Suisse: une faille de sécurité "majeure" dans le système de vote en ligne

En février dernier, la Chancellerie fédérale suisse annonçait le lancement d’un “bug bounty”, un “concours” destiné aux hackers afin de tester la fiabilité du futur système de vote électronique, mis en place par La Poste Suisse. L’opération s’est révélée payante. Il n’aura fallu que quelques jours à une équipe de chercheurs de l’Université catholique de Louvain pour trouver une faille, qui remet en cause la fiabilité du système.

Au cours de leurs recherches, Olivier Pereira, Sarah Jamie Lewis et Vanessa Teague ont découvert une vulnérabilité dans le code informatique qui permet d’altérer le système de vérification des votes, justement chargé de détecter une éventuelle fraude. Si la faille en elle-même ne concerne pas directement le fait de manipuler des votes, elle pourrait altérer l’analyse des outils de sécurité, chargés de détecter une telle manipulation. Concrètement, il serait alors impossible d’affirmer avec certitude qu’un scrutin s’est déroulé sans piratage extérieur.

“Lors d’élections classiques, une personne ne peut à elle seule manipuler l’ensemble des votes sans se faire repérer. Cela est rendu possible par un tel système” regrette Matthew Green, chercheur en cryptographie à l’université Johns-Hopkins, interrogé par le site américain Motherboard.

Les votes précédents ne seraient pas concernés

La faiblesse a rapidement été reconnue par la Chancellerie fédérale. “Dans le cadre du test public d’intrusion et suite à la publication du code source, plusieurs chercheurs ont mis en évidence le 12 mars 2019 une faille affectant le nouveau système de vote électronique développé par La Poste Suisse, jugée majeure par la Chancellerie fédérale” explique-t-elle dans un communiqué de presse.

En Suisse, le vote électronique est utilisé depuis 2003, mais limité à une part définie des inscrits sur les listes électorales - 50% des votants d’un canton au maximum. Le but des autorités est de mettre ce système à disposition du plus grand nombre, après avoir évalué sa fiabilité. Sur son site, la Chancellerie rappelle que le système de vote mis à l’épreuve est différent de celui qui a été utilisé lors des précédents scrutins.

Dans un article publié sur le blog Decryptage, Olivier Pereira précise qu’il est possible de faire évoluer le code pour supprimer cette vulnérabilité. Les tests autour de ce nouvel outil de vote en ligne se poursuivront jusqu’au 24 mars, afin de détecter d’éventuelles failles supplémentaires.