La Chancellerie avait déjà indiqué le 12 mars qu'une faille de sécurité importante avait été détectée dans le code source du nouveau système d'e-voting de La Poste. Ce sont les mêmes experts en informatique qui ont décelé cette seconde faille, qui concerne également la vérifiabilité universelle.
>> Lire aussi : Des hackers ont identifié une faille dans le vote électronique de La Poste
Cette dernière permet de déterminer au moyen de preuves mathématiques que des suffrages ont été manipulés. Dans le premier cas, il a pu être établi que le système ne produisait pas de preuves mathématiques concluantes permettant d’identifier d’éventuelles manipulations. Dans le deuxième cas, la faille touche une autre partie des preuves.
Selon la Chancellerie fédérale, la manipulation arbitraire des voix ne passe certes pas inaperçue en raison de ce point faible. Toutefois, les voix peuvent être changées en voix invalides, sans que cela ne soit découvert par les preuves mathématiques. Cela est dû au fait que l'erreur s'étend également à l'examen des preuves. C'est seulement si l'on s'aperçoit des votes nuls que l'on peut conclure à une attaque.
"Nécessité d'agir" suite à cette faille
Cette faille confirme une "nécessité d'agir", a indiqué lundi à Keystone-ATS René Lenzin, vice-directeur de la communication à la Chancellerie. Déjà la faille décelée le 12 mars a montré que la vérifiabilité universelle et ainsi le "coeur du système" ne fonctionne pas. Le système doit détecter quand il est manipulé.
La Poste a été invitée à examiner ses processus de sécurité et à les adapter afin d'éviter de tels défauts, indique René Lenzin. Et de confirmer qu'avec ces failles, le système de La Poste ne répond pas aux exigences légales.
Contactée, La Poste indique qu'elle est en train de clarifier les faits. Elle est en contact avec son partenaire technologique Scytl.
L'erreur aurait dans tous les cas été détectée lors du décodage et du décompte des voix car le système de e-voting de La Poste ne permet en principe pas de donner des voix nulles, relativise le géant jaune. Il peut donc être exclu qu'avec ce scénario des voix puissent être changées ou des votations manipulées de façon inaperçue.
ats/ebz
Plus de 3000 hackers ont participé au test
La nouvelle faille a été rendue publique par les initiants de l'initiative pour un moratoire sur le vote électronique. Ils ont aussi souligné lundi que les critiques ont depuis longtemps dénoncé cette vérification d'intégrité comme une "idée théorique irréalisable". Maintenant il y en a aussi la démonstration pratique.
Le test d'intrusion public du système de vote électronique de La Poste a lieu depuis le 25 février et se termine ce lundi. Plus de 3000 hackers du monde entier y ont pris part. Un premier bilan devrait être tiré d'ici la fin de la semaine, selon la Chancellerie.