FAQ

La Poste publie le code source, les spécifications, les bases cryptographiques et la documentation de son système de vote électronique dans le cadre du programme Communauté Vote électronique. L’objectif est de faciliter autant que possible l’accès au système pour les expertes et experts indépendants et d’améliorer le système en continu. La publication du système permet un examen détaillé et un échange entre spécialistes et avec l’équipe Vote électronique de la Poste. La Poste développe le système progressivement en tenant compte des constats confirmés. Cette publication contribue par conséquent à la sécurité du système de vote électronique.

Les règles de participation au programme de la Communauté Vote électronique sont énoncées dans un Code de conduite. Le déroulement en toute sécurité du processus démocratique est au centre de la mission de la Poste. Le vote sécurisé et la garantie du secret du vote sont notre priorité. Les signalements effectués par les experts et les expertes constituent une contribution importante à l’amélioration de la sécurité du système. La Poste respecte la liberté académique des chercheurs et chercheuses.

Plusieurs canaux sont à votre disposition pour que vous nous communiquiez votre constat: GitLabTarget not accessible, YesWeHackTarget not accessible, IncaMail et le formulaire en ligne. La procédure à suivre est décrite sur cette page.

Inscrivez-vous sur la plateforme YesWeHack pour participer au programme bug bounty. Vous trouverez les conditions de participation et les modalités d’inscription au programme sur YesWeHackTarget not accessible.

Oui. Toutes les données techniques et tous les documents sont disponibles sur GitLab. Il est possible de les consulter sans inscription. Vous trouverez de plus amples informations ici.

Nos spécialistes se tiennent volontiers à votre disposition en cas de questions. Vous pouvez prendre contact avec eux via GitLab (créer une requête en sélectionnant le type de demande) ou via un formulaire de contact.

Oui. Les constats peuvent être publiés. Pour les constats classés comme hauts ou critiques, nous avons besoin d’un délai de maximum 90 jours pour l’analyse et l’examen avec les autres parties prenantes (en particulier les cantons). Dès que notre analyse est terminée, un constat critique peut également être publié par la personne qui l’a signalé. La Poste publie de son côté les constats confirmés. Vous trouverez de plus amples informations sous Signaler un constat.

Oui; conformément aux dispositions en vigueur, la Poste verse des récompenses pour les failles avérées signalées dans le cadre de son programme bug bounty consacré au vote électronique. La Poste est convaincue que les programmes bug bounty peuvent contribuer à l’amélioration des systèmes IT. C’est pourquoi elle utilise ce type de programmes dans le cadre de sa stratégie liée à la sécurité de l’information. Pour en savoir plus sur la participation au programme bug bounty consacré au vote électronique, consulter la plateforme YesWeHackTarget not accessible.

Oui. Le code source peut être compilé, testé, partagé et modifié. Il est possible de simuler des scrutins.

En savoir plus.

Auparavant, la Poste collaborait avec l’entreprise Scytl spécialisée dans les élections électroniques. Au printemps 2020, la Poste a repris tous les droits liés au code source qui sont nécessaires à la poursuite du développement de manière indépendante. Depuis lors, la Poste développe le système avec sa propre équipe en Suisse et collabore étroitement avec des spécialistes externes.

La Poste publie son nouveau système de vote électronique, met à disposition un système pouvant être compilé et permet ainsi à des experts indépendants de vérifier le système et de réaliser des scrutins. Elle améliore son système en permanence et satisfait aux exigences de transparence qui font partie d’une approche open source. La Poste met à disposition des composants centraux du système de vote électronique sous une licence open source. En font partie la bibliothèque de primitives cryptographiques publiée et le logiciel de vérification.

L’utilisation d’un système de vote électronique nécessite une autorisation générale du Conseil fédéral ainsi qu’une autorisation par la Chancellerie fédérale pour chaque scrutin isolé. Le 3 mars 2023, le Conseil fédéral a accordé aux cantons de Bâle-Ville, Saint-Gall et Thurgovie l’autorisation générale pour l’utilisation du système de vote électronique de la Poste. Le système peut ainsi être utilisé jusqu’en mai 2025 pour des votations dans ces cantons. Cette opération est effectuée dans cadre de l’exploitation à l’essai de la Confédération.

