Faille détectée dans le système d’e-voting: la Poste aurait pu manipuler les résultats
Une faille critique a été découverte dans le système d’e-voting de la Poste. Des chercheurs y ont décelé un bug majeur qui aurait permis de manipuler les résultats de votations de façon indétectable.
Plusieurs chercheurs en cybersécurité participant au test d'intrusion dans le système d’e-voting de la Poste y ont découvert une faille critique, qui permettrait de modifier les suffrages sans que cela ne puisse être détecté. Le géant jaune tente de relativiser la menace qu’aurait pu poser cette faille, en précisant qu’elle ne permet pas à elle seule d’accéder au système de vote électronique: «Pour en arriver là, il aurait fallu que les fraudeurs parviennent à invalider de nombreuses mesures de protection, par exemple en prenant le contrôle de l’infrastructure informatique sécurisée de la Poste et en bénéficiant de l’aide de plusieurs personnes détenant des connaissances spécifiques au sein de la Poste ou des cantons.»
Selon cette explication, la Poste elle-même, qui a le contrôle sur son infrastructure IT, aurait tout à fait pu manipuler les résultats d’un vote, ce que l’entreprise se garde bien de dire explicitement dans son communiqué. Un point soulevé par Sarah Jamie Lewis, qui a collaboré à la découverte de la faille. La chercheuse en cybersécurité explique ainsi au site spécialisé Motherboard: «Leur réaction cache qu'ils sont le principal acteur de la menace dans ce scénario.»
Manipulation totalement indétectable
L’un des autres chercheurs ayant découvert la faille, Olivier Pereira de Université catholique de Louvain, précise dans un billet de blog pourquoi le type de faille découvert est spécialement préoccupant: quiconque qui accéderait au système informatique peut modifier les votes d’une manière qui est indétectable par les mécanismes de vérification spécifiés par le système. L’usage de ces mécanismes de vérification convaincrait à tort n’importe quel auditeur que les résultats sont correctes, explique le chercheur.
Une faille découverte en 2017...
La Poste explique en outre dans son communiqué que cette faille concernant la vérifiabilité universelle «a été déjà découverte en 2017». Scytl, le fournisseur espagnol de la solution d’e-voting, n’y a alors remédié que partiellement, déplore la Poste, assurant que l’intégralité de la rectification requise est désormais faite. Le géant jaune souligne que le système de vote électronique actuellement en usage dans les cantons de Thurgovie, de Neuchâtel, de Fribourg et de Bâle-Ville n’est en rien concerné par cette faille, qui touche uniquement le système à vérifiabilité universelle, encore jamais utilisé dans le cadre d’une votation réelle. A noter que le test public d’intrusion dans ce système d’e-voting se poursuivant jusqu’au 24 mars, d’autres failles pourraient encore être décelées.
