La Poste invite les pirates chez elle

Le code source représente une des composantes centrales du système de vote électronique de La Poste. Le code de la version bêta sera dévoilé ces prochains jours dans son intégralité, soit 150'000 lignes, a annoncé le géant jaune jeudi lors d'une conférence de presse virtuelle.

Toute personne ayant les connaissances requises pourra utiliser à sa guise ce code, afin de simuler un scrutin électronique sur son ordinateur. But du jeu: traquer les failles. Pour ensuite partager avec La Poste les éventuelles erreurs du système. Les récompenses peuvent monter jusqu'à 250'000 francs pour la découverte d'une faille critique.

La Poste rappelle que cette manière de procéder est considérée comme la meilleure méthode reconnue au niveau international. Et elle respecte les prescriptions de la Confédération sur le vote électronique en Suisse.

Sécurité

Cette procédure est une nouvelle étape dans la saga du vote électronique en Suisse stoppé dans son élan en 2019. Des milliers de pirates avaient participé à une phase de test du système de La Poste et des failles avaient été découvertes.

Interrogé sur les risques éventuels liés à un piratage d'une votation en Suisse par des hackers, indépendants ou liés à un Etat, le responsable cyberadministration de la communication de La Poste, Denis Morel, reconnaît que "la sécurité à 100% n'existe pas et n'existera pas." Mais cette procédure "nous donne un temps d'avance sur les agresseurs", estime-t-il. Car le vote électronique deviendra une réalité d'ici quelques années, assure-t-il encore.

Leçons tirées

Lors d'un tel vote, l'urne et les bulletins de vote électroniques sont sécurisés dans la "salle au trésor", cachée derrière un système de portes, de cadenas et de couloirs, eux-mêmes protégés par les murailles et les douves du château, image Denis Morel.

La Poste estime avoir tiré les leçons et s'être servie du coup d'arrêt de 2019 pour repartir du bon pied. "Nous avons perfectionné notre système sans repartir de zéro, amélioré les défenses en gardant les fondations du château", indique encore M. Morel. Coût des opérations pour l'entreprise: une somme autour des 20 millions de francs a été articulée.

L'armée suisse, qui vient d'annoncer vouloir tripler ses effectifs de soldats "cyber", participera en quelque sorte à cette sécurisation. Elle enverra des stagiaires de son futur cyberbataillon se former au sein du secteur informatique de La Poste, révèle l'entreprise. Le vote est considéré en Suisse comme faisant partie des infrastructures critiques.

Aux cantons de choisir

Au final, les cantons devront décider par eux-mêmes s'ils souhaitent se lancer dans l'aventure du vote électronique. La Poste estime pouvoir mettre son système à la disposition des cantons intéressés en 2022. Pour l'instant, Fribourg, St-Gall et Thurgovie sont concernés, et Bâle-Ville vient de se manifester.

La Confédération entend toutefois tester le système de La Poste avant de donner son feu vert. Des contrôles indépendants supervisés par la Chancellerie fédérale viennent de débuter.

Les cantons garderont en tout temps la mainmise sur le système, car seules les commissions électorales pourront accéder à la "chambre au trésor" constituée de l'urne et des bulletins virtuels, tient à souligner Denis Morel. En outre, certains outils du système seront conservés uniquement sur une infrastructure cantonale non connectée à Internet, réduisant les risques.

Reste que par rapport au système décentralisé suisse actuel, où les communes et les arrondissements électoraux sont responsables du vote dans chaque canton, le système de La Poste est un pas vers davantage de centralisation, admet-il. Les exigences pour la sécurité du vote électronique sont donc plus élevées.