Oui. La Poste met à disposition une plateforme de test sur laquelle toutes les personnes intéressées peuvent tester simplement le vote électronique. Pour ce faire, un modèle de carte de légitimation est fourni par voie électronique. Il permet aux personnes intéressées de simuler le processus d’enregistrement du vote. Aucune donnée personnelle n’est transmise.

Découvrir l’environnement de test

Le système de vote électronique de la Poste permet aux électeurs de participer aux votations et aux élections via Internet. Le vote s’effectue par ordinateur, par smartphone ou par tablette.

Ce document recourt aux mathématiques pour décrire le système de vote électronique de la Poste. Il prouve que les éléments cryptographiques garantissent le respect du secret des urnes ainsi que la vérifiabilité individuelle et universelle. Le protocole cryptographique découle du regroupement des éléments cryptographiques. Le présent document décrit les objectifs en matière de sécurité et les hypothèses de confiance du système de vote électronique et, sur cette base, prouve qu’ils ont été atteints à l’aide de méthodes mathématiques. Cette démonstration formelle, prescrite par la Chancellerie fédérale pour le vote électronique, constitue un élément central de la cryptographie moderne

L’analyse symbolique exprime la même chose que le protocole cryptographique du système de vote électronique, mais dans un langage de programmation spécialisé (Proverif). Quand on la soumet à un logiciel de vérification, elle peut confirmer que le protocole cryptographique préserve le secret de vote et qu’il garantit la vérifiabilité individuelle et universelle. Il existe donc deux preuves de la conformité du protocole cryptographique: la première est le protocole cryptographique en lui-même qui peut être analysé par des experts, la seconde l’analyse symbolique, qui peut être examinée automatiquement.

Voir l’analyse symbolique sur GitLabTarget not accessible

On entend par code source un texte rédigé dans un certain langage de programmation. Ce texte mentionne les règles et les directives précises qui permettent de développer un logiciel. Le code source du système de vote électronique comprend les composants de l’ensemble du logiciel avec lesquels les directives du protocole cryptographique sont appliquées.

Le code source publié du système de vote électronique est conçu de manière à pouvoir être compilé, testé et simulé facilement.

La spécification correspond à une description détaillée du protocole cryptographique. Celui-ci décrit l’ensemble du processus, de la configuration du scrutin électronique au dépouillement, en passant par la phase de vote. Il contient ce que l’on appelle des pseudo-codes, qui servent à la description des algorithmes. La spécification décrit les algorithmes les plus généraux et quelques-uns des éléments constitutifs qui les sous-tendent.

La bibliothèque mise à disposition par la Poste contient des algorithmes cryptographiques centraux appelés «primitives cryptographiques». Ils sont utilisés à la fois dans le système de vote électronique et dans le logiciel de vérification séparé.

Les spécifications relatives aux primitives cryptographiques sont également disponibles.

Documentation système («Livre blanc Infrastructure»)

Le Livre blanc Infrastructure décrit l’infrastructure de vote électronique ainsi que tous les aspects relatifs à la sécurité mis en œuvre, ce qui inclut des informations sur les centres de calcul ainsi que sur l’organisation et l’utilisation de l’infrastructure et des bases de données. Les différentes mesures de sécurité y sont également détaillées.

Documentation d’architecture

La documentation d’architecture décrit la structure globale du système de vote électronique, du cadre juridique aux exigences de qualité posées à l’égard du système, en passant par la solution de vote électronique proprement dite, avec ses divers éléments et interfaces ainsi que ses principes et décisions en matière d’architecture.

Description du processus de développement

La Poste développe le système de vote électronique dans le cadre d’un projet conduit de manière agile. Ce document détaille le développement logiciel, donne un aperçu des différents outils employés, et montre de quelle manière les nombreuses prescriptions en matière de qualité sont respectées et par quel moyen celles-ci sont contrôlées. De plus, il y est également fait état de la procédure suivant laquelle le code source est régulièrement publié.

