Aperçu
Le contrôle par des expertes et experts indépendants permet d’identifier des failles et d’améliorer le système de vote électronique.
Vous trouverez ci-après quelques chiffres sur les failles signalées à la Poste depuis le lancement du programme de la communauté début 2021. Les failles avérées sont catégorisées en fonction de leur degré de gravité.
| Total des signalements | 328 |
|---|---|
| Failles «critiques» | 0 |
| Failles «élevées» | 5 |
| Total des récompenses versées | € 189 950 |
Ces informations sont régulièrement mises à jour (état actuel: 02.04.2024).
Vous trouverez un aperçu de tous les signalements sur GitLab.Target not accessible
Comment contribuer
- De préférence, signalez-nous les failles que vous avez identifiées sur GitLab. Vous obtiendrez sur cette plateforme un aperçu des différents signalements et pourrez échanger à ce sujet avec notre équipe en charge du vote électronique et avec la communauté.
- Vous pouvez également effectuer votre signalement en envoyant un message crypté (IncaMail) ou en remplissant un formulaire en ligne.
- La Poste récompense, dans le cadre du programme bug bounty, l’auteur(e) du signalement dès lors qu’une faille est confirmée. En enregistrant en plus les constats sur la plateforme bug bounty ou en les saisissant directement sur YesWeHack, vous pouvez demander ultérieurement une récompense pour les failles confirmées que vous avez soumises sur GitLab, via IncaMail ou au moyen du formulaire en ligne.
- Veuillez lire le code de conduite avant de nous faire part de votre signalement.
Contrôle des signalements
Les signalements sont immédiatement analysés par nos spécialistes et nous aident à améliorer notre système de vote électronique. Nous tenons à étudier chaque constat identifiée et à y répondre rapidement.
Le processus de signalement d’un constat est décrit ci-après.
- Nous vérifions que les signalements reçus sont complets et demandons au besoin des précisions.
- Un ticket est créé, puis analysé par notre spécialiste compétent(e).
- La personne ayant effectué le signalement est informée que celui-ci est en cours de traitement.
- Dès que nous avons pu terminer l’analyse et confirmer l’existence d’un constat, celle-ci est classifiée en tant que «constat confirmé» et publiée sur GitLab.
- Pour tous les signalements classés comme «importants» ou «critiques», le champ «confidentiel» doit être sélectionné dans le signalement. Ceux-ci sont traités de manière confidentielle. Dans de tels cas, la «Coordinated Vulnerability Disclosure» s’applique.
- En outre, toute personne effectuant un signalement a la possibilité, quel que soit son degré de gravité, de le soumettre à la Poste de manière confidentielle.
Veuillez prendre en considération notre code de conduite.
Programme CVE
La Poste soutient le programme Common Vulnerabilities and Exposures (CVE). Pour les failles critiques avérées, nous encourageons la saisie d’une faille en tant que CVE et apportons notre aide à la personne ayant signalé la faille pour ce faire.
Procédure d’attribution des récompenses
La Poste offre des récompenses pour les failles confirmées uniquement. Nos récompenses atteignent 100 à 230 000 euros suivant le niveau de gravité de la faille. La grille détaillée des récompenses est disponible sur YesWeHackTarget not accessible.
Pour avoir droit à une récompense, il faut s’inscrire et s’identifier sur YesWeHackTarget not accessible.
Autres programmes bug bounty autour du vote électronique
Conformément aux prescriptions légales, toutes les parties du processus de vote électronique sont testées, même celles en dehors du système de la Poste. Les autres fournisseurs / partenaires des cantons organisent leurs propres programmes bug bounty.