Lexipedia

Modification de l’ordonnance sur les droits politiques (ODP) et de l’ordonnance de la ChF sur le vote électronique (OVotE)

Chancellerie fédérale ChF Section des droits politiques

Révision partielle de l’ordonnance sur les droits politiques et révision totale de l’ordonnance de la ChF sur le vote élec- tronique (restructuration de la phase d’essai) Rapport explicatif pour la consultation

28 avril 2021

5.2.2 Annexe contenant les exigences techniques et administratives applicables au vote

1. Rappel des faits

Le vote électronique en Suisse, qui est en phase d’essai depuis 2004, est un maillon de la Stratégie suisse de cyberadministration de la Confédération et des cantons. Les bases légales sur lesquelles se fondent les essais sont l’art. 8a de la loi fédérale du 17 décembre 1976 sur les droits politiques (LDP ; RS 161.1), les art. 27a à 27q de l’ordonnance du 24 mai 1978 sur les droits politiques (ODP ; RS 161.11) et l’ordonnance de la ChF du 13 décembre 2013 sur le vote électronique (OVotE ; RS 161.116). Le principe qui veut que « la sécurité prime la vitesse » est appliqué depuis que le projet a été lancé. En Suisse, seuls sont autorisés les systèmes de vote électronique qui répondent aux exigences de sécurité sévères qui figurent dans le droit fédéral. Depuis 2004, 15 cantons au total ont créé les bases légales nécessaires à l’utilisation du vote électro- nique, et ont proposé ce canal à une partie de leurs électeurs dans le cadre de plus de 300 essais réussis. Tous ont ouvert les essais aux électeurs suisses de l’étranger, et certains d’entre eux ont étendu cette participation à une partie des électeurs résidant en Suisse. Au cours des dernières années, les cantons avaient le choix entre deux systèmes de vote électronique : d’une part, le système du Canton de Genève, et, d’autre part, celui de La Poste Suisse (Poste). Ces fournisseurs ayant tous deux retiré leur système à la mi-2019, le vote électronique n’est plus possible en Suisse actuellement. En 2019, la Poste a publié le code source de son futur système à vérifiabilité complète et a soumis ce dernier à un test public d’intrusion1. Après la découverte de plusieurs failles dans son système de l’époque et dans son futur système, elle a annoncé en juillet 2019 que le système à vérifiabilité individuelle ne serait plus utilisé et qu’elle se concentrerait sur le développement du système à vérifiabilité complète. En janvier 2021, elle a, dans un premier temps, publié le protocole cryptographique de son système à véri- fiabilité complète, dont la conception est axée sur le respect des exigences fédérales en matière de véri- fiabilité complète. Le Canton de Genève a développé et exploité son propre système, que plusieurs cantons ont utilisé. En novembre 2018, il a annoncé qu’il renonçait à développer son système, considérant qu’il n’avait pas à

développer, exploiter et financer seul un système informatique d’une telle complexité et d’une telle am- pleur. En juin 2019, il a par ailleurs annoncé qu’il mettait fin à l’exploitation de son système avec effet immédiat2. Toujours en 2019, il a publié sous licence open source le code source de son système à vérifiabilité complète, dont le développement n’était pas terminé. La Haute école spécialisée bernoise a achevé les éléments du système genevois qui sont déterminants en matière de sécurité et les a publiés sous licence open source à l’automne 2020. La conception de ce système est aussi axée sur le respect des exigences fédérales en matière de vérifiabilité complète. Le Conseil fédéral a décidé le 19 décembre 2018 d’ouvrir la procédure de consultation relative à la mise en exploitation du canal de vote électronique. La révision partielle proposée de la LDP aurait ainsi mis fin à la phase d’essai et fait du vote électronique le troisième canal de vote. La consultation a montré qu’une majorité significative des cantons et des partis étaient favorables à l’instauration du vote électronique. La Conférence des gouvernements cantonaux et 19 cantons ont même approuvé le passage à la mise en exploitation. Les partis qui étaient a priori favorables au vote électronique ont toutefois estimé que le temps n’était pas encore venu de franchir ce pas.

Communiqué de presse de la ChF du 29 mars 2019, consultable sur www.chf.admin.ch > Droits politiques > Vote électronique > Communiqués de presse. Communiqués de presse du Canton de Genève du 28 novembre 2018 et du 19 juin 2019, consultables sur www.ge.ch/docu- ment/point-presse-du-conseil-etat-du-28-novembre-2018#extrait-12897 et www.ge.ch/document/point-presse-du-conseil-etat- du-19-juin-2019.

2. Restructuration de la phase d’essai

2.1 Mandats confiés par le Conseil fédéral

Au vu des résultats de la consultation consacrée au passage à la mise en exploitation du vote électro- nique, le Conseil fédéral a décidé, le 26 juin 2019, de renoncer momentanément à la révision de la LDP, tenant ainsi compte notamment des développements concernant les deux systèmes disponibles à ce moment-là. Il a par ailleurs chargé la ChF de concevoir avec les cantons une restructuration de la phase d’essai du vote électronique3. Ce faisant, il a fixé les objectifs de cette restructuration, qui sont les sui- vants :

1. poursuite du développement des systèmes ;

2. surveillance et contrôles efficaces ;

3. renforcement de la transparence et de la confiance ;

4. renforcement des liens avec les milieux scientifiques.

Le comité de pilotage Vote électronique (CoPil VE) a institué le sous-groupe de travail Restructuration et reprise des essais (SGTRR)4, le chargeant de définir des mesures en vue de la restructuration et de les échelonner dans la perspective de la reprise des essais. Lors de sa séance du 19 décembre 2020, le Conseil fédéral a pris acte du rapport final du CoPil VE du 30 novembre 2020 consacré à la restructuration et à la reprise des essais. Il a en outre chargé la ChF de mettre en œuvre progressivement les mesures indispensables à cette restructuration, en collaboration avec les cantons, et de lui présenter d’ici au milieu de l’année 2021, en vue de l’organisation d’une con- sultation, un projet portant sur les modifications nécessaires de l’ODP et de l’OVotE. L’objectif du Conseil fédéral est que les cantons puissent de nouveau mener des essais de vote électro- nique limités. La sécurité du vote électronique sera garantie par des exigences de sécurité plus précises, par des règles de transparence plus rigoureuses, par une collaboration plus étroite avec des experts indépendants et par un contrôle efficace effectué sur mandat de la Confédération5.

2.2 Dialogue avec les milieux scientifiques

Pour concevoir la restructuration, la Confédération et les cantons ont mené un vaste dialogue consacré au vote électronique en Suisse avec 23 experts suisses et étrangers issus de l’informatique, de la cryp- tographie et des sciences politiques. Toutes les évaluations du dialogue ont été publiées 6. Les experts estiment qu’il faut intervenir en ce qui concerne la sécurité, la transparence et le contrôle indépendant des systèmes. Ils sont néanmoins d’avis que des progrès significatifs ont été accomplis au cours des 15 dernières années. Ils recommandent d’analyser également la sécurité des autres canaux de vote. Ils invitent en outre à approfondir la question de la création d’un climat de confiance. Les experts estiment que la vérifiabilité et la diversité des composants importants pour la vérifiabilité (composants de contrôle et de vérification) sont une condition préalable de la fiabilité d’un système. Les preuves de sécurité déjà exigées aujourd’hui en matière de cryptographie sont importantes, et devront être adaptées en continu à l’état actuel de la science. Les experts conseillent également aux autorités de travailler à la standardisation des composants cryptographiques. Par ailleurs, il faut veiller à ce que la documentation relative au système et le code source soient dispo- nibles sous une forme qui permette un contrôle efficace de leur conformité avec les exigences légales. Les experts soulignent l’importance d’associer en tout temps des spécialistes – en particulier issus du

Communiqué de presse du Conseil fédéral du 27 juin 2019, consultable sur www.chf.admin.ch > Droits politiques > Vote électro- nique > Communiqués de presse. Placé sous la direction de la ChF, le sous-groupe de travail Restructuration et reprise des essais se composait de représentants des cantons de BE, FR, BS, SG, GR, AG, TG et NE. La Poste, en sa qualité d’unique fournisseur d’un système, était toujours représentée lors des séances du sous-groupe de travail. Communiqué de presse du Conseil fédéral du 21 décembre 2020, consultable sur www.chf.admin.ch > Droits politiques > Vote électronique > Communiqués de presse. Communiqués de presse de la ChF du 23 juin 2020 et du 19 novembre 2020, consultables sur www.chf.admin.ch > Droits poli- tiques > Vote électronique > Communiqués de presse.

