Les cantons mènent depuis 2004 des essais de vote électronique lors de scrutins fédéraux dans les limites fixées par le droit fédéral. La Poste Suisse a développé un système proposant la vérifiabilité complète. Cette dernière, qui permet un recours au vote électronique à plus grande échelle, garantit l’identification des dysfonctionnements systématiques à la suite d’erreurs logicielles, d’erreurs humaines ou de tentatives de manipulation. Le droit fédéral exige non seulement que ce système soit certifié avant sa première utilisation, mais aussi que le code source soit publié.
Soumis à une attaque
Qui plus est, la Confédération et les cantons ont décidé que les systèmes de vote électronique proposant la vérifiabilité complète devraient passer un test public d’intrusion avant leur première utilisation. Un test d’intrusion – également appelé test de pénétration – sert à tester la sécurité d’un système en le soumettant à une attaque. Un test de ce type est déjà réalisé dans le cadre de la procédure de certification menée par un organe accrédité. En organisant de surcroît un test public d’intrusion, on donnera à un grand nombre de personnes la possibilité de tester la sécurité du système.
La Confédération et les cantons ont fixé des exigences communes qui s’appliqueront au test public d’intrusion. Ces exigences obligent le fournisseur du système de vote électronique à mettre ce dernier à disposition pour le test pendant quatre semaines. Les hackeurs qui participeront au test tenteront de manipuler des suffrages, de lire des suffrages exprimés, de violer le secret du vote et de mettre hors-service ou de contourner les dispositifs de sécurité qui protègent aussi bien les suffrages que les données inhérentes à la sécurité. La documentation relative au système et le code source devront avoir été publiés avant la réalisation du test.
Evaluation
La Poste Suisse mettra son système à disposition, du 25 février au 24 mars 2019, pour la réalisation du test public d’intrusion. La société SCRT, spécialisée dans les tests d’intrusion, enregistrera les participants pour le compte de la Confédération et des cantons. Elle évaluera ensuite les réponses et rendra ses conclusions dès que possible.
La Confédération et les cantons alloueront un montant de 250 000 francs suisses pour la réalisation du test public d’intrusion, conformément au plan stratégique de la cyberadministration suisse, dont 150 000 francs à titre de contribution à la couverture des frais à la charge de La Poste Suisse. La société SCRT recevra quant à elle la somme de 100 000 francs. Les personnes qui communiqueront des failles de sécurité permettant de tirer des enseignements particulièrement précieux recevront une indemnité financière. La Poste Suisse fixera le montant des indemnités en question et procédera à leur versement.
Les personnes désireuses de participer au test peuvent s’inscrire sur le site https://onlinevote-pit.ch, où elles trouveront toutes les informations concernant les modalités du test.