2019-03-14 22:47

Ils ont trouvé la faille dans le système d’e-voting

Démocratie

Des chercheurs ont identifié en quelques jours une grave lacune dans le logiciel de vote électronique de La Poste. Ils racontent.

Vanessa Teague (professeure à l’Université de Melbourne), Olivier Pereira (professeur à l’Université catholique de Louvain) et Sarah Jamie Lewis (directrice d’Open Privacy).

Vanessa Teague (professeure à l’Université de Melbourne), Olivier Pereira (professeur à l’Université catholique de Louvain) et Sarah Jamie Lewis (directrice d’Open Privacy).

  • Gabriel Sassoon

Aucun d’entre eux n’a le droit de vote en Suisse. Une chercheuse britannique, un professeur belge et une professeure australienne viennent pourtant de marquer de leur empreinte une étape cruciale de l’évolution du système électoral suisse. Il n’aura fallu à ce trio que quelques jours pour mettre à jour une faille majeure dans le logiciel de vote électronique développé par La Poste. Leur conclusion: le système permet à son opérateur ou à un pirate informatique de changer des voix sans laisser de traces. En d’autres termes d’influencer le résultat d’un scrutin sans que cela puisse être prouvé.

C’est pour déceler des vulnérabilités dans son programme que La Poste a publié le mois dernier le code source, avant de lancer en parallèle un appel aux hackers (lire l’encadré).

Lorsque Sarah Jamie Lewis est tombée sur une copie du code, tous ses signaux d’alertes se sont mis au rouge, raconte-t-elle. Ancienne informaticienne pour le gouvernement britannique, elle dirige aujourd’hui Open Privacy, une organisation non gouvernementale basée au Canada spécialisée dans la confidentialité d’outils électroniques. Olivier Pereira, lui, est professeur à l’Université de Louvain, Vanessa Teague à l’Université de Melbourne. C’est cette dernière qui a, la première, perçu un potentiel problème. Pendant quatre intenses journées, tous trois ont décortiqué une partie du code avant de se rendre compte qu’une manipulation de votes était possible. Ils ont ensuite, pendant une dizaine de jours, compilé le fruit de leurs recherches avant de le transmettre à La Poste. Ils étaient les premiers à le faire, devançant deux autres chercheurs.

Professeur dans un petit institut de sécurité informatique basé à Bienne, Rolf Haenni a empilé les heures sur son temps libre avant d’identifier à son tour l’erreur. Une découverte étonnante lorsqu’on sait que ce spécialiste de la cryptographie avait déjà attiré l’attention de La Poste sur le même problème. Il y a deux ans.

«C’est très préoccupant, réagit Olivier Pereira, de l’Université de Louvain. Pourquoi l’erreur n’a-t-elle pas été réparée alors qu’elle était connue? Et comment a-t-elle échappé à tous les filtres précédents?» Des interrogations entourent la responsabilité de l’EPFZ et du cabinet KPMG, chargés d’auditer des parties du système. Le professeur belge décrit par ailleurs la faille comme une erreur grave, mais «élémentaire». Il peine à comprendre comment Scytl, la société mandatée par La Poste pour développer le code source, a pu la laisser passer. Olivier Pereira ne serait pas étonné que d’autres lacunes soient découvertes. «Nous n’avons examiné que 3% à 5% du code et cela a suffi pour y trouver une faille majeure.»

Pourquoi une vulnérabilité signalée il y a deux ans déjà se trouve-t-elle toujours dans le système? Cette erreur n’aurait pas dû se produire, regrette La Poste, qui affirme qu’elle examinera les «circonstances en détail afin de déterminer comment cela a pu se produire». La Chancellerie fédérale, de son côté, affirme qu’il est trop tôt pour tirer des conclusions. Elle attend les conclusions de l’examen.

Dans l’immédiat, l’entreprise Scytl a communiqué avoir corrigé le défaut. Leader sur le marché des systèmes de vote par internet, l’entreprise n’a pas répondu à nos sollicitations. Ce couac donne des munitions aux voix critiques à son égard. Une enquête du magazine alémanique en ligne «Republik» soulignait en début d’année son caractère controversé, notamment en raison de problèmes de sécurité dans d’autres logiciels.

L’affaire met à mal la Confédération alors que les fronts se durcissent contre sa volonté de normaliser en Suisse le vote électronique en allégeant les procédures administratives. Un comité interpartis a lancé une initiative pour demander un moratoire. La découverte ne concerne d’ailleurs pas que la Suisse: en Australie, le système de vote de Scytl, déployé dans des élections régionales, contient la même faille que celle découverte ici.

Une récompense?

Prise à partie sur Twitter, Sarah Jamie Lewis a dû se défendre d’être opposée aux votations par internet. «J’y suis favorable à terme. Mais il faut que ces systèmes soient tenus à des standards de sécurité extrêmement élevés, affirme-t-elle. Nous parlons ici d’élections et pas d’une application pour compter ses calories.»

Reste la question de la récompense. Le trio de chercheur touchera-il une part de la somme promise par La Poste à qui décèlerait quelque chose? Rien n’est moins sûr car le trio n’a pas participé de manière officielle, ne souhaitant pas signer l’accord de confiden­tialité exigé par La Poste. Leur argument: la plus grande transparence doit guider la conception d’outils démocratiques.

Tribune de Genève