monde scientifique – à la conception, au développement et au contrôle des systèmes de vote électro- nique. Un comité scientifique pourrait les assister dans ce domaine. Les experts estiment que l’apprécia- tion des risques et le cas échéant la prescription de mesures doivent rester l’affaire des autorités. Au lieu de miser, comme jusqu’à présent, sur une certification des systèmes, les autorités doivent mettre en place un processus d’amélioration continue. Les contrôles indépendants doivent être commandés par un comité indépendant ou par la Confédération. Qui plus est, le recours à des experts indépendants et la création de conditions générales appropriées permettront de mettre en place un contrôle (public) efficace et continu. Les experts attachent une grande importance au contrôle public, la transparence constituant la condition de son efficacité. Ils recommandent, au lieu de réaliser un test public d’intrusion (PIT), à l’instar de celui qui a été mené en 2019, d’organiser des hackathons ou de mettre en place un programme permanent de bug bounty assorti d’un système de rétributions financières destinées à récompenser les personnes découvrant des erreurs. D’une manière générale, le dialogue avec des experts issus de différents domaines a permis de mener un large débat sur la nécessité d’agir et sur les solutions possibles. Les experts sont même favorables à ce que ce dialogue se poursuive dans le cadre d’un échange permanent entre autorités et scientifiques, et à ce que l’on mette davantage l’accent à l’avenir sur des sujets à portée sociale. Concrètement, ils recommandent que l’on continue d’approfondir les questions de renforcement de la confiance, estimant par ailleurs que le débat autour de la sécurité devrait concerner non seulement le vote électronique, mais aussi les autres canaux de vote. Une vision globale des attaques possibles permettrait d’améliorer la sécurité des élections et des votations dans son ensemble.

2.3 Orientations de la restructuration

À l’issue du dialogue avec les milieux scientifiques, la Confédération et les cantons ont établi un rapport final assorti d’un catalogue de mesures complet. Les résultats du dialogue ont servi à élaborer les me- sures. Le CoPil VE a adopté son rapport final sur la restructuration de la phase d’essai et la reprise des essais le 30 novembre 20207. La mise en œuvre des nombreuses mesures proposées vise à répondre à la nécessité d’agir identifiée dans les quatre objectifs fixés par le Conseil fédéral. La mise en œuvre des mesures se fera par étapes. La première concerne la reprise des essais. Ces derniers pourront ainsi reprendre à petite échelle, alors que l’on travaillera en permanence à la mise en œuvre des objectifs à moyen et à long termes. La poursuite des essais dans certains cantons permettra d’éviter non seulement la perte des ressources et du savoir-faire existants, mais aussi des investissements réalisés par les cantons et les fournisseurs de systèmes. Elle permettra en outre à tous les acteurs concernés de rassembler d’indispensables expé- riences dans l’utilisation de systèmes à vérifiabilité complète. Plusieurs mesures, telles que le maintien de la limitation de l’électorat, souligneront le caractère expérimental du projet. Par ailleurs, le principe qui veut que « la sécurité prime la vitesse » continuera de s’appliquer. Des mesures supplémentaires sont prévues pour les années qui suivront. La mise en œuvre des mesures à moyen et à long termes inter- viendra, d’après les premières estimations, dans les cinq ans à compter de la reprise des essais. Les orientations de la restructuration et l’échelonnement de la mise en œuvre sont résumés dans le ta- bleau suivant :

Le rapport final et l’ensemble des documents concernant le dialogue avec les milieux scientifiques figurent sur le site Internet de la ChF : www.chf.admin.ch > Droits politiques > Vote électronique.

Orientations Échelonnement de la Traduction dans le mise en œuvre projet mis en consul- tation en 2021

1. Poursuite du développement des systèmes

Assurer la qualité du système grâce à des spécifica- Reprise des essais ; pro- Préciser les exigences tions plus précises des critères de qualité et à des pro- cessus d’amélioration con- cessus traçables de développement et de déploiement tinue Assurer la forensic readiness des systèmes utilisés au Reprise des essais ; pro- Préciser les exigences moyen d’une détection et d’une investigation efficaces cessus d’amélioration con- des incidents tinue Créer un instrument de planification commun et public Reprise des essais ; con- - de la Confédération et des cantons pour la mise en trôle en continu œuvre continue des mesures de sécurité Renforcer la vérifiabilité par une plus grande diversité À moyen terme ; travaux - et une plus grande indépendance des différents com- d’approfondissement posants jusqu’à 2 ans après la re- prise des essais

2. Surveillance et contrôle efficaces

Assurer l’efficacité des contrôles indépendants du sys- Reprise des essais Adapter les responsabili- tème tés et préciser les exi- gences Mettre en place une procédure réglementée pour le Reprise des essais - traitement des non-conformités avérées ou présumées Améliorer l’appréciation des risques et la gestion de Reprise des essais ; pro- Préciser les exigences crise cessus d’amélioration con- (appréciation des tinue risques) Poursuivre le développement de l’établissement de la En continu, première étape - plausibilité jusqu’en 2022 Procéder à des ajustements et au contrôle des proces- Reprise des essais et con- S’adapter aux nouvelles sus dans la procédure d’approbation, ainsi que des trôle à long terme responsabilités processus, rôles et tâches

3. Renforcement de la transparence et de la confiance

Limiter l’électorat durant la phase d’essai Reprise des essais Adapter Assurer plus de transparence et un accès plus facile En continu Préciser les exigences aux informations sur le système, aux rapports d’audit et aux résultats Mettre sur pied et veiller à une participation accrue En continu Préciser les exigences d’une communauté composée de spécialistes et du public (décideurs politiques, milieux spécialisés, groupes d’intérêt et grand public) en vue d’un contrôle public continu

4. Renforcement des liens avec les milieux scientifiques

Assurer un suivi continu par la communauté scienti- Thème transversal, mise Adapter fique et associer aux travaux des experts indépen- en œuvre continue dants Mettre en place un comité scientifique chargé d’assis- À moyen terme - ter et de conseiller la Confédération et les cantons

3. Aperçu du projet mis en consultation

Le présent projet comprend une révision partielle de l’ODP ainsi qu’une révision totale de l’OVotE et de son annexe. Ces révisions correspondent à la première étape de la mise en œuvre des mesures de restructuration de la phase d’essai. Les grands axes du projet sont les suivants :

- Poursuite de la phase d’essai : Le vote électronique sera de nouveau en phase d’essai. Jusqu’à présent, les dispositions du droit fédéral prévoyaient trois plafonds pour la participation de l’électorat, en fonction du degré de déve- loppement des systèmes. Lors de la prochaine phase d’essai, la participation aux essais sera limitée à 30 % de l’électorat cantonal et à 10 % de l’électorat national, même en cas d’utilisation de systèmes à vérifiabilité complète. Ces plafonds seront revus régulièrement à la lumière des développements intervenus en matière de vote électronique. Les électeurs suisses de l’étranger continueront de ne pas être comptabilisés dans le calcul des plafonds (art. 27f, al. 3, du projet d’ODP [P-ODP]). Les électeurs qui ne peuvent pas exprimer leur suffrage de manière autonome, dans le respect du secret du vote, en raison d’un handicap ne seront pas comptabilisés eux non plus dans le calcul des pla- fonds, ce qui constitue une nouveauté.

- Renforcement de la sécurité : À l’avenir, la Confédération n’autorisera plus que des systèmes à vérifiabilité complète. Il s’agit là d’une mesure importante pour garantir la sécurité du vote électronique : la vérifiabilité complète per- met d’identifier les manipulations des suffrages exprimés par voie électronique. La sécurité des sys- tèmes de vote électronique sera encore renforcée par des exigences de sécurité et de qualité plus précises qui s’appliqueront aux systèmes et à leur développement.

- Répartition des compétences entre la Confédération et les cantons : Chaque canton continuera de déterminer s’il souhaite mener des essais de vote électronique. L’ac- quisition des systèmes restera aussi du ressort des cantons, lesquels pourront – comme c’était le cas jusqu’à présent – exploiter leur propre système, utiliser le système d’un autre canton ou faire appel à une entreprise privée (art. 27kbis, al. 1, let. b, ODP). La Confédération continuera de fixer le cadre réglementaire et de délivrer les autorisations.

- Contrôles indépendants : La certification des systèmes et de leur exploitation qui était exigée jusqu’à présent sera remplacée par un audit indépendant effectué sur mandat de la Confédération, lequel garantira un contrôle effi- cace de la sécurité, et donc des conditions d’autorisation, tout en permettant d’identifier des amélio- rations potentielles pour l’avenir. Le présent projet de révision prévoit dès lors que la plupart des contrôles seront désormais effectués sur mandat de la ChF, et non plus des cantons ou de l’exploi- tant du système.

