Payés pour pirater le vote électronique de La Poste

CybersécuritéLe système sera soumis dès ce lundi à un test d'intrusion par des hackers. Pas de quoi faire taire les critiques.

Les meilleurs se répartiront un prix de 250'000 francs, en fonction de la rapidité et du niveau de gravité de la faille détectée. Image d'illustration.

Les meilleurs se répartiront un prix de 250'000 francs, en fonction de la rapidité et du niveau de gravité de la faille détectée. Image d'illustration. Image: AFP

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

Comment savoir si un système informatique est infaillible? En proposant aux hackers du monde entier de l’attaquer, contre rémunération. C’est en tout cas l’idée de la Confédération et de La Poste Suisse pour tester la fiabilité de son programme de vote électronique. Du 25 février au 24 mars, le système d’e-voting destiné notamment au Canton de Neuchâtel dès 2020 sera soumis à un véritable stress test: pendant un mois, les pirates informatiques auront le loisir de lancer des attaques contre le système, en tentant de manipuler les résultats d’un scrutin fictif, de lire les suffrages exprimés, de violer le secret du vote ou encore de mettre hors service les dispositifs de sécurité.

Plus de 2500 hackers inscrits

Les hackers sont plus de 2500 à s’être inscrits depuis les quatre coins du globe sur le site créé à cet effet. «Un succès», se réjouit la porte-parole de La Poste Nathalie Dérobert Fellay. Si un quart sont Suisses, les autres viennent des États-Unis, de France, d’Inde, de Turquie ou encore de Roumanie. En tout, près d’une vingtaine de pays sont représentés. Les meilleurs se répartiront un prix de 250'000 francs, en fonction de la rapidité et du niveau de gravité de la faille détectée.

Depuis le début des années 2000, dix cantons se sont lancés dans le scrutin électronique. Deux systèmes ont jusqu’ici été testés, celui de La Poste et celui développé par l’État de Genève. Ce dernier, déclaré trop coûteux, sera abandonné dès 2020. Reste donc le système du géant jaune pour passer de la phase expérimentale à la définitive. Mais la fiabilité du système est, comme l’était le genevois, régulièrement remise en doute. En le soumettant à ce test public, La Poste tient ainsi à prouver sa volonté d’offrir un système sans faille.

«Farce à 250'000 francs»

Mais pour les opposants au vote électronique, la démarche ne suffit pas, bien au contraire. Un comité interpartis a lancé l’initiative «pour une démocratie sûre et digne de confiance», demandant de suspendre les essais du vote électronique, le jugeant faillible et dangereux. Pour l’ancien conseiller national (PS/VD) et membre du comité Jean Christophe Schwaab, le test d’intrusion est une «farce à 250'000 francs».

En cause, le protocole édicté par La Poste, qui interdit un certain nombre de méthodes. Les règles du test stipulent que les attaques dites de «déni de services» (DDoS) sont interdites. Celles-ci comprennent, entre autres, de rendre indisponible le système, d’espionner des opérateurs ou des employés de La Poste. Les techniques visant à espionner les électeurs sont également prohibées. «Il s’agit justement des méthodes que le crime organisé ou des services de renseignements étatiques pourraient utiliser», commente le Vaudois. Une inquiétude relayée mercredi dernier au Grand Conseil neuchâtelois, à travers deux interpellations déposées par des députés Vert et PLR.

«Outre le vote électronique, La Poste exploite différents systèmes critiques, tels que le système d’e-banking de PostFinance, défend Nathalie Dérobert Fellay. Elle effectue régulièrement des tests DDoS pratiques pour prévenir de telles attaques. Elle connaît donc relativement bien les limites de disponibilité du réseau et des différentes séries de systèmes, ainsi que les possibilités de réaction.»

«Une étape importante»

Christian Folini, spécialiste en sécurité informatique et conférencier à l’événement Insomni’Hack de Genève, prend la défense de La Poste, dont il est aussi le consultant. «Très peu d’entreprises autorisent les attaques de déni de services lors d’un test d’intrusion public. Comment La Poste pourrait-elle autoriser les hackers à viser personnellement ses employés? s’interroge-t-il. Il existe de plus de meilleures méthodes pour éprouver la fiabilité d’un système.»

Pour Christian Folini, il faut surtout retenir le fait que La Poste autorise la publication des résultats du test, ce qui est très rare dans ce type de procédure. «C’est aussi la première entreprise suisse à avoir balisé les conditions légales afin d’éviter que les hackers ne se retrouvent en prison, ajoute le spécialiste. Le test doit ainsi être considéré comme une étape importante dans le développement de la cybersécurité en Suisse.»

Créé: 24.02.2019, 17h31

Articles en relation

Vote électronique: «une vaste supercherie»

E-voting Les députés neuchâtelois Lionel Rieder et Fabien Fivaz ont interpellé le Grand Conseil. Ils doutent de la sécurité du système de vote en ligne dans leur canton. Plus...

«Un seul hacker peut falsifier l’ensemble d’un vote»

Démocratie Une initiative populaire est lancée ce vendredi pour s'opposer au vote électronique, que le Conseil fédéral souhaite faciliter. Le Vaudois Jean-Christophe Schwaab est à la manoeuvre. Plus...

Le vote électronique en Suisse a du plomb dans l'aile

Initiative populaire Des élus interpartis veulent tuer le e-voting, qui «sape les fondements de la démocratie». Une tuile de plus pour la Confédération. Plus...

Publier un nouveau commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous vous prions d’utiliser votre nom complet, la discussion est plus authentique ainsi. Vous pouvez vous connecter via Facebook ou créer un compte utilisateur, selon votre choix. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.