«Ce code ne correspond tout simplement pas aux standards»
Cette semaine, des experts en cryptographie ont révélé une faille critique dans le code source du système de vote électronique suisse. Nous publions l’analyse de la chercheuse canadienne qui a découvert cette faiblesse.
Sarah Jamie Lewis est une chercheuse canadienne qui a examiné le code source utilisé pour le vote électronique en Suisse. Ce système appartient à La Poste et a été développé par l’entreprise espagnole Scytl. Sarah Jamie Lewis a publié une analyse sur la faille découverte dans ce code et a évalué le système suisse sur son compte TwitterLien externe. Nous avons traduit ses tweets.
Il est 9h du matin en Suisse. Vanessa Teague en Australie, Olivier Pereira et moi révélons les détails d’une faille cryptographique que nous avons décelée dans le système de vote électronique de La Poste suisse. Cette faiblesse permettrait aux administrateurs d’approuver des combinaisons qui pourraient fausser des votes et compromettre des élections d’une façon indétectable.
Nous avons publié un documentLien externe détaillé dans lequel nous décrivons le problème, et nous avons également listé des exemples de fausses preuves qui décrivent comment quelqu’un pourrait exploiter cette brèche afin de modifier les résultats des élections.
Je me base sur ce fil rouge pour développer ma propre opinion sur cette question et sur la façon dont elle s’inscrit dans le contexte plus large de l’e-voting.
Remarque: Nous n’avons pas participé au test d’intrusion officiel, mais nous avons, par politesse, donné des informations détaillées à La Poste suisse sur nos découvertes. Nous avons renoncé à prendre part au concours de hacking, car j’estime que les conditions générales fixées par La Poste suisse sont incompatibles avec la nécessité d’informer le public de l’existence d’éléments problématiques, tels que celui-ci.
Population plutôt favorable à l’e-voting
Les Suisses voient plutôt les avantages que les défauts du vote électronique. Selon une enquêteLien externe représentative, une majorité de la population estime que le e-voting devrait être accessible à tous les citoyens. 47% des individus interrogés prendraient plus souvent part aux élections et votations s’ils pouvaient le faire par voie électronique. Près de 70% pensent que le e-voting devrait être mis à la disposition de toutes les personnes ayant le droit de vote. Seulement 8% sont pour une interdiction du vote électronique.
Dans le même temps, La Poste suisse a soumis son système à un test dit d’intrusion. Elle a invité les hackers du monde entier à trouver les points faibles du code source.
J’ai commencé à faire des remarques sur ce système il y a quelques semaines. J’ai signalé plusieurs points qui me semblaient critiques. Souvenons-nous comment La Poste et Scytl ont réagi à ces observations:
«De plus, ces derniers jours, plusieurs individus ont émis des commentaires en dehors du circuit officiel, affirmant que le protocole de cryptographie n’était pas sécurisé et faisant des remarques générales sur la qualité du code. Les commentaires qui sont effectués sur des canaux non officiels ne permettent pas la mise en place d’un dialogue constructif sur le code source et ne servent ni la sécurité de la communauté ni l’intérêt des citoyens. Ces critiques sont pour la plupart basées sur des incompréhensions des mécanismes cryptographiques, qui ont déjà été clarifiées et résolues dans les documents officiels.
Les protocoles cryptographiques sont le résultat des recherches menées depuis la fondation de Scytl en 2001. Ces recherches ont été mises à la disposition du public à travers plusieurs parutions académiques. Elles ont été évaluées avec succès par des experts indépendants en cryptographie.»
Cela soulève d’importantes questions. Ce système a apparemment fait l’objet de plusieurs évaluations et Scytl tout comme La Poste n’ont pas hésité à lui accorder leur confiance. Pour quelles raisons ces contrôles sont-ils passés à côté de cet enjeu crucial?
Nous ne pensons pas que la faille a été introduite volontairement. La Poste a expliqué qu’il s’agissait d’une erreur identifiée depuis 2017, mais que Scytl n’avait pas réussi à la réparer.
«Comment cette faille est-elle arrivée dans le code?»
Pourquoi les précédentes évaluations du système n’ont pas vu cette erreur? Et si elles l’ont détectée, comme l’affirme La Poste, comment expliquer qu’elle soit encore présente deux à trois années plus tard? Est-ce que cette situation s’applique aussi aux milliers d’autres lignes du code?
Et comment cette faille est-elle arrivée dans le code? Ce dernier est issu d’une technologie de pointe et malgré cela, il contient une vulnérabilité cryptographique importante – apparemment présente depuis des années.
En tant que chercheurs, nous avons passé beaucoup de temps ces dernières semaines à analyser ce code, mais nous nous concentrons uniquement sur une petite partie d’un système bien plus large. Il y a des questions importantes à se poser sur les autres problèmes qui se cachent dans les caractéristiques et la mise en œuvre du système.
Si nous voulons vraiment vivre dans un monde qui utilise l’e-voting, nous devons réaliser l’ampleur du défi et comprendre que l’exagération, les rapports censurés et les tests d’intrusion purement marketing n’ont pas leur place dans la construction d’infrastructures de sécurité.
Nous devons comprendre qu’il est inacceptable que la même organisation qui profite de l’exploitation d’un système de e-voting puisse déterminer ce que les chercheurs ont le droit de diffuser et à quel moment.
Ce dernier point est très important dans le contexte d’une faille comme celle que nous avons découverte. Il ne faut pas minimiser ce problème. L’enjeu n’est pas «n’importe quel hacker peut manipuler l’élection», mais «La Poste suisse peut prouver qu’elle n’a pas manipulé l’élection, même si elle l’a fait».
Je constate que la version officielle de toute cette affaire est que le test d’intrusion est un succès. Je ne suis absolument pas d’accord avec cette qualification.
«Et cela vaut la peine d’ajouter que le phénomène dépasse les frontières suisses.»
Ne minimisons pas. Le code a pour objectif de sécuriser les élections nationales. La sécurité du processus électoral a un impact direct sur la répartition du pouvoir au sein d’une démocratie. Le public a donc le droit de tout savoir sur l’élaboration et la mise en place du système.
Et cela vaut la peine d’ajouter que le phénomène dépasse les frontières suisses. D’autres pays envisagent de passer au vote électronique et plusieurs adoptent des systèmes qui sont liés au même code source (comment ce lien s’effectue est une autre question qu’il vaut la peine de se poser).
«Est-ce qu’il y a d’autres problèmes dans le code? La réponse est oui.»
J’ai parlé avec plusieurs journalistes et aucun d’eux ne m’a posé la question qui est d’après moi la plus intéressante: Est-ce qu’il y a d’autres problèmes dans le code?
La réponse est oui. Ces failles ne sont pas aussi importantes que celle dont nous venons de discuter, mais elles existent. Ce code ne correspond tout simplement pas aux standards que nous devrions exiger des infrastructures publiques majeures.
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.