles attaques. Elle connaît donc relativement bien les limites de disponibilité du réseau et des différentes séries de systèmes, ainsi que les possibilités de réaction.»

«Une étape importante»

Christian Folini, spécialiste en sécurité informatique et conférencier à l’événement Insomni’Hack de Genève, prend la défense de La Poste, dont il est aussi le consultant. «Très peu d’entreprises autorisent les attaques de déni de services lors d’un test d’intrusion public. Comment La Poste pourrait-elle autoriser les hackers à viser personnellement ses employés? s’interroge-t-il. Il existe de plus de meilleures méthodes pour éprouver la fiabilité d’un système.»

Pour Christian Folini, il faut surtout retenir le fait que La Poste autorise la publication des résultats du test, ce qui est très rare dans ce type de procédure. «C’est aussi la première entreprise suisse à avoir balisé les conditions légales afin d’éviter que les hackers ne se retrouvent en prison, ajoute le spécialiste. Le test doit ainsi être considéré comme une étape importante dans le développement de la cybersécurité en Suisse.» (24 heures)