Test d’intrusion

Une nouvelle faille critique découverte dans l’e-voting de la Poste

Des chercheurs en cybersécurité ont décelé une nouvelle faille dans le code du système d’e-voting de la Poste. La vulnérabilité permettrait à un pirate d’invalider des bulletins de vote. La Poste a réagi en minimisant les risques.

(Source: niyazz / Fotolia.com)
(Source: niyazz / Fotolia.com)

Alors que le test public d’intrusion dans le système d’e-voting de la Poste s’est achevé ce 24 mars, des chercheurs en cybersécurité annoncent y avoir découvert une nouvelle faille critique. Déjà à l’origine de l'identification d’un premier bug qui aurait permis à la Poste de manipuler les résultats de votations de façon indétectable, l’équipe constituée de Sarah Jamie Lewis, Vanessa Teague et Olivier Pereira font état d’un second problème affectant le code source de la solution d’e-voting fournie par l'entreprise espagnole Scytl.

Sur son blog, Olivier Pereira précise que la vulnérabilité est totalement indépendante de la première et permet d’invalider des bulletins de vote parfaitement valides, sans que les processus d’audit ne le détectent. «A nouveau, le problème se situe dans les mécanismes de preuve d’intégrité des bulletins de vote du protocole sVote, qui permettent cette fois à une machine en charge du déchiffrement des bulletins de vote d’invalider un nombre quelconque de bulletins», explique le chercheur de l'Université catholique de Louvain.

L’envoi de votes non valables est impossible

La Poste a réagi en minimisant les risques liées à cette seconde faille, affirmant que l'invalidation des votes permises par ce scénario se remarquerait lors du décryptage et du dépouillement des votes, «parce qu’avec le système de la Poste, l’envoi de votes non valables est impossible». Et d’ajouter que pour exploiter cette seconde faille, un pirate devrait prendre le contrôle de l’infrastructure informatique de la Poste et devrait en outre installer un logiciel malveillant sur l’appareil de l’électeur. Le géant jaune précise collaborer étroitement avec le fournisseur Scytl afin de trouver une solution.

A noter que le code en question est aussi présent dans le système d’e-voting déjà utilisé pour des votations réelles par l’état du New South Wales (NSW), en Australie. Avertie par les chercheurs, la Commission électorale de l’état se dit confiante que ce nouveau problème n’a pas d’impact sur son système.

Tags
Webcode
DPF8_132122