L'état inquiétant de l'infrastructure informatique de la démocratie suisse

Une étude de Republik montre que de nombreux cantons suisses utilisent des logiciels obsolètes ou vulnérables pour calculer et communiquer les résultats des votations et élections.

Le postulat que notre démocratie est sûre, car elle est fondée sur l’utilisation du papier, comme l’argumentent les adversaires du vote électronique, est un mythe.

Le tentatives de manipulation de la démocratie ne sont pas exclusivement liées au processus-même de vote, car de très nombreux logiciels et systèmes électroniques sont aussi utilisés pour la mise en place et le fonctionnement des votations et élections; par exemple, pour communiquer les registres de vote aux imprimeries, pour imprimer et scanner les bulletins, pour transmettre les résultats des communes au canton, puis des cantons à la Confédération.

La recherche de Adrienne Fichter, rédactrice à Republik montre qu'au moins 14 cantons suisses utilisent pour les votations et élections des logiciels vulnérables ou obsolètes. La configuration des serveurs déficientes, de chiffrements faibles et de sécurité défaillante ont été trouvées, dont la faute incombe pour une part aux fournisseurs de logiciels, et pour une autre part à manque de sensibilisation à la sécurité informatique des administrations cantonales.

Par ailleurs, l’étude met en évidence une réglementation lacunaire de cette infrastructure critique: il n’existe à ce sujet aucune recommandation de la part de la Confédération en matière de sécurité. Il n’y a par conséquent aucune transparence sur le fonctionnement des programmes informatiques et la Chancellerie fédérale botte en touche puisque la sécurité de l’organisation des votations et élections est l’affaire des cantons.

Une même transparence et de mêmes régulations que pour l'e-voting sont nécessaires: recommandations claires, validation publique des logiciels par la Chancellerie fédérale et publication des codes sources.

Les cantons effectuent des contrôles approfondis pour découvrir des fraudes, et il n’y a pour l’instant aucune preuve que de l’exploitation des faiblesses trouvées par des pirates informatiques. Par ailleurs des mesures sont déjà prises par certains fournisseurs et cantons pour améliorer cette sécurité.

Un constat inquiétant

Le constat est malgré tout inquiétant. Voici d’après l’étude les plus grandes faiblesses:

  • attaques potentielles internes par des attaquants qui ont eu accès au réseau d’une administration cantonale;
  • mots de passe par défaut de faible qualité;
  • éventuelles attaques de type man in the middle entre les locaux de vote et la centrale.

De plus, la situation en matière de régulation est absurde, puisque le e-voting est fortement réglementé, le décompte électronique des votes est un peu réglementé, au moyen d’une circulaire aux cantons, et la transmission des résultats n’est pas du tout réglementée.

Et malgré des avis et des rapports d’experts unanimes, presque rien ne se passe au niveau politique.