Les cantons de Thurgovie et de Saint-Gall lancent le nouveau système de calcul des résultats des élections et des votations selon le principe de la «sécurité par la transparence». C’est pourquoi ils ont exigé du fournisseur du système qu’il accepte de divulguer le code source afin que des expert(e)s en sécurité professionnels et privés puissent examiner le système sous toutes ses coutures.
Des premiers résultats positifs
La première étape de la divulgation a été lancée par Abraxas Informatique SA le 23 mai 2022 avec un programme de «private bug bounty». Plus de 140 chercheurs et chercheuses en sécurité sélectionnés ou inscrits ont pu accéder au code source et à la documentation, ainsi qu’au système de calcul des résultats dans une version préliminaire, et lancer des tentatives d’attaque. Grâce aux retours de ces «hackers éthiques», le système a déjà pu être amélioré.
Jusqu’à présent (situation au 19.08.2022, 17 heures), 28 retours ont été reçus. Sur ce nombre, 14 failles de sécurité confirmées comme valides ont été acceptées dans le cadre du périmètre fixé (application Système de calcul des résultats avec gestion des autorisations et des identités). L’une d’entre elles a été classée comme élevée, les autres comme faibles ou moyennes. 14 900 francs de primes (bounties) ont été versés à ce jour. Les signalements confirmés et corrigés sont disponibles sur la plateforme GitHub avec le code source du système. Une faille de sécurité plus importante dans la gestion séparée des autorisations et des identités - l’accès au calcul des résultats - a par ailleurs été signalée au début du programme . Il a été décidé ultérieurement d’inclure cette application dans le périmètre de la mission.
Lancement de la divulgation au public
À partir d’aujourd’hui, lundi 22 août 2022, le programme devient un programme public de bug bounty. Cela signifie que les chercheurs et chercheuses privés en sécurité et tous les expert(e)s intéressés peuvent consulter et analyser sans inscription des parties du code et de la documentation d’une version préliminaire du système. Une version d’essai du système est disponible afin de pouvoir lancer des tentatives d’attaque. Chaque faille de sécurité signalée et confirmée est récompensée. L’impact de la faille sur la sécurité du système et l’exactitude des résultats est notamment pris en compte. La récompense peut aller jusqu’à 30 000 francs, selon la pertinence.
Le principe de «sécurité par la transparence»
Par cette divulgation, les cantons de Thurgovie et de Saint-Gall souhaitent contribuer à un débat public sur la sécurité du nouveau système de calcul des résultats. Grâce à la divulgation du code source et à la publication des points faibles et des résultats du programme de bug bounty, le public se rend compte que les deux cantons et Abraxas Informatik AG mettent tout en œuvre pour maintenir la sécurité du nouveau système de calcul des résultats au plus haut niveau. La divulgation et le programme de bug bounty aident à trouver et à corriger rapidement les failles. L’objectif est de mettre en place le nouveau système l’année prochaine. Toutefois, le mode et la date précise de mise en œuvre du système dépendront des résultats de la divulgation.
Plus d’informations
Plateforme Github avec le code source du système
Informations sur le programme public de bug bounty:
Système de calcul des résultats (tg.ch)
Système de calcul des résultats (sg.ch)
Communiqué de presse du 23.05.2022 (sg.ch)
Communiqué de presse du 23.05.2022 (tg.ch)
Renseignements:
Abraxas Informatik AG: gregor.patorski@abraxas.ch
Canton de Saint-Gall: kommunikation@sg.ch
Canton de Thurgovie: medien.sk@tg.ch