- Transparence, participation du public et collaboration avec les milieux scientifiques : Des prescriptions plus sévères en matière de transparence et le recours accru à des expertsindé- pendants pour concevoir, développer et contrôler les systèmes de vote électronique contribueront à établir un processus d’amélioration continue. Le public aura accès à toutes les informations relatives au système et à son exploitation, mais aussi aux rapports d’audit, et sa participation aux travaux devra être encouragée. On posera ainsi les fondements d’un contrôle public continu, les milieux scientifiques ayant eux aussi un rôle important à jouer à cet égard. Il s’agira ensuite de préciser les exigences actuelles applicables à la publication du code source des systèmes de vote électronique et de rendre obligatoire la mise en place d’un programme de bug bounty assorti d’un système de rétributions financières récompensant les personnes ayant fourni de précieuses informations.

4. Conséquences pour la Confédération, les cantons et d’autres acteurs

La sécurité est capitale pour le vote électronique, ce qui n’est pas sans conséquences financières pour les autorités et les fournisseurs de systèmes. La couverture des coûts se fera en fonction de la répartition des tâches entre la Confédération et les cantons dans le domaine des droits politiques, la plus grande partie des coûts restant à la charge des cantons. La mise en œuvre de la première étape de mesures, qui interviendra en 2021 et en 2022, engendrera des coûts supplémentaires de 1,2 à 1,5 million de francs pour les cantons, d’après les estimations qu’ils ont réalisées. Les frais d’exploitation annuels augmenteront vraisemblablement de quelque 50 000 à 70 000 francs. Quant à la mise en œuvre des mesures à moyen et à long termes, elle entraînera des coûts supplémentaires de 3,4 à 4,1 millions de francs selon les estimations. Ces mesures feront augmen- ter les frais d’exploitation annuels de quelque 0,9 à 1,1 million de francs. Il s’agit, pour les estimations susmentionnées, de coûts totaux pour tous les cantons. La Confédération estime les surcoûts uniques durant la première étape à quelque 1,25 million de francs. Ces coûts, prévus pour la période 2021-2022, comprennent notamment les audits indépendants des sys- tèmes de vote électronique, qui seront désormais réalisés sur mandat de la ChF. Il faut par ailleurs s’at- tendre à des coûts récurrents à moyen et à long termes. La restructuration n’entraînera pas de besoins de ressources humaines supplémentaires. Les coûts devront vraisemblablement être pris en charge par quelques cantons seulement pendant une période assez longue. Si la pérennité du vote électronique est assurée, la Confédération devra participer plus largement à la couverture des coûts inhérents à la phase d’essai qui sont à la charge des cantons. Il existe deux instruments pour le cofinancement de projets cantonaux de vote électronique : le plan de mise en œuvre de la Cyberadministration suisse, plus précisément de l’Administration numérique suisse, et, dans une moindre mesure, la loi sur les Suisses de l’étranger (art. 21 LSEtr ; RS 195.1) et l’ordonnance sur les Suisses de l’étranger (art. 15 OSEtr ; RS 195.11). Les mesures de restructuration auront par ailleurs un impact sur la Poste, qui est pour l’heure le seul fournisseur d’un système de vote électronique. La Confédération n’a pas connaissance de coûts qui pour-

raient être à la charge de la Poste, ni de coûts qui pourraient dépasser les estimations mentionnées plus haut à la charge de la Confédération et des cantons.

5. Commentaire des dispositions

5.1 Ordonnance sur les droits politiques (ODP)

En ce qui concerne l’ODP, le présent projet concerne en particulier les modifications de la mise en œuvre de la restructuration de la phase d’essai du vote électronique (modification de la section 6a, voir chap. 5.1.1). Qui plus est, il contient quelques mises à jour de la section 3 et de l’annexe 3a (voir chap. 5.1.2).

5.1.1 Modification de la section 6a, consacrée aux essais de vote électronique

Pour clarifier le rapport entre la procédure d’octroi d’une autorisation générale et la procédure d’octroi d’un agrément, on a remplacé le libellé de la let. b par un renvoi aux conditions requises pour un agré- ment. Cette modification, qui correspond au mode opératoire actuel, n’a aucune conséquence pratique.

Cet alinéa peut être abrogé suite à la modification de l’art. 27b, let. b, P-ODP.

Le Conseil fédéral indique dans l’autorisation générale aussi bien le territoire que la part de l’électorat concernés par le recours au vote électronique. Il a besoin de connaître le nombre d’électeurs qui pourront voter par voie électronique pour contrôler le respect du plafond fixé à l’art. 27f, al. 1, P-ODP.

Al. 1 et 1bis : Ces alinéas comprennent l’al. 1 en vigueur, complété par la mention selon laquelle la ChF fixe les exigences applicables au système de vote électronique et à son exploitation. Cette délégation de compétence, qui figurait à l’art. 27f, est désormais réglée à cet endroit. Al. 2 : Adaptation rédactionnelle.

Art. 27f Plafonds Al. 1 : Jusque-là, les différents plafonds étaient liés à la mise en œuvre des exigences de sécurité. Pour les systèmes à vérifiabilité complète, le Conseil fédéral aurait pu ne pas fixer de plafond. Durant la phase d’essai écoulée, il n’y a encore aucun canton qui a pu remplir les conditions pour permettre à plus de 30 % de son électorat de voter par voie électronique. Et le plafond de 10 % de l’électorat national n’a jamais été atteint lui non plus8. Désormais, les plafonds seront fixés à 30 % de l’électorat cantonal et à 10 % de l’électorat national, même en cas d’utilisation de systèmes à vérifiabilité complète. En fixant un plafond qui correspond au plafond actuel le plus bas, on souligne le caractère expérimental du vote élec- tronique. Le contrôle du respect du plafond cantonal continuera d’incomber aux cantons, qui seront libres de choisir la manière de garantir le respect du plafond fixé pour les électeurs résidant en Suisse. Jusqu’à présent, ils l’ont fait en recourant par exemple à une procédure d’annonce ou à des communes-pilotes. Enfin, la responsabilité du respect du plafond au niveau national incombera à la Confédération. Al. 2 : La limitation fixée à l’al. 1 s’appliquera à la prochaine étape de la phase d’essai. Il s’agit de donner aux cantons la possibilité de rassembler des expériences avec les systèmes à vérifiabilité complète pen- dant que les essais resteront limités. Le réexamen régulier des plafonds permettra de tenir compte des

S’agissant de l’électorat national, le pourcentage le plus élevé a été atteint lors du scrutin du 10 février 2019, quand près de 2,5 % des électeurs résidant en Suisse ont pu voter par voie électronique.

évolutions entourant le vote électronique. Il devra prendre en considération l’utilisation du vote électro- nique par les cantons à ce moment-là et ultérieurement, le contexte politique, la stabilité de la phase d’essai et le degré de confiance de la population. Si, après avoir pris en compte ces aspects, la ChF estime indiqué d’adapter les plafonds, elle soumettra au Conseil fédéral une proposition visant à modifier l’al. 1. Al. 3 : L’ancien al. 2 a subi la modification suivante : Il n’y a pas que les électeurs suisses de l’étranger qui constituent des groupes cibles particuliers du vote électronique, il y a aussi les électeurs qui ne peu- vent pas exprimer leur suffrage de manière autonome, dans le respect du secret du vote, en raison d’un handicap. En complétant l’al. 3, on fait en sorte que ces deux groupes cibles ne soient pas comptabilisés dans le calcul des plafonds. Les cantons auront ainsi la possibilité de proposer le vote électronique à ces deux groupes cibles sans que la limitation de l’électorat constitue un obstacle.

