Tests d’intrusion du vote électronique de la Poste : une farce!

Malgré les résultats inquiétants des précédentes tentatives d’intrusion, La Poste persiste à soumettre son système de vote électronique à un test officiel de piratage («test d’intrusion »). 400 personnes du Monde entier doivent, en échange d’argent de poche, tester à nouveau ce système peu fiable. Le comité d’initiative « pour une démocratie sûre et digne de confiance (moratoire sur le vote électronique) » est consterné par la vanité decet exercice.

Depuis l’an 2000, la Confédération tente d’instaurer le vote électronique. Elle souhait que les deux tiers des cantons l’introduisent d’ici à 2019. Force est de constater que les cantons ne partagent pas cette euphorie. Plusieurs cantons-pilote ont en effet annoncé vouloir renoncer à leurs essais. Le dernier en date est celui du Jura, en décembre dernier. Peu de temps avant, le canton de Genève avait décidé d’abandonner en 2020 son propre système qu’il développait depuis plus de 10 ans, prétendument pour des raisons de coûts. Les faiblesses de ce système venaient d’avoir été démontrées avec brio par le Chaos Computer Club Suisse (CCC-CH) : son attaque est entrée dans le système comme un couteau dans du beurre. Le CCC-CH fait partie des plus ardents défenseurs d’un moratoire sur le vote électronique.

Pour Jean Christophe Schwaab, ancien conseiller national PS/VD et membre du comité d’initiative, le test d’intrusion est « une farce à 250’000.—Fr. Prétendre exclure toutes les méthodes de piratages pertinentes est une illusion ».

En effet, le protocole du « test d’intrusion » interdit toutes les méthodes de piratages qui seraient utiles pour falsifier efficacement des élections ou votations. Il s’agit justement des méthodes que le crime organisé ou des services de renseignements étatiques pourraient utiliser. En outre, ces derniers ne seront jamais prêts à dévoiler leur cyber arsenal à la Confédération ou à La Poste pour des montants aussi dérisoires que 100, ou même 5000 francs. Le Conseiller national Franz Grüter, président du comité d’initiative, dit : «La sécurité du vote électronique n’est pas à vendre. Des hackers professionnels habitués du Darknet n’accepteront jamais de se montrer en public et encore moins de s’enregistrer auprès d’une autorité. En outre, les State-Hacker travaillent à un niveau bien plus pointu et ne participent jamais à des tests officiels d’intrusion ».

Pour Nicolas A. Rimoldi, chef de campagne de l’initiative, ce concours de hacking avec 400 participants ne mènera pas bien loin : « Les conclusions les plus importantes sont déjà connues : le vote électronique suisse n’est pas fiable et les objectifs qu’on lui attribue (hausse de la participation, en particulier des jeunes technophiles) sont inatteignables. La Poste ne semble intéressée qu’à précipiter les choses, la sécurité n’est pas sa priorité. Les possibilités d’attaques récemment dévoilées par le CCC-CH restent malheureusement d’actualité et pourraient être utilisées lors de la votation du 10 février (dans 10 cantons avec le système genevois, dans 4 avec celui de La Poste). On ne saurait donc parler de « la sécurité avant la précipitation ». La Confédération continue d’autoriser le vote électronique à propos de l’initiative contre le mitage du territoire, une attitude totalement irresponsable. Force est enfin de constater que La Poste et Scytl admettent n’avoir aucune solution contre les cyber-risques les plus courant. Il faut en déduire que la sécurité n’est pas garantie ». Rimoldi considère que les autorités font preuve d’arrogance en invitant des services secrets et des organisations criminelle à tester leur cyberarsenal contre paiement. « Le test d’intrusion de La Poste n’est qu’un coup médiatique qui vise à détourner l’attention des vrais défauts du système ».

Par ailleurs, les modalités de la publication (partielle) du code-source ne sont pas praticables : les éventuelles failles qui pourraient être révélées ne peuvent pas être discutées en public en vue de trouver des solutions, mais doivent être communiquées exclusivement à La Poste. Cette façon de faire ne correspond pas aux usages des milieux de la sécurité informatique. Dans un domaine aussi sensible que le vote électronique, la transparence la plus complète et des logiciels en licence libre seraient la moindre des choses. Jusqu’ici, La Poste et son partenaire espagnol Scytl ont échoué sur toute la ligne en la matière.

L’obstination de la Confédération à introduire le vote électronique isolerait par ailleurs notre pays : à part l’Estonie, tous les pays européens y ont renoncé.

Seul le moratoire permettrait une pause de cinq ans. Ce laps de temps pourrait être mis à profit pour combler les lacunes évidentes des systèmes actuels et tester leur résistance dans de bonnes conditions. L’importance politique de ce sujet exige aussi que la question de son coût soit débattue ouvertement. La Confédération n’atteint en effet pas les très coûteux standards de sécurité en vigueur dans les assurances, les banques ou l’industrie de l’armement (Ruag). Malgré leurs mesures coûteuses, ces acteurs sont pourtant régulièrement victimes de piratages.

Visiblement, la critique interne contre le vote électronique est interdite à la Confédération. Selon le Tages-Anzeiger (15.10.2017) une directive interne commandant aux collaborateurs « de ne rien dire de négatif sur la sécurité du vote électronique » circule. Cet article n’a jusqu’ici pas été démenti. Pour Nicolas Rimoldi, voilà qui va à l’encontre des usages de la communauté de la sécurité informatique, qui ne prône pas seulement de combler les failles de sécurité, mais aussi d’en parler sans tabous autour de soi.

Comité d’initiative « pour une démocratie sûr et digne de confiance »