Une équipe de chercheurs a examiné le code source publié dans le cadre du système de vote électronique de SwissPost, fourni par Scytl, et a découvert une trappe cryptographique.

S'il est exploité, les chercheurs disent que cela pourrait permettre aux initiés qui ont dirigé ou mis en œuvre le système électoral de modifier les votes sans être détectés.

Université de Melbourne Vanessa Teague de la School of Computing and Information System a mené la recherche avec Sarah Jamie Lewis de l'Open Privacy Research Society (Canada) et Olivier Pereria de l'Université Catholique de Louvain (Belgique).

Dans le système de SwissPost, les votes électroniques cryptés doivent être « mélangés » pour protéger la confidentialité des votes individuels.

L'autorité qui procède au remaniement est censée fournir une preuve mathématique qu'aucun vote n'a été modifié. Cela permet de vérifier le résultat de l'élection.

Mais la trappe trouvée dans ce code permet à une autorité de produire une preuve qui semble vérifier correctement modifie en réalité les votes.

"L'existence d'une trappe est préoccupante, ", a déclaré Mme Lewis.

"Bien que rien dans notre analyse ne suggère que ce problème a été introduit délibérément, sa simple présence soulève de sérieuses questions sur le reste du code."

Ce n'est pas la première fois que des chercheurs identifient de sérieuses failles dans les systèmes de vote par Internet.

Analyse d'autres systèmes à Washington DC, Estonie, La Nouvelle-Galles du Sud et l'Australie-Occidentale ont soulevé de sérieuses inquiétudes concernant la confidentialité, l'intégrité et la vérifiabilité.

"Dans ce cas, notre analyse du code montre des erreurs qui sont cohérentes avec une implémentation naïve d'un protocole cryptographique complexe par des personnes bien intentionnées qui n'avaient pas une compréhension complète de ses hypothèses de sécurité, " a déclaré le professeur agrégé Teague.

"Bien sûr, si quelqu'un voulait introduire une opportunité de manipulation, la meilleure méthode serait celle qui pourrait être expliquée comme un accident si elle était trouvée. Nous ne voyons tout simplement aucune preuve de toute façon. »

Les chercheurs ont partagé la découverte avec SwissPost, qui disent qu'ils ont maintenant réglé le problème.

Mme Lewis, Le professeur Pereira et le professeur agrégé Teague ont également publié un article qui explique les détails techniques de la trappe et comment un initié pourrait l'exploiter pour modifier de manière indétectable les résultats des élections.