La formulation actuelle de l’art. 27i, al. 1 et 2, se réfère à la possibilité de permettre à une partie ou à l’ensemble de l’électorat de voter par voie électronique. Comme l’art. 27f, al. 1, P-ODP ne prévoit plus la possibilité de permettre à l’ensemble de l’électorat de voter par voie électronique durant la future phase d’essai, il faut adapter la formulation. Al. 1 : L’établissement de la plausibilité des résultats des scrutins durant lesquels le vote électronique est utilisé vise à fournir des indices donnant à penser que des erreurs ont été commises involontairement dans l’établissement des résultats ou que ceux-ci ont été manipulés. Les cantons pourront continuer d’utiliser plusieurs méthodes pour procéder à l’établissement de la plausibilité. Ils pourront par exemple contrôler les suffrages exprimés ayant fait l’objet d’un procès-verbal, comparer les résultats avec ceux du vote par correspondance ou à l’urne, ou encore comparer les suffrages électroniques décomptés avec ceux qui figurent dans les fichiers journaux des serveurs des votations ou des élections. Des méthodes statistiques pourront aussi être utilisées lors des essais, à condition qu’elles soient disponibles et que la base de données le permette. Al. 2 : La vérifiabilité du vote électronique est la mesure majeure destinée à garantir la sécurité du vote électronique, car elle permet d’identifier toute manipulation des suffrages exprimés par voie électronique. La vérifiabilité consiste à pouvoir vérifier :

  • si le suffrage a été exprimé conformément à l’intention de son auteur ;
  • s’il a été enregistré comme il a été exprimé ;
  • s’il a été décompté comme il a été enregistré. En plus d’établir la plausibilité au sens de l’al. 1, il s’agira de ne plus autoriser en Suisse que des systèmes de vote électronique offrant la vérifiabilité complète, même si seule une partie de l’électorat pourra voter par voie électronique. La disposition en vigueur a par ailleurs subi de légères adaptations rédactionnelles.

Cet alinéa peut être abrogé étant donné que la ChF sera désormais dégagée des relations contractuelles. La relation contractuelle entre les cantons et d’éventuelles entreprises privées découle de l’al. 1.

Art. 27l Evaluation des systèmes et des modalités d’exploitation Al. 1 : Il reprend l’al. 2 en vigueur et règle les motifs nécessitant une évaluation. Al. 2 : L’objet de l’évaluation correspond à la réglementation en vigueur. L’auditeur et l’audité doivent être indépendants l’un de l’autre. Al. 3 et 4 : La ChF règle dans son ordonnance les éléments à contrôler, les conditions que doivent remplir les entités mandatées et les compétences en matière d’octroi de mandats. Depuis la révision des bases légales en 2013, l’évaluation des systèmes de vote électronique a été exigée dans la plupart des cas par des entités externes accréditées. Les cantons étaient chargés non seulement de mandater une entité ou

de la faire mandater par l’exploitant d’un système pour qu’elle établisse la certification requise, mais aussi d’apporter les preuves exigées dans le cadre de la procédure d’autorisation. Dans le cadre de la restruc- turation de la phase d’essai, il a été constaté qu’il était souhaitable que ce soit la Confédération qui com- mande les audits. À l’avenir, il s’agira de répartir les compétences entre la Confédération et les cantons de telle sorte que la Confédération assume davantage de responsabilités et un rôle plus direct dans le contrôle des systèmes.

Art. 27m Association et information du public Al. 1 : Pour associer le public et les milieux spécialisés aux travaux, la ChF et les cantons mettent en œuvre des mesures qui peuvent comprendre par exemple l’organisation de colloques ou de conférences scientifiques, de concours d’idées et de hackathons, la gestion de plateformes d’information et la mise sur pied de projets dans le domaine des sciences participatives. Il s’agit en particulier de créer les incita- tions nécessaires à la participation de spécialistes issus de la société civile, par exemple au moyen de la mise en place d’un programme de bug bounty par les cantons. Al. 2 : La publication d’informations relatives au système de vote électronique et à son exploitation sert à permettre une bonne compréhension des opérations. Il s’agit de tenir compte des destinataires que sont les spécialistes ainsi que les personnes ne disposant pas de connaissances spécialisées. L’élément cen- tral est ici la publication du code source et de la documentation en la matière. Aujourd’hui déjà, les art. 7a et 7b OVotE exigent des cantons qu’ils publient le code source du logiciel d’un système à vérifiabilité complète destiné au vote électronique, accompagné d’une documentation suffisante. Le code source permet de voir comment le système enregistre et traite les votes. Le principe de transparence, qui est important, doit être inscrit dans l’ODP. Les informations publiées permettent aux spécialistes de s’investir dans le processus, ce qui sera propice à la sécurité et à la qualité des systèmes, mais aussi à la confiance. La publication d’informations relatives au système, à savoir en particulier son code source, et à son ex- ploitation contribue à instaurer un débat objectif et factuel. La disponibilité des informations limite la dé- pendance à l’égard de personnes ou d’organisations particulières. La ChF continuera d’apporter les pré- cisions nécessaires dans son ordonnance. Al. 3 : Il correspond à l’al. 1 en vigueur ; il a subi de légères modifications rédactionnelles. Les cantons devront informer les électeurs, comme c’est le cas aujourd’hui. Il s’agit notamment des informations figu- rant sur le matériel de vote, qui décrivent le déroulement précis du vote électronique et la procédure à suivre en cas d’irrégularités ou de problèmes. On considère par ailleurs qu’il est important d’expliquer aux

électeurs la notion fondamentale qu’est la vérifiabilité. Car la procédure de vérifiabilité ne permet d’iden- tifier des irrégularités que si les électeurs y ont recours. La vérifiabilité complète ne peut avoir un impact positif sur la confiance que si l’on comprend véritablement son utilité. Al. 4 : Il correspond, sur le fond, à l’al. 2 en vigueur. La disposition a été précisée en ce sens qu’on y explique que la possibilité d’observation porte sur les opérations qui ponctuent le déroulement d’un scrutin (par ex. la procédure de dépouillement ainsi que le chiffrement et le déchiffrement de l’urne). Cette dis- position continue d’assurer la transparence vis-à-vis des électeurs et de ne pas exiger des cantons qu’ils mettent en place des structures permanentes destinées à représenter les électeurs, par exemple des commissions électorales. En principe, il suffit par exemple qu’un bureau électoral composé d’électeurs et institué par l’autorité compétente puisse suivre les procédures et les opérations. Par ailleurs, il ne s’agit pas de donner accès à toutes les étapes et de publier tous les documents. Si des motifs prépondérants militent contre un accès ou une publication, il restera possible de rejeter la demande. À cet égard, on pourrait recourir aux exceptions figurant dans la législation sur la transparence, laquelle est applicable. Par ailleurs, le renvoi à la loi du 17 décembre 2004 sur la transparence, qui est désormais superflu, peut être supprimé. Ce qui est déterminant, c’est que le scrutin se déroule en temps voulu ; à aucun moment ce déroulement ne doit être mis en péril en raison de cette disposition. Al. 5 : Les cantons sont tenus de publier les résultats du vote électronique, ce qui constitue une nou- veauté, avant tout dans un souci de transparence. Les résultats ci-après doivent être publiés : - dans le cas des votations : le nombre de oui, de non et de suffrages blancs ;

- dans le cas des élections : le nombre de suffrages exprimés par voie électronique pour chaque can- didat (suffrages nominatifs) et pour chaque liste (suffrages de liste). Les données doivent être publiées d’une manière aussi détaillée que possible. Dans le cas des votations, il faut chercher à fournir des indications par commune ; dans le cas des élections, par arrondissement électoral. La publication ne doit pas mettre en péril le secret du vote. Celui-ci serait menacé par la publi- cation si, par exemple, seuls les électeurs suisses de l’étranger pouvaient voter par voie électronique et si, dans une commune, seule une personne vivant à l’étranger était habilitée à voter. Si le secret du vote était menacé par la publication, il ne faudrait généralement pas renoncer au principe de publication, mais examiner la possibilité de recourir à d’autres solutions, par exemple déterminer si l’on pourrait procéder à la publication moyennant l’adaptation du degré de détail des informations, en regroupant par exemple les résultats de plusieurs communes, et, dans l’affirmative, comment. La publication ne doit pas avoir lieu dans la Feuille officielle ; il suffit de la faire sur le site Internet du canton. Les informations doivent être facilement accessibles et réexploitables.

Art. 27o Recours à des experts indépendants et suivi scientifique Al. 1 : Les autorités doivent recourir davantage à des experts indépendants dans les domaines où cet accompagnement présente une plus-value, par exemple si cela permet d’acquérir des connaissances dans le domaine de la sécurité du vote électronique. Les experts devraient être indépendants de l’exploi- tant du système et, si possible, des autorités. Le recours à des experts peut englober l’octroi de mandats portant sur des prestations de services ou de conseil précises, comme l’audit du système, l’assistance et le conseil lors de la mise en place d’un système d’appréciation des risques, ou la collaboration dans le cadre de l’exploitation, notamment pour l’évaluation des résultats de la vérification ou pour des enquêtes de suivi. Al. 2 : La ChF doit en outre veiller à ce que les essais de vote électronique fassent l’objet d’un suivi scientifique. Cette disposition porte sur les travaux de recherche effectués par les milieux scientifiques, travaux qui, par rapport à ceux visés à l’al. 1, ne doivent pas servir directement aux travaux des autorités qui sont absolument indispensables à la tenue des scrutins. Ce suivi doit favoriser la création d’une assise qui servira à l’évaluation et qui permettra de donner des orientations en vue de l’amélioration de la phase d’essai. L’al. 3 correspond à l’ancien al. 2.

