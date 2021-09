La plateforme de sécurité crowdsourcée YesWeHack aide La Poste Suisse à sécuriser la confiance numérique de la Confédération helvétique

septembre 2021 par Marc Jacob

YesWeHack s’associe à La Poste Suisse dans le cadre du lancement de son programme public de Bug Bounty pour sécuriser le futur système de vote électronique de la Suisse. La Poste Suisse vient en effet d’annoncer la publication du code source de son système de vote électronique, et invite les chercheurs du monde entier à examiner les principes cryptographiques sous-jacents pour y déceler des erreurs potentielles, et tester plus de 150 000 lignes de code.

La Poste Suisse est l’organisation postale nationale de la Suisse. Aujourd’hui, l’organisation étend son domaine de compétence à la numérisation de son système de vote.

Le vote électronique a été introduit pour la première fois en Suisse en 2003. Les systèmes de vote électronique doivent répondre à des exigences élevées, conformément aux dispositions légales fédérales sur la sécurité, la fiabilité, le secret du vote et la vérifiabilité. Celles-ci constituent le cadre de l’architecture du système. Ces systèmes doivent passer au travers d’innombrables tests de qualité et à des attaques simulées de pirates informatiques avant d’être approuvés pour des votes réels. Seule une solution de vote électronique transparente garantira son succès à long terme. Ainsi, la coopération avec des experts en sécurité indépendants et de confiance est indispensable pour développer et améliorer le système en continu.

La divulgation du futur système de vote électronique entièrement vérifiable a commencé début 2021 et se déroule par phases. Le processus a débuté à un stade précoce afin de disposer de suffisamment de temps pour corriger les vulnérabilités signalées. De tels actifs très spécifiques nécessitent des compétences uniques, l’engagement des chercheurs les plus fiables, et seule une organisation solide peut se voir confier un projet aussi stratégique.

L’année dernière, la Poste Suisse a lancé un programme privé de Bug Bounty avec YesWeHack, invitant plus de 800 chercheurs en sécurité du monde entier à tester le système de vote électronique. Suite à ce premier succès, l’organisation passe à un programme public de Bug Bounty. Afin d’encourager les experts en sécurité, La Poste Suisse versera une récompense relativement élevée pouvant aller jusqu’à 230 000 euros pour les vulnérabilités critiques confirmées dans le vote électronique.

Marcel Zumbühl, responsable de la sécurité de l’information à La Poste Suisse, explique : « Nous désirons bénéficier des services des meilleurs spécialistes et hackers dans le monde. C’est pourquoi nous misons sur des récompenses élevées pour toute faille avérée dans notre système de vote électronique. À l’échelle internationale, ces récompenses ne sortent pas de l’ordinaire dans le domaine, mais elles sont sensiblement plus élevées que la moyenne des programmes de Bug Bounty proposés par la Poste et en Suisse, du fait notamment de l’ampleur et de la complexité du système de vote électronique. »

En France, la CNIL exige que certaines garanties soient respectées pour le bon déroulement du vote électronique, comme le secret du vote, la protection des données personnelles, l’impossibilité de relier l’électeur à son bulletin, mais surtout l’expertise des systèmes des codes sources, des mécanismes de scellement et de chiffrement par un expert indépendant formé par la CNIL, et la possibilité donnée à une commission électorale de contrôler l’effectivité de ces mesures de sécurité. Après quelques tentatives, la France n’a finalement utilisé que ponctuellement le système de vote électronique depuis 2002. Compte tenu des risques induits par le vote électronique, seuls quelques pays en Europe ont lancé de tels projets à ce jour. Ce programme ouvre ainsi la voie pour les pays de l’Union européenne désireux de renforcer la confiance numérique de leurs citoyens.

En Suisse, le vote électronique est l’un des composants technologiques les plus importants de la Confédération helvétique, car il est au cœur de la démocratie directe suisse. Le Bug Bounty est considéré au niveau mondial comme la solution la plus aboutie pour détecter les vulnérabilités, et les organisations de toutes tailles se tournent vers celui-ci pour sécuriser leurs actifs numériques.

« La plus ancienne, mais aussi l’une des démocraties les plus avancées au monde, s’appuie sur YesWeHack pour sécuriser ce pilier de la citoyenneté. La sécurité crowdsourcée joue un rôle crucial dans la construction de la confiance des citoyens, et YesWeHack est fier d’être le partenaire de choix pour gérer le programme de Bug Bounty de la Poste Suisse. En toute objectivité, et en considérant tous les aspects du projet, il s’agit du programme de Bug Bounty public le plus ambitieux, le plus stratégique et le plus "sensible" jamais lancé. C’est un pas en avant audacieux et un tournant décisif. Avec le vote électronique, la démocratie directe et les traditions des droits politiques suisses vont finalement passer à l’ère numérique en toute confiance », a déclaré Guillaume Vassault-Houlière, le PDG et cofondateur de YesWeHack.