Livre blanc Operation

Le livre blanc Operation décrit les processus d’exploitation du vote électronique avec tous les aspects relatifs à la sécurité qui ont été implémentés. Il contient notamment des informations sur l’organisation d’exploitation, la modification et l’entretien ainsi que les processus pour la sauvegarde et la restauration, mais aussi les dispositions relatives à l’assistance. 

Concept de test

Le développement du système de vote électronique implique des tests à différents niveaux. Il est notamment vérifié que le logiciel est effectivement conforme aux exigences établies par l’ordonnance de la Chancellerie fédérale sur le vote électronique (OVotE) ainsi qu’aux prescriptions internes de Poste CH SA, selon la norme ISO 25010. Le concept de test décrit l’ensemble de la procédure, dont les objets des tests, l’infrastructure utilisée, le reporting ainsi que l’organisation des tests.

Trusted build

Le trusted build est un compilateur logiciel fiable et contrôlable qui permet de s’assurer que le release exécutable soit créé à partir de composants vérifiés. Des mesures sont mises en places sur le plan de l’organisation et de la procédure technique pour répondre aux exigences de l’OVotE. 

Le réseau mixte est la base de la vérifiabilité complète du système de vote électronique de la Poste Il est composé de « mixeurs » qui mélangent les votes après la fermeture de l’urne électronique le dimanche du scrutin. Ainsi, le réseau mixte empêche toute association entre la personne et le vote qu’elle a soumis et garantit le respect du secret de vote. En même temps, le réseau mixte apporte la preuve qu’aucun vote n’a été modifié, supprimé ou ajouté. Les algorithmes utilisés par le réseau mixte sont regroupé dans la bibliothèque open source de primitives cryptographiques qui a été publiée. Ces algorithmes ont été intégralement réécris par la Poste. Le système de vote électronique de la Poste repose sur le réseau mixte Bayer-Groth.

Grâce à la vérifiabilité universelle, les autorités électorales peuvent vérifier lors du comptage des voix si des votes ont été manipulés dans l’urne électronique. Cette vérification est comparable au recomptage des bulletins de vote papier. La vérifiabilité universelle permet aux cantons de contrôler le scrutin en toute indépendance. Un logiciel distinct appelé vérificateur est requis pour la vérifiabilité universelle.

Dans le cadre de la vérifiabilité individuelle, les électeurs reçoivent des codes de vérification sur support papier avec leurs documents pour l’élection ou la votation. Lors de la votation, ils les comparent avec des codes affichés sur l’écran et ont ainsi la certitude que leur vote a été correctement déposé dans l’urne.

Le nouveau système de vote électronique de la Poste dispose de la vérifiabilité complète. Cela permet à une autorité électorale cantonale, après la fermeture de l’urne, de vérifier l’ensemble des votes comptabilisés par voie électronique et de constater toute irrégularité. L’autorité dispose à cet effet d’un logiciel de vérification. Indépendant du système et non connecté à un réseau, ce logiciel atteste que les preuves cryptographiques générées ont été correctement enregistrées. Si toutes les preuves sont correctes, cela étaye l’authenticité de tous les votes comptabilisés par voie électronique et de leur dépouillement. Le logiciel peut par exemple détecter une intrusion dans le serveur du prestataire hébergeant le système.

La Poste a publié le logiciel de vérification sous licence open source libre d’accès.

Cela permet aux tiers ayant ou non des ambitions commerciales de vérifier le logiciel et d’en concevoir un nouveau pour le commercialiser en tant que produit indépendant. La Poste veut ainsi permettre à des tiers l’utilisation d’un logiciel de vérification.

Dans le cadre du test d’intrusion public, des hackeuses et des hackers éthiques du monde entier peuvent tenter de pénétrer dans l’infrastructure de vote électronique de la Poste. Ce test sert à déceler des failles et poursuivre l’amélioration de la sécurité du système. C’est l’infrastructure de vote électronique et non pas l’intégralité de l’infrastructure informatique de la Poste qui est visée. Les failles décelées seront publiées sur la plateforme spécialisée GitLabTarget not accessible et donneront lieu à une récompense offerte par la Poste. Mené de manière récurrente, le test d’intrusion public qui s’étend sur plusieurs semaines fait partie du programme de la Communauté Vote électronique de la Poste.