5.1.2 Modification de la section 3 et de l’annexe 3a

Cette disposition a subi des modifications rédactionnelles. Depuis le 1er novembre 2015, les cantons qui connaissent le système proportionnel doivent fixer la date limite du dépôt des listes de candidats à un lundi du mois d’août de l’année de l’élection (RO 2015 543). Dans les cantons qui connaissent le système majoritaire avec dépôt des listes de candidats, on pourrait toutefois envisager aussi de fixer désormais la date limite du dépôt des listes au début du mois de septembre.

En pratique, on n’utilise plus le télécopieur pour effectuer ces communications. La disposition peut donc être corrigée en conséquence.

Annexe 3a et verso de l’annexe 3a Diverses adaptations faites à la suite de la modification de la LDP du 26 septembre 2014 (RO 2015 543).

5.2 Ordonnance de la ChF sur le vote électronique (OVotE)

5.2.1 Partie principale

Art. 1 Objet Les définitions ont été déplacées dans la partie principale de l’OVotE (voir l’art. 2 P-OVotE).

Art. 2 Définitions Al. 1 : il reprend pour l’essentiel les définitions de l’annexe actuelle de l’OVotE, dans la mesure où elles sont pertinentes pour la partie principale. Commentaire des définitions : Let. a : Le système comprend notamment des composants dotés de fonctions spéciales qui sont impor- tantes pour la vérifiabilité du vote électronique. Il s'agit de ce que l’on appelle les composants de contrôle, les composants de configuration, les composants d'impression et les dispositifs techniques des vérifica- teurs. Let. b : Ne font pas partie du système en ligne les composants du système qui sont utilisés pour la pré- paration et le dépouillement (tels que l’imprimerie et le composant de configuration). Let. c : La partie fiable du système doit permettre de garantir que les dysfonctionnements ou les attaques puissent être détectés même si un seul composant de contrôle fonctionne correctement. En outre, les composants de contrôle permettent une distribution des informations nécessaires au déchiffrement des suffrages. Ainsi, un attaquant devrait s’introduire dans tous les composants de contrôle pour être en me- sure de lire les suffrages. Les modalités détaillées figurent dans les dispositions du ch. 2 de l’annexe. Let. d : Les exigences destinées à garantir une conception et une exploitation indépendantes figurent dans l’annexe au ch. 3. Let. h : Le recours à des vérificateurs sert la transparence. Les électeurs doivent pouvoir présumer que les vérificateurs attireront en cas de doute leur attention sur une irrégularité. Le recours à des vérificateurs vus comme les représentants des électeurs répond à l’art. 27m, al. 4, P-ODP (voir le commentaire cor- respondant). L’organisation et la forme de ce recours à des vérificateurs sont régies par le droit cantonal. Let. i : La plate-forme utilisateur ne fait pas partie de l’infrastructure. Let. j : Concerne en particulier la mise en œuvre des éléments suivants :

  • génération des éléments cryptographiques secrets
  • vérification du droit de vote (il s’agit de vérifier au moyen des données d’authentification serveur si l’émetteur du vote est autorisé à voter ; cette vérification peut être effectuée de manière anonyme)
  • contrôle de validité
  • enregistrement des suffrages entrants
  • mélange cryptographique des suffrages enregistrés
  • déchiffrement des suffrages

- génération des preuves qui, grâce à l’utilisation des composants de contrôle, résultent de la garantie de la vérifiabilité individuelle et de la vérifiabilité universelle Let. n : Dans ce contexte, la partie fiable du système fait référence à un groupe de composants de con- trôle appartenant au système en ligne. Let. p, ch. 1 : Dans une élection au système majoritaire, les champs de texte libre sont toujours considé- rés comme ayant été remplis conformément au système. Let. q : Sur la base des données d’authentification client, le dispositif technique utilisé crée un message d’authentification (par exemple, la signature du suffrage) qui est envoyé à l’infrastructure ; au moyen du message d’authentification et des données d’authentification serveur (par exemple, une clef publique

permettant de vérifier la signature), l’infrastructure authentifie l’émetteur d’un vote en tant que personne autorisée à voter. Les données d’authentification client doivent être difficiles à deviner. Let. s : Il doit être impossible en pratique de générer un message d’authentification valide sans avoir connaissance des données d’authentification client.

Art. 3 Conditions à remplir pour obtenir l’agrément en vue de la tenue d’un scrutin électronique Phrase introductive, let. a et c : Les dispositions ont été revues sous l’angle rédactionnel. À la let. a a en outre été ajoutée la vérifiabilité, désormais exigée aux termes de l’art. 27i, al. 2, P-ODP pour toute utili- sation d’un système de vote électronique. Let. a : Concerne notamment les exigences fixées aux art. 4 à 9 P-OVotE. Let. c : Concerne notamment les exigences fixées aux art. 10 à 12 P-OVotE. Let. d : La disposition actuelle a été complétée par l’obligation de donner accès au public à des informa- tions adaptées et sur la participation du public (en vertu notamment des art. 27m P-ODP et 13 P-OVotE). Cet ajout souligne l’importance de la transparence et de la participation du public aux travaux qui concer- nent le vote électronique. Les informations à fournir et leur forme sont fonction des groupes cibles visés, soit notamment le grand public et les milieux spécialisés.

Art. 4 Appréciation des risques Al. 1 : Pour obtenir un agrément, les cantons doivent, comme précédemment, procéder à des apprécia- tions des risques dans le domaine qui relève de leurs compétences. Tous les risques qui menacent la réalisation des objectifs de sécurité doivent être identifiés au moyen d’une appréciation des risques. Il faut par ailleurs apprécier les risques qui concernent l’environnement du vote électronique au sein de l’administration et dans le public. L’appréciation des risques doit également tenir compte de la confiance et de l’acceptation du public à l’égard du vote électronique. Cette visée générale doit être intégrée de manière transversale dans tous les objectifs et risques de sécurité. Exemples d’application :

  • Exemple 1 : pour prévenir autant que possible les doutes qui pourraient peser sur l’exactitude des résultats, le processus qui définit comment procéder au cas où la vérification de l’exactitude du ré- sultat serait négative est exposé en détail et communiqué.
  • Exemple 2 : pour faire face au risque d’une perte de confiance en réalité non fondée qui pourrait résulter de la découverte d’une faille peu importante dans le système, il est fait appel à des experts indépendants pour l’appréciation et la communication. L’appréciation doit être menée selon une méthode comprenant les activités suivantes : identifier les risques ; analyser les risques ; estimer les risques. Les détails de la méthode utilisée et les critères de tolérance des risques imposés par le canton doivent être documentés. Les appréciations des risques doivent être revues au moins une fois par an et à chaque fois que le système fait l’objet d’une modification majeure. Il faut également s’assurer avant chaque scrutin si des nouveaux risques existent ou si des risques déjà existants se sont accrus. Dans le cadre de l’évaluation qu’elle fait de la situation, la ChF peut établir sa propre appréciation des risques pour son domaine de compétences. Si une appréciation des risques effectuée par la ChF n’im- plique nullement la délivrance d’un agrément aux cantons, elle peut toutefois être prise en compte dans la décision d'accorder ou non cet agrément. Elle est envoyée aux cantons pour information afin qu’ils puissent en tenir compte. La ChF consulte les appréciations effectuées par les cantons pour établir sa propre appréciation des risques.

La ChF fournit aux cantons un guide qui indique comment effectuer les appréciations des risques. Toutes les appréciations des risques doivent refléter la situation du moment, et les derniers développements et connaissances en date doivent y être intégrés en continu. Al. 2 : L’exploitant ou le fabricant du système doit désormais préparer sa propre appréciation des risques, notamment lorsqu’il a recours à un système externe. Pour les autres prestataires dont les services sont

liés à la sécurité, tels que les imprimeries, les fournisseurs de dispositifs techniques destinés aux vérifi- cateurs ou de composants de contrôle, le canton doit vérifier s’il suffit qu’il effectue lui-même l’appréciation des risques ou si une appréciation supplémentaire des risques par le prestataire est nécessaire. Les prestataires de services établissent les appréciations des risques à l’intention du canton. Celui-ci les prend en compte pour effectuer sa propre appréciation des risques, qu’il soumet à la Confédération dans le cadre de la procédure d’autorisation. Al. 3 : La phrase introductive et les objectifs de sécurité (points a à e) sont revus sur le plan linguistique. L’objectif de sécurité figurant au point f est précisé afin de mieux éclairer sa finalité. L’achat de votes, par exemple, entre dans le champ de cet objectif de sécurité. Al. 4 : Correspond essentiellement au précédent al. 2. L’obligation de démontrer que les risques sont jugés suffisamment faibles a été reprise à l’al. 1. L’actuel al. 3 peut être supprimé puisque les éléments visés à l’art. 11 P-OVotE doivent être publiés, ce qui lui enlève une bonne partie de sa signification.

