Ces derniers mois on remarque que de plus en plus d’entreprises et d’organisations passent par des bug bounties afin d’éprouver leurs systèmes de sécurité et les différentes applications dont elles se servent dans le cadre de leurs activités. Parmi elles, on peut citer le cas de la Commission européenne qui a lancé le mois dernier un bug bounty sur une sélection de 15 logiciels open source, avec de grosses récompenses à la clé. Ou encore celui de l’armée française qui a elle aussi lancé un Bug bounty pour muscler sa cyberdéfense.
Cette fois il semblerait que ce soit au tour de la Suisse de procéder de la même manière. En effet, la poste suisse offre des primes à quiconque peut révéler les vulnérabilités de son système de vote électronique lors d’un test qui aura lieu plus tard ce mois-ci. Les personnes désirant participer à ce bug bounty, devront au préalable s’inscrire au test d’intrusion publique et pour chaque vulnérabilité pertinente découverte, elles recevront une compensation financière. Au total, environ 150000 dollars seront à gagner. Ce test d’intrusion publique est exploité et géré par une société tierce et indépendante.
Jusqu’à présent seulement 15 cantons suisses proposaient aux électeurs de voter en ligne et ceci depuis 2004. seulement il est important de préciser qu’à chaque fois, il y a eu des contestations post électorales ayant engendré des procès. Et puisque la réglementation fédérale oblige les cantons à satisfaire à un ensemble supplémentaire d’exigences comme la réalisation de nombreux audits et la publication du code source des composants logiciels, il semble donc évident que ce soit ce qui a poussé la Confédération suisse et les cantons à faire tester publiquement leur système de vote dans le cadre d’un test d’intrusion publique.
Ce test durera quatre semaines (du 25 février au 24 mars 2019), ce qui correspond à la durée d’un vote fédéral suisse. Il sera effectué sur une instance dédiée du système de vote électronique certifié de la poste suisse mis en place comme pour un vote productif. Toute vulnérabilité découverte qui se situe dans les catégories des vulnérabilités méritant une récompense, doit être soumise à examen. La soumission doit être suffisamment détaillée et inclure au moins les informations telles que le titre de la vulnérabilité, la catégorie dans laquelle elle se situe, sa description détaillée, une preuve d’exploitation réussie et un guide de reproduction complet avec tous les codes.
La Suisse est très appréciée pour son système de démocratie plus connu sous le nom de démocratie directe qui est un cadre juridique permettant à tous les citoyens suisses de plus de 18 ans de voter sur le fonctionnement du pays. Seulement, le gouvernement suisse envisage d’étendre ses capacités de vote électronique d’ici octobre 2019 aux deux tiers des 26 cantons de la Confédération. Et en se souvenant des contestations post électorales qu’ont déjà engendrées ces votes en ligne par le passé, certains pourraient y voir un danger pour la démocratie directe suisse.
Source : onlinevote-pit.ch