Samedi 21 septembre 2019 | Dernière mise à jour 21:18

Suisse La Poste: nouvelle faille découverte dans l'e-voting

Les experts en informatique qui avaient décelé la première faille à la mi-mars ont récidivé, toujours au niveau de la vérifiabilité universelle.

La Chancellerie fédérale a pris note de la découverte de la deuxième faille.

La Chancellerie fédérale a pris note de la découverte de la deuxième faille. Image: Keystone

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

Une nouvelle faille relative à la vérifiabilité universelle a été découverte dans le système d'e-voting de La Poste. Selon la Chancellerie, cela confirme la nécessité d'agir. Les processus de certification et de validation seront examinés.

La Chancellerie avait déjà indiqué le 12 mars qu'une faille de sécurité importante avait été détectée dans le code source du nouveau système d'e-voting de La Poste. Ce sont les mêmes experts en informatique qui ont décelé cette seconde faille, qui concerne également la vérifiabilité universelle.

Cette dernière permet de déterminer au moyen de preuves mathématiques que des suffrages ont été manipulés. Dans le premier cas, il a pu être établi que le système ne produisait pas de preuves mathématiques concluantes permettant d'identifier d'éventuelles manipulations. Dans le deuxième cas, la faille touche une autre partie des preuves.

Selon la Chancellerie fédérale, la manipulation arbitraire des voix ne passe certes pas inaperçue en raison de ce point faible. Toutefois, les voix peuvent être changées en voix invalides, sans que cela ne soit découvert par les preuves mathématiques. Cela est dû au fait que l'erreur s'étend également à l'examen des preuves. C'est seulement si l'on s'aperçoit des votes nuls que l'on peut conclure à une attaque.

Nécessité d'agir

Cette faille confirme une «nécessité d'agir», a indiqué lundi à Keystone-ATS René Lenzin, vice-directeur de la communication à la Chancellerie. Déjà la faille décelée le 12 mars a montré que la vérifiabilité universelle et ainsi le «coeur du système» ne fonctionne pas. Le système doit détecter quand il est manipulé.

La Poste a été invitée à examiner ses processus de sécurité et à les adapter afin d'éviter de tels défauts, indique M. Lenzin. Et de confirmer qu'avec ces failles, le système de La Poste ne répond pas aux exigences légales.

Contactée, La Poste indique qu'elle est en train de clarifier les faits. Elle est en contact avec son partenaire technologique Scytl.

L'erreur aurait dans tous les cas été détectée lors du décodage et du décompte des voix car le système de e-voting de La Poste ne permet en principe pas de donner des voix nulles, relativise le géant jaune. Il peut donc être exclu qu'avec ce scénario des voix puissent être changées ou des votations manipulées de façon inaperçue.

Plus de 3000 hackers

La nouvelle faille a été rendue publique par les initiants de l'initiative pour un moratoire sur le vote électronique. Ils ont aussi souligné lundi que les critiques ont depuis longtemps dénoncé cette vérification d'intégrité comme une «idée théorique irréalisable». Maintenant il y en a aussi la démonstration pratique.

La plateforme du test d'intrusion, qui permet de signaler des failles, fermera ce lundi à minuit. Un premier bilan devrait être tiré d'ici la fin de la semaine, selon la Chancellerie.

Le test a montré que publier le code source et effectuer un test d'intrusion public était la bonne approche, note M. Lenzin. Et d'expliquer que la prochaine étape donnerait certainement lieu à nouveau à une sorte de procédure de test. Une certification et/ou un test public seraient à nouveau envisageables.

Le test d'intrusion public du système de vote électronique de La Poste a lieu depuis le 25 février. Plus de 3000 hackers du monde entier y ont pris part. (ats/nxp)

Créé: 25.03.2019, 15h10

Publier un nouveau commentaire

Attention, une nouvelle procédure est en place. Vous devez vous inscrire ou mettre à niveau votre profil
"Le Matin" aime les débats. Mais trop d'abus ont lieu dans les forums. La politique pour commenter un sujet a changé. Vous devez créer un compte utilisateur ou compléter votre profil existant avec un numéro de téléphone mobile (vous n'en avez pas? envoyez une demande à l'adresse lm.online@lematin.ch). Nous vous prions d’utiliser votre nom complet. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de penser que de nombreuses personnes vous lisent. Et bon débat!
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.