Art. 5 Exigences applicables à la vérifiabilité complète La vérifiabilité complète permet de détecter, sans compromettre le secret du vote, une éventuelle défail- lance système qui se produirait pendant la procédure de vote en raison d’une erreur logicielle, d’une erreur humaine ou d’une tentative de manipulation. Elle prévoit que l’électeur obtienne la preuve que son suffrage a été comptabilisé correctement et qu’il n’a fait l’objet d’aucune altération, provoquée par exemple par un logiciel malveillant installé sur l’ordinateur utilisé. Les vérificateurs peuvent s’assurer, indépendamment du système utilisé, que tous les suffrages dont il a été vérifié qu’ils avaient été émis correctement par les votants, ont également été dépouillés correctement, c.-à-d. conformément à la preuve obtenue par les votants. La mise en œuvre de la vérifiabilité doit se fonder sur des méthodes cryptographiques reconnues. À l’avenir, seuls obtiendront l’agrément les systèmes entièrement vérifiables. Les exigences précédem- ment prévues aux art. 4 et 5 sont reprises aux art. 5 à 8 P-OVotE avec quelques modifications. Al. 2 : La vérifiabilité individuelle permet aux électeurs de constater toute utilisation abusive qui serait faite de leur droit de vote. Cette opération doit aussi être possible si la plate-forme utilisateur et le canal de transmission ne sont pas fiables. Il faut considérer a priori que la plate-forme utilisateur et le canal de transmission sont infectés par des virus indétectables ou exposés à d’autres risques. Al. 3 : La vérifiabilité universelle permet de détecter toute manipulation dans l’infrastructure. À la diffé- rence de la vérifiabilité individuelle, la vérifiabilité universelle ne doit cependant pas être impérativement proposée aux électeurs : il est en effet possible de recourir pour cela à des vérificateurs. Le processus de vérification doit être observable, ce qui signifie que les vérificateurs doivent être en mesure de com- prendre autant que possible la signification et les résultats des différentes étapes. À cette fin, ils doivent pouvoir attester la bonne exécution des étapes ainsi que les résultats des tests, par exemple en se ren- dant sur le lieu de l’exécution.

Art. 6 Caractère concluant des preuves Aucune preuve ne permet de confirmer avec une certitude absolue que tous les suffrages ont été correc- tement traités au sens des exigences prévues à l’art. 5, al. 2 et 3. Les preuves doivent donc être interpré- tées à la lumière de leur caractère concluant. L’art. 6 énonce à cet égard des exigences minimales, aux- quelles les personnes amenées à interpréter une preuve doivent pouvoir se fier. Plus le caractère est concluant, et plus la falsifiabilité est faible. On trouvera dans l’annexe des précisions et des exigences supplémentaires (ch. 2.9.1, 2.9.2 et 2.11). Un électeur qui bénéficie de la vérifiabilité individuelle devrait pouvoir être certain, sur la base de la réfé- rence de vérifiabilité reçue par la poste, que son vote est très probablement arrivé à destination, à condi- tion que la génération et l’impression des données pour la référence de vérifiabilité ait fonctionné correc- tement et que l’un des quatre composants de contrôle ait fonctionné correctement (voir commentaire du ch. 2 de l’annexe). Si l’électeur ne croit pas que ces conditions sont remplies, le résultat de l’examen de

la preuve n’aurait logiquement pour lui aucune signification ou seulement une signification limitée. Pour le dire autrement : la preuve n’aurait pour lui qu’un « caractère insuffisamment concluant ». Le bon fonctionnement de la plate-forme utilisateur des électeurs et des moyens de transmission ne doit pas constituer un présupposé pour le caractère concluant de la preuve au sens de l’art. 5, al. 2, let. a et b. Cela signifie que la preuve doit être concluante même dans le cas où une plateforme utilisateur mani- pulée ou un man-in-the-middle9 manipule discrètement le suffrage – la preuve visée à l’art. 5, al. 2, permet malgré tout à l’électeur de détecter la manipulation. De manière analogue au caractère concluant des preuves selon l’al. 3 : la preuve est concluante si elle permet aux vérificateurs de détecter des manipulations dans le cadre des hypothèses de confiance don- nées. Cela empêche l’attaquant de tromper les vérificateurs en utilisant les composants non fiables du système pour fabriquer une preuve légitimant un résultat manipulé. Tant que les vérificateurs ont la cer- titude que l’un des quatre composants de contrôle et le dispositif technique qu’ils utilisent pour tester les preuves (généralement un ordinateur portable) fonctionnent correctement, les preuves sont concluantes.

Art. 7 Garantie du secret du vote et impossibilité d’établir des résultats partiels anticipés Pour garantir le secret du vote et rendre impossible l’établissement de résultats partiels anticipés, le sys- tème doit être conçu de manière à ce qu’il faille prendre le contrôle d’au moins trois des quatre compo- sants de contrôle pour mener une attaque réussie après que le suffrage a été émis. Des exigences plus sévères s’appliquent au système en ligne, si celui-ci est exploité par un opérateur privé. Des précisions à cet égard figurent dans l’annexe (ch. 2.9.3).

Art. 8 Exigences applicables à la partie fiable du système Ces exigences visent à garantir qu’un accès non autorisé réussi ne confère pas, dans la mesure du possible, un avantage dans la tentative d’accéder discrètement à un autre composant de contrôle.

Art. 9 Mesures supplémentaires visant à réduire les risques Correspond à l’ancien art. 6 de l’OVotE, avec quelques modifications linguistiques.

Art. 10 Exigences applicables au contrôle Afin de renforcer l’efficacité des contrôles et l’indépendance de l’organe de contrôle par rapport à l’organe contrôlé, la répartition des tâches entre la Confédération et les cantons est adaptée de manière à donner à la Confédération une responsabilité accrue et un rôle plus direct dans le contrôle des systèmes. À l’avenir, la plupart des contrôles seront commandés par la ChF (al. 1). Il sera renoncé dans ces domaines à une certification par des services accrédités par le Service d’accréditation suisse (SAS). Comme pré- cédemment, le canton veille à ce qu’un contrôle du bon fonctionnement du système soit effectué dans le centre de calcul du fournisseur (al. 2). Les autres exigences, telles que l’objet, les responsabilités et le calendrier des contrôles, continuent d’être précisées dans l’annexe (ch. 26). Al. 1, let. b : Adaptation de la dénomination : il est nouvellement question de «logiciel du système». Ce contrôle comprend le précédent, visé à l’annexe aux ch. 5.2 (Fonctionnalités) et 5.4 (Composants de contrôle). Avec la nouvelle formulation, les logiciels de l’ensemble du système et des composants de contrôle sont testés ensemble. Al. 1, let. c : Les exigences applicables aux imprimeries relèvent désormais de la disposition « sécurité de l’infrastructure et de l’exploitation ».

L’« homme du milieu » désigne l’attaquant dans une attaque de type « man in the middle » (MITM). L’attaque MITM est une forme d’attaque qui trouve son application dans les réseaux informatiques. L’attaquant s’immisce physiquement ou, de nos jours la plupart du temps, logiquement entre les deux partenaires d’une communication et prend le contrôle complet du trafic de données entre eux ou entre plusieurs périphériques réseau. Il peut consulter les informations à loisir et même les manipuler.

