2’700 hackers ont commencé à essayer de pirater le système d’e-voting de la Poste
C’est parti: jusqu’au 24 mars, 2’700 hackers du monde entier vont tenter de pirater le système de vote électronique de la Poste afin d’en vérifier la fiabilité. La Confédération et les cantons ont confié la gestion de ce Bug Bounty à la société romande SCRT.
Le système d’e-voting de la Poste est-il fiable? Une armée de hackers est mise à contribution pour le vérifier dès aujourd'hui 25 février et jusqu’au 24 mars. Dans le cadre de ce test d’intrusion public (ou Bug Bounty), une votation fédérale est simulée. La Confédération et les cantons ont confié la réalisation du test d’intrusion et la gestion de cette plateforme à la société romande SCRT. En entretien avec la rédaction l’année passée, deux experts de SCRT évoquaient les avantages et désavantages de la mise en place des programmes de Bug Bounty.
Pour rappel, avec l’abandon de la plateforme d'e-voting développée par Genève, la Poste va avoir le monopole sur le marché suisse des solutions de vote électronique. Si des failles sont détectées à l’issue de son test d’intrusion public, la Poste s’engage à éliminer les erreurs et les failles pertinentes dans les meilleurs délais. Pour avoir droit à une récompense, un hacker doit être le premier à signaler une faille et celle-ci doit être confirmée. Les participants peuvent espérer une prime allant de 100 francs à 50’000 francs, selon le degré de gravité de la faille.
Les hackers intéressés ont dû au préalable s'inscrire sur la plateforme onlinevote-pit.ch. Ils ont en outre eu accès au code source du système, publié par la Poste sur la plateforme GitLab. Les scénarios d’attaques ciblant d’autres systèmes ou processus sont exclus du test, précise le géant jaune. Cette exclusion concerne par exemple les attaques contre le PC, l’ordinateur portable ou la tablette de l’électeur, de même que les manoeuvres de social engineering.
Selon l’ATS, 2’700 hackers du monde entier se sont inscrits à ce Bug Bounty. Un quart d’entre eux sont suisses.