La sécurité cryptographique constitue une préoccupation majeure pour Bruce Schneier, un expert mondialement reconnu dans ce domaine de la sécurité. Récemment, il a de nouveau fait mention d’une voix critique concernant les vulnérabilités des systèmes de vote électronique de Swiss Post.
Des questions légitimes d’un Suisse de l’étranger
Andreas Kuster est un informaticien suisse vivant à l’étranger, et il y a quelques mois, il a reçu son paquet d’élections par courrier de son canton d’origine, St. Gallen. Il a découvert que le système de vote électronique de la Poste suisse avait commis selon lui une erreur fondamentale : les instructions pour l’exécution du protocole de vérification des codes de retour ne sont pas imprimées sur du papier, elles se trouvent uniquement sur le site de vote lui-même. Cela signifie que si l’ordinateur du votant est piraté par un logiciel malveillant, ce dernier peut rediriger l’électeur vers un faux site web présentant des instructions différentes, avec un protocole inutile. Ou encore, comme le montre Kuster, le logiciel malveillant peut installer une extension de navigateur qui modifie le comportement du véritable site web.
Il a immédiatement informé la Poste suisse en suivant leurs protocoles de « divulgation responsable » avec une période de 90 jours pendant laquelle il n’a pas rendu cela public. Aucune mesure corrective n’ayant été prise, il a maintenant rendu cela public.
Des vulnérabilité de sécurité dans le système de vote électronique suisse
Tenant compte de ses impacts potentiels, l’utilisation du vote en ligne doit rester une source d’attention permanente en matière de sécurité par les organisations et les gouvernements qui l’utilisent. Dans le cas d’élections de faible enjeu, cela peut être considéré comme une option viable mais, certains chercheurs comme Andrew Appel, déconseillent globalement toute utilisation du e-voting :
L’année dernière, j’ai publié une série en cinq parties sur le système de vote électronique en Suisse . Comme tout système de vote sur Internet, il présente des vulnérabilités de sécurité inhérentes : s’il y a des initiés malveillants, ils peuvent corrompre le décompte des votes ; et si des milliers d’ordinateurs d’électeurs sont piratés par des logiciels malveillants, ces derniers peuvent modifier les votes au fur et à mesure de leur transmission. La Suisse « résout » le problème des initiés malveillants dans son imprimerie en déclarant officiellement qu’elle ne tiendra pas compte de ce modèle de menace dans son évaluation de la cybersécurité.
Andrew Appel