Al. 2 : L’exploitation du système dans le centre de calcul du fournisseur du système doit être certifiée conformément à la norme ISO 27001. Un canton qui n’exploite pas lui-même un système peut se faire certifier pour les processus cantonaux selon la norme ISO 27001, mais il n’est pas obligé de le faire. Al. 3 : La ChF et les organes mandatés pour les contrôles visés à l’al. 1 doivent avoir accès aux docu- ments nécessaires détenus par le canton et ses prestataires de services. Cela comprend tous les docu- ments requis pour les contrôles prévus à l’al. 1 et tous les rapports disponibles (y compris les rapports de certification), les pièces justificatives et les certificats (certificat ISO 27001 au sens de l’al. 2 et toutes les certifications cantonales, s’il y en a). Al. 4 : Les résultats des audits qui sont pertinents pour l’autorisation sont publiés. L’organe qui a com- mandé un audit est responsable de la publication. Il publie les pièces et les certificats qui ont été établis dans le cadre des contrôles conformément aux al. 1 et 2. Le terme « pièces justificatives » recouvre éga- lement les rapports d’audit. Les résultats des audits qui sont publiés doivent être compréhensibles. S’il y est fait référence à d’autres documents, ceux-ci doivent en règle générale être eux aussi publiés. S’il n’est pas possible de publier des documents supplémentaires, les résultats des audits doivent être rendus compréhensibles au moyen d’une description sommaire des aspects pertinents de la documentation non publiée. Si l’entité auditée fournit une réponse à un rapport d’audit, celle-ci doit elle aussi être publiée. Un document peut ne pas être publié si cela est justifié. Les exceptions s’appuient généralement sur les législations sur la transparence et sur la protection des données. Il s’agira à cet égard de mettre à chaque fois en balance l’intérêt public à une publication et l’intérêt à la confidentialité. À l’appui de ce dernier, il est notamment possible de faire valoir des directives internes, la protection des intérêts de l’entreprise ou encore la protection des données de tiers.

Art. 11 Publication du code source et de la documentation relative au système et à son exploitation Les exigences précédemment applicables à la publication du code source et de la documentation relative au système et à son exploitation sont précisées. L’al. 1 contient désormais une liste des éléments qui doivent être publiés. Ci-après un commentaire de certains des termes utilisés: Al. 1, let. a : Les «paramètres pertinents» comprennent toutes les informations et données nécessaires pour mettre le système en service chez soi. Al. 1, let. b : La documentation relative au logiciel comprend notamment le protocole cryptographique, la spécification et l’architecture, les instructions, les concepts de test, les rapports consacrés aux failles et aux mesures correctives et les résultats du processus d’examen. Al. 1. let. c : Comprend les documents qui facilitent la mise en service du système en vue de le tester (par exemple des instructions, une FAQ, etc.). Al. 1, let. d : Comprend les documents qui documentent la conformité aux exigences de l’OVotE. Cela inclut également ceux qui documentent les mesures essentielles de réduction des risques mentionnées dans l’appréciation des risques. Le principe qui prévaut est le suivant: plus la documentation concerne l’exploitation, l’entretien ou la sécurité d’un composant dit fiable ou la manipulation d’un support de don- nées contenant des données critiques, plus il est important de publier. Les dispositions de la législation sur la transparence qui concernent les exceptions s’appliquent au surplus. Al.1, let. e : Si l’exploitant du système a connaissance d’une erreur dans le code source publié ou dans la documentation, il doit l’indiquer. Il décrit l’erreur et les mesures éventuellement prévues pour y remé- dier. Cela contribue à la compréhension, à la transparence et à la coopération avec le public. Al. 2, let. c : Les exceptions justifiées se fondent sur les législations sur la transparence et sur la protection des données. En outre, si des motifs particuliers le justifient, il est possible de ne pas publier les docu- ments peu ou pas pertinents pour la sécurité du système et son exploitation. Il s’agit par exemple de descriptions de processus opérationnels sans rapport direct avec le système ou de simples précisions pas ou peu déterminantes pour la sécurité ou dont il est possible de supposer qu’elles seront mises en

œuvre correctement. Il s’agira à cet égard de mettre à chaque fois en balance l’intérêt public à une publi- cation et l’intérêt à la confidentialité. À l’appui de ce dernier, il est notamment possible de faire valoir des directives internes, la protection des intérêts de l’entreprise ou encore la protection des données de tiers.

Art. 12 Modalités de publication Al. 1 : Les éléments concernés doivent être publiés sur toutes les plate-formes courantes. Les fichiers doivent être organisés conformément à la pratique établie, compte tenu de leur taille et de leur complexité. Al. 2 : Les documents publiés doivent pouvoir être obtenus de manière anonyme et le propriétaire du code source ne doit pas inviter les personnes intéressées à s’enregistrer pour obtenir ces documents. Si une personne a droit à une rétribution financière conformément à l’art. 13 P-OVotE, le propriétaire peut demander les informations nécessaires à sa remise. On considère qu’il est judicieux de faire intervenir la publication au moins six mois avant le déploiement prévu du système, de façon à permettre un examen public efficace. Al. 3 : L’échange avec d’autres personnes et la citation d’informations publiées doivent être autorisés, notamment pour faciliter la recherche de failles par les spécialistes. Al. 4 : Afin de garantir une publication responsable (responsible disclosure), le propriétaire peut inviter les participants à respecter les règles suivantes :

  • Signaler immédiatement les failles au propriétaire.
  • Attendre avant de signaler publiquement une faille ; un embargo donné devra à cet égard être res- pecté.
  • Adopter une attitude responsable à propos des informations concernant des défauts présumés. Ne pas diffuser inutilement des informations concernant des failles de sécurité potentielles. Les infor- mations en la matière ne doivent être partagées et discutées qu’avec des personnes supposées aptes et disposées à traiter ces questions, et qui adopteront elles aussi une attitude responsable. Al. 5 : Le propriétaire ne peut sanctionner les violations des conditions d’utilisation que dans des cas exceptionnels. Il doit, dans les conditions d’utilisation, attirer l’attention des participants sur la limitation ou l’exclusion de la responsabilité. On s’abstiendra de demander une déclaration d’intention aux utilisa- teurs.

Art. 13 Participation du public Cet article arrête les principes d’un programme de bug bounty, c.-à-d. de versement d’une prime pour détection d’une faille, qui est une mesure de mise en œuvre de l’art. 27m, al. 1, P-ODP. Dans la mesure du possible, les cantons devraient prendre des mesures supplémentaires pour fournir des incitations tant financières que non financières. Al. 1 : En principe, les cantons veillent à ce que le public intéressé puisse soumettre des indications pour améliorer le système (programme de bug bounty). Ce programme de bug bounty devrait être lancé bien avant la présentation au Conseil fédéral d’une demande d’autorisation générale. Un délai d’environ six mois avant le déploiement prévu est considéré comme raisonnable. Le programme de bug bounty prévoit un programme récurrent de recherche d’erreurs (let. a) et un test internet (let. b). Al. 1, let. a : Recherche d’erreurs dans la documentation ou le code source publiés et recherche de failles par analyse du système dans sa propre infrastructure. Ce programme de recherche de défauts fonctionne en continu. Al. 1, let. b : Ce « test Internet » vise exclusivement à pénétrer dans l’infrastructure. Les attaques par déni de service (DoS) et par ingénierie sociale peuvent être exclues du programme de bug bounty. Le test Internet peut être mis en œuvre soit comme un programme permanent, soit comme un test récurrent de durée limitée. La participation au programme de bug bounty est régie par l’art. 12 P-OVotE. Al. 2 : Le service à désigner pour gérer le programme de bug bounty peut être l’exploitant du système ou une société externe. Ce service permet la mise en œuvre du programme, reçoit les indications et assure la communication avec la personne qui a fourni l’indication. Il doit être informé des décisions relatives à l’issue qui sera donnée à l’indication fournie et des mesures qui pourront être prises. Devront en outre être publiées les informations sur les indications reçues. Les informations suivantes devront ainsi être publiées : informations sur le contenu de l’indication, source de l’indication (pour autant

que la personne ou l’institution qui l’a fournie soit d’accord), évaluation faite par le service responsable du programme de bug bounty et informations sur les mesures éventuellement prises sur la base de l’in- dication. Al. 3 : Les indications qui ont un rapport direct, mais aussi celles qui ont un rapport indirect, avec la sé- curité doivent être rétribuées, à condition qu’elles contribuent à l’amélioration du système. Les indications ayant un lien indirect avec la sécurité sont, par exemple, celles qui améliorent la qualité du code source. La qualité du code source, en effet, est notamment déterminante pour la lisibilité et donc aussi pour la probabilité de pouvoir trouver des erreurs. Le montant de la rétribution est à fixer en fonction de l’impor- tance de la faille, et devra être suffisamment incitatif pour encourager réellement le public disposant des connaissances nécessaires à participer. Les bases juridiques de la ChF définissent simplement le cadre du programme de bug bounty. Les mo- dalités précises du programme, par exemple la définition de catégories permettant d’évaluer le caractère de gravité des failles ou encore la détermination du montant de la rétribution financière, relèvent de la compétence des cantons ou de l’exploitant du système. La Confédération vérifie dans le cadre de la procédure d’autorisation dans quelle mesure la procédure choisie par les cantons et le service compétent en vertu de l’al. 2 a permis d’atteindre les objectifs du programme de bug bounty.

