Le système de vote électronique suisse est piratable
La Suisse a créé un BugBounty pour son système de vote électronique mais, avant même qu'il démarre, des questions se posent.
La suisse est en train de mettre en place un système de vote électronique. Ils ont démarré pour cela un programme de bug bounty.
Le système de vote électronique suisse est piratable
La Suisse a créé un BugBounty pour son système de vote électronique mais, avant même qu'il démarre, des questions se posent.
Alors qu’est ce que c’est un bug bounty ?
C’est un programme au sein duquel vous pouvez hacker un site ou une infrastructure de façon légale. À condition de respecter certaines règles, celles qui sont donnés par le bug bounty.
Et si vous trouvez des failles de sécurité vous êtes rémunéré. Donc la suisse met en place ce système de vote électronique.
Le projet est soutenu par la poste suisse. Avant même le démarrage du bug bounty, des parties du code source ont fuité sur internet et des experts en cyber sécurité et cryptographie ont donc pu se pencher sur ce code qui a fuité.
Les retours sont mitigés. Les experts ont vu que la qualité du code n’est pas optimale, elle peut être bien meilleur. Le système est extrêmement complexe, dans le sens compliqué du terme, et c’est un peu inquiétant. Car, pour l’instant, beaucoup de projets de vote électronique de par le monde ont échoué dû à la complexité, à la complication et aux failles trouvées tout au long du développement.
Donc ce projet ne part pas sur des bonnes bases. De plus, la poste suisse a du mal à comprendre le concept de code ouvert. Elle a mis en place des règles, concernant ce bug bounty, qui empêchent la divulgation de ces failles et la restitution de ces failles dans leur contexte ce qui est contre-productif. Cela limite énormément la capacité qu’ont les experts de pouvoir étudier ces failles et donc s’en prémunir et améliorer le système.
De ce point de vue, la poste suisse ne comprend pas la loi de Linus, dont je parlerai plus tard, et du second principe de Kerckhoffs dont j’ai déjà parlé dans un épisode (ce sont des principes fondamentaux pour la cryptographie et pour le bon fonctionnement d’un outil d’un système informatique).
Donc c’est un peu bizarre de la voir danser sur ses deux pieds entre le bon système qu’est le bug bounty et la mauvaise façon de faire qui est de vouloir à tout prix cacher son code et éviter qu’ils soit divulgué.
Sources :
- https://www.evoting-blog.ch/en/pages/2019/public-hacker-test-on-swiss-post-s-e-voting-system
- https://www.vice.com/en/article/vbwz94/experts-find-serious-problems-with-switzerlands-online-voting-system-before-public-penetration-test-even-begins
- https://twitter.com/stephanekoch/status/1099241685392019456
- https://www.csoonline.com/article/3269297/online-voting-is-impossible-to-secure-so-why-are-some-governments-using-it.html