Clap de fin pour le système d’e-voting genevois
Le système de vote électronique développé depuis des années par le canton de Genève est condamné. Le Conseil d'Etat a pris la décision de cesser son exploitation au plus tard en février 2020. La solution concurrente de La Poste se retrouvera en situation de monopole.
Le canton de Genève renonce à son système de vote électronique. Le Conseil d'Etat a décidé d'interrompre le développement de sa plateforme CHVote, dont l'exploitation cessera au plus tard en février 2020. Les raisons invoquées sont financières: le développement de la plateforme de deuxième génération induirait des dépenses d’investissement complémentaires d’environ 2,6 millions de francs. Le Conseil d’Etat «considère qu’il n'est pas dans la vocation d'un canton de développer, d'exploiter et de financer seul un système informatique d'une telle complexité et d'une telle envergure».
Vers un monopole du système de La Poste
Pour rappel, deux acteurs se disputaient jusqu’ici le marché du vote électronique suisse. Opérationnel depuis 2003, la solution genevoise est en partie en open source depuis fin 2016. Le Conseil d’Etat précise avoir toujours l’intention de publier l’entier du code de CHVote en open source, lequel «pourra ainsi librement servir à la recherche académique, voire à toute entreprise ou personne qui souhaitera le reprendre à son compte.» Le système développé à Genève est aujourd’hui utilisé par les cantons d’Argovie, de Berne, de Lucerne et de Saint-Gall. L’Etat de Vaud l’a en outre testé lors des dernières votations fédérales. L’autre solution de vote électronique en Suisse est fournie par La Poste, qui se base sur le système d’une société espagnole. D’abord utilisateur du système genevois, Bâle-Ville a ensuite opté pour la solution de La Poste laquelle est aussi utilisée par les cantons de Neuchâtel, Fribourg et Thurgovie.
Avec l’abandon de la plateforme de Genève, La Poste va avoir le monopole sur ce marché. Le canton de Berne a déjà fait savoir qu’il étudiera dès que possible une coopération avec La Poste, «seul fournisseur restant en lice».
Vulnérabilité pointée du doigt
La difficulté de développer un système parfaitement sécurisé et fiable n’est donc pas explicitement évoquée par les autorités genevoise. Le timing de cette décision est toutefois malheureux alors que début novembre, le hacker Volkler Birk du Chaos Computer Club est parvenu à pirater le système d’e-voting genevois en exploitant l'absence de protection contre des attaques de type DNS Cache Poisoning. Ces attaques consistent à rediriger les utilisateurs vers un site malicieux sous contrôle de l'attaquant. A l’instar d’un certain nombre d’experts en cybersécurité, le Chaos Computer Club alerte depuis longtemps sur le manque de sécurité des systèmes d’e-voting. L’Etat de Genève a réagi en expliquant qu’il s'agit d’un scénario d'attaque identifié depuis l'introduction du vote électronique et que pour éviter un détournement des suffrages, des mesures «sont en place depuis 2003 et renforcées depuis 2015 avec la vérifiabilité individuelle.»
Selon le canton de Genève, le site contrefait mis en place par le Chaos Computer Club n’a a aucun moment compromis le vote électronique «tant sur le plan de la fiabilité que de la sécurité». Martin Steiger, avocat alémanique, a par la suite découvert que les autorités genevoises ont adressé un avertissement au hacker, n’évoquant étrangement pas la sécurité du système mais l’utilisation frauduleuse de logos officiels, ainsi que le risque d’ébranler la confiance des électeurs dans le résultat final du vote.
La sécurité et la fiabilité de la solution de La Poste fera en outre l’objet d’un Bug Bounty, invitant les hackers du monde entier à chercher des bugs dans le système. La NZZ am Sonntag évoque une prime de 250'000 francs promise par la Chancellerie fédérale.