Les hackers invités à pirater le système de vote électronique suisse
Les hackers invités à pirater le système de vote électronique suisse
Par Simon Auffret
Chargée du principal système d’« e-voting », la poste suisse organise une fausse élection et récompense tout développeur qui parviendrait à la pirater. Un moyen de répondre aux critiques du dispositif, critiqué pour son manque de fiabilité et de transparence.
A Fribourg, le 18 octobre 2015. / FABRICE COFFRINI / AFP
Depuis le lundi 25 février et jusqu’au 24 mars, 2 700 hackers du monde entier ont l’autorisation d’attaquer et de pirater le système électoral suisse. La Swiss Post a lancé, lundi à midi, une fausse élection pour soumettre à tous de possibles failles de sécurité dans le logiciel de vote électronique de son partenaire espagnol, Scytl, propriétaire du seul système certifié dans le pays à mener ce type de consultation.
Pour ce faire, chaque hacker a reçu une carte d’électeur, ainsi qu’un accès au code source de la plate-forme de vote. En révélant l’identité d’un autre votant sur les serveurs suisses, un développeur pourra être récompensé de 10 000 francs suisses – environ 8 800 euros. La récompense double s’il parvient à modifier un vote après le passage d’un internaute, et triple si cette falsification reste indétectable aux yeux de tous.
Soutenue par la Confédération, la poste suisse a mis au total 132 000 euros sur la table pour tester les 270 000 lignes de codes censées garantir un scrutin sécurisé, dans un pays pionner du vote électronique : les premiers essais ont eu lieu dès les votations fédérales de 2004, à Genève.
Débats sur la fiabilité du vote électronique
De telles opérations de « bug bounty » ou « pentest » – pour « test de pénétration » – sont menées par de nombreuses entreprises, soucieuses de vérifier en permanence la solidité de leur site Web ou de leur logiciel. Aux Etats-Unis, un rapport des agences fédérales et de renseignement conseillait en 2016 à toute organisation de « mener un test de pénétration chaque année » pour se protéger au mieux des « ransomware », ces virus qui chiffrent les données d’ordinateurs et demandent une rançon pour pouvoir les récupérer. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) tente depuis plusieurs années de séduire la large communauté des « hackers éthiques » pour renforcer ses techniques de défense informatique et se protéger des attaques.
En Suisse, la votation électronique existe déjà dans quatorze cantons, dans lesquels une partie de la population seulement peut utiliser ce moyen de vote. Soutenu par les Suisses habitant à l’étranger, qui y voient une manière de participer simplement aux nombreuses votations organisées chaque année dans le pays, le vote électronique soulève également l’opposition de plusieurs élus et experts de la sécurité informatique.
Le 25 janvier, un comité a lancé une initiative populaire pour demander un moratoire de cinq ans sur le vote électronique, en exigeant que « la sécurité passe avant la précipitation » : à au moins trois reprises depuis 2013, un outil de vote développé par le canton de Genève a été détourné – par le journaliste Joël Boissard, l’informaticien Sébastien Andrivet, puis en novembre par l’antenne suisse du Chaos Computer Club, un collectif de hackers. Utilisé plus de 150 fois dans différents cantons suisses, il a finalement été abandonné, sa mise à niveau demandant un investissement jugé trop important.
Un problème de « confiance »
Les résultats de la fausse élection organisée par la poste et Scytl n’en seront que plus scrutés en Suisse, alors que les autorités souhaitent depuis 2017 généraliser le vote électronique à tous les scrutins. « Le vote numérique, on est pour en soi, mais il y a trop de risques dans la balance, explique Hernâni Marques, porte-parole du Chaos Computer Club en Suisse. Cela pourrait aboutir à une perte de confiance dans une démocratie qui, selon moi, fonctionne par ailleurs très bien. »
Pour le hacker, « le problème fondamental n’est pas celui de la sécurité, mais celui de la confiance » : contrairement à l’envoi d’un courriel ou un transfert bancaire en ligne, il est difficile pour le votant de constater une preuve tangible du résultat de son vote. La complexité du programme informatique rend incompréhensible son fonctionnement pour une grande majorité des citoyens. Hernâni Marques ajoute :
« De plus, le code n’est pas open source : l’accès y est limité et très restrictif. La documentation de fonctionnement est incomplète, il nous est donc impossible de simuler l’organisation d’un vote par nous-même pour tester l’ensemble du système. »
« Privatisation du processus électoral »
Conseiller municipal du canton vaudois, le socialiste Jean-Christophe Schwaab, soutien du moratoire contre le vote électronique, a lui souligné une « privatisation du processus électoral » en l’absence d’alternative au système de la poste et de Scytl, qu’il juge « incompatible avec l’essence même du vote électronique ». Selon lui, l’impossibilité d’un audit public complet de l’outil empêche toute confiance des citoyens dans le dispositif.
Fondée en 2001, Scytl est bien connue en Suisse : le canton de Neufchâtel a été le premier client de l’entreprise, qui a depuis travaillé dans plus de quarante pays, dont l’Equateur et la Norvège, et était présent dans 1 400 circonscriptions américaines lors des élections présidentielles de 2012 – un parcours décrit dans une enquête publiée par le média en ligne Republik. La large diffusion de l’outil, ainsi que l’absence de piratage d’ampleur constaté jusqu’à aujourd’hui sur le programme de vote en ligne, ne suffit cependant pas à convaincre Hernâni Marques. Le développeur est catégorique : « Le vote papier reste, pour l’instant, un système plus sécurisé que le vote numérique. »