Art. 14 Principes régissant la répartition des tâches et des compétences Les tâches et les compétences étaient précédemment définies dans l’annexe. Leur répartition est désor- mais réglée dans la partie principale de l’OVotE. Al. 1 : Les tâches principales à accomplir par le canton sont définies dans l’annexe. Il s’agit, par exemple, de la conception du matériel de vote et de la communication avec les électeurs sur des questions con- crètes liées au vote. Al. 2 : Le canton peut déléguer les tâches précitées à des entités extérieures, même s’il continue d’en assumer la responsabilité générale au sens de l’al. 1. Ainsi, il assume par exemple intégralement les risques liés à l’exécution d’une tâche, même si celle-ci a donné lieu à délégation. Par dérogation à l’al. 1, la communication sur les questions relatives au fonctionnement du système peut faire l’objet d’une délé- gation s’il s’agit de questions de nature particulièrement technique qui nécessitent des connaissances très spécialisées. Al. 3 : Les unités d’exploitation agissent sur instruction du canton et répondent devant celui-ci des com- pétences qu’elles assument. Al. 4 : L’organisation et la forme concrètes du recours aux vérificateurs sont régies par le droit cantonal.

Art. 15 Tâches du service compétent au niveau cantonal Les tâches du service compétent au niveau cantonal étaient précédemment définies dans l’annexe. Elles sont désormais réglées dans la partie principale de l’OVotE. Let. a : La directive globale sur la sécurité de l’information définit les objectifs, le cadre et les responsabi- lités en matière de sécurité de l’information. Elle comporte également un catalogue de directives pour la sécurité de l’information de niveau inférieur et précise les modalités de sa gestion. Elle est communiquée à tous les collaborateurs et doit être revue et adaptée à intervalles planifiés. Let. b : La directive sur la classification et le traitement de l’information définit un cadre de sécurité con- traignant pour l’exploitation du système dans son ensemble. Elle est communiquée aux collaborateurs concernés et doit être revue et adaptée à intervalles planifiés. Let. c : La directive sur la gestion du risque définit notamment le champ d’application et les limites de la gestion des risques liés à la sécurité de l’information, l’organisation de la gestion des risques, les critères d’acceptation des risques et la méthode à appliquer pour effectuer l’appréciation des risques. Elle doit être revue et adaptée à intervalles planifiés.

Let. d : Exemples de mesures : réalisation de l’appréciation des risques, contrôle de la conformité avec les directives sur la sécurité de l’information, révision de directives sur la sécurité de l’information, mise à disposition d’outils appropriés. Let. f : Par « actions et d’opérations critiques », on entend notamment la préparation du scrutin (ch. 5 de l’annexe), l’ouverture et la fermeture du vote électronique (ch. 9 de l’annexe), le dépouillement de l’urne électronique (ch. 11 de l’annexe) et la destruction des données après la validation des résultats du scrutin (ch. 12.9 de l’annexe). Let. g : L’organisation et la forme concrètes du recours aux vérificateurs sont régies par le droit cantonal. En plus de la formation, l’instruction des vérificateurs comprend l’exécution d’exercices. Let. h : Avec d‘autres indicateurs, le nombre et le type des anomalies signalées par les électeurs au canton, notamment, doivent être communiqués aux vérificateurs conformément au ch. 11.10 de l‘annexe.

Art. 16 Pièces justificatives à joindre aux demandes Al. 1 : Suite à la modification de l’article 27b, let. b, P-ODP, seule est réglée ici la question des pièces justificatives à joindre aux demandes d’agrément. Les délais précis et les autres modalités seront précisés par la ChF dans un document séparé. La liste des pièces justificatives a été adaptée de façon à prendre en compte les nouvelles dispositions de l’OVotE. En outre, la liste figurant au ch. 6 de la version actuelle de l’annexe de l’OVotE a été reprise ici afin qu’il n’y ait plus qu’une liste unique de pièces justificatives. Al. 1, let. a : Adaptation aux nouvelles compétences en matière de contrôle au sens de l’art. 10. Al. 1, let. b : Adaptation de la disposition précédente sur les appréciations des risques au sens de l’art. 4 P-OVotE. Le canton s’engage à signaler immédiatement tout changement dans l’appréciation des risques. Al. 1, let. c : Le canton présente des pièces justificatives pour confirmer que les éléments visés à l’art. 11 P-OVotE ont été publiés. Il informe également la ChF des dates auxquelles ils ont été publiés. Il commu- nique également des informations sur les indications reçues du public, parmi lesquelles une liste des indications reçues, l’évaluation faite respectivement par le canton ou l’organe compétent, le montant de la rétribution versée et une description des mesures prises sur la base de ces indications. Al. 1, let. d : Reprise du point 6.3 de l’annexe actuelle de l’OVotE. Le canton soumet d’autres protocoles de test si un test n’est effectué que peu de temps avant le scrutin. Si le système présente des failles dont le canton ou l’exploitant du système ont connaissance, la ChF doit être informée de ces failles, de leurs effets et des mesures prévues. Al. 2 : Le canton peut faire valoir la validité de résultats d’audit ou de pièces justificatives sur plusieurs scrutins. Il explique alors pourquoi il n’y a pas lieu de procéder à un nouvel audit pour le scrutin actuel. Il indique toutes les modifications apportées ou qu’il est prévu d’apporter au système ou aux processus d’exploitation ou d’entretien, jusqu’au moment où aura lieu le scrutin. Il démontre par là qu’il s’agit de modifications mineures qui n’ont pas d’impact négatif sur l’appréciation des risques. Le qualificatif « va-

lides » s’entend aussi bien au sens strict du terme (comme par exemple pour la validité d’un certificat) que dans son acception plus large (documents qui n’ont pas été adaptés et qui n’ont pas à l’être, par exemple parce que la conception du système, l’état des connaissances techniques ou les bases juri- diques n’ont pas changé). En cas de renvoi, il devra être établi et confirmé que les documents sont tou- jours valides.

Art. 17 Autres dispositions Al. 2 : Un canton peut exceptionnellement être dispensé de remplir certaines exigences, à condition de remplir trois conditions, énumérées aux let. a à c. Il doit notamment exposer de manière intelligible les raisons pour lesquelles il n’a pas rempli ces exigences. Par exemple, dans un scrutin au système majo- ritaire, il n’y a pas d’obligation de se conformer aux exigences liées à la vérifiabilité individuelle si, pour émettre le suffrage, il faut entrer un nom dans un champ de texte libre.

5.2.2 Annexe contenant les exigences techniques et administratives applicables au vote électronique Observations générales La référence au profil de protection de l’Office fédéral de la sécurité des techniques de l’information (BSI Allemagne ; ch. 3.15 dans la version précédente) a été supprimée, car celui-ci n’est plus géré par le BSI et a été archivé. Les exigences pertinentes du profil de protection ont été incluses de manière sélective dans les exigences existantes ou dans de nouvelles exigences.

Commentaire de dispositions choisies Ch. 1 Définitions Ch. 1.5 : Le votant compare les codes affichés à l’écran avec les codes de la référence de vérification. Ch. 1.6 : Les données qui permettent de déterminer si l’électeur a émis un suffrage n’entrent pas dans ce champ d'application.

Ch. 2 Exigences applicables au protocole cryptographique pour la vérifiabilité complète (art. 5) Entre son émission et son dépouillement, un suffrage électronique se déplace depuis les plates-formes utilisateur jusqu’au canton, en passant par l’Internet et les nombreux serveurs du fournisseur du système. Les différents éléments de l’infrastructure utilisée sont nombreux et difficiles à contrôler. Les protocoles cryptographiques permettent de ramener au minimum le nombre des éléments qu’un attaquant devrait contrôler pour modifier les suffrages sans se faire remarquer ou pour briser le secret du vote. Les mesures visant à empêcher un attaquant de prendre un élément sous son contrôle peuvent ainsi être concentrées sur un nombre limité d’éléments. Ceux-ci sont donc particulièrement dignes d’être protégés et, idéale- ment, peuvent également l’être de manière particulièrement efficace et convaincante. Ces éléments, qui se trouvent parmi les participants du système et les canaux de communication énu- mérés aux ch. 2.1 et 2.2, sont qualifiés de « fiables ». À première vue, cela peut paraître surprenant : pourquoi qualifier de « fiable » un élément particulièrement digne de protection ? L’explication réside dans le fait que les protocoles cryptographiques ne visent pas à protéger ces éléments. Le qualificatif « fiable » signale aux auteurs et aux lecteurs du document dans lequel le protocole cryptographique est spécifié qu’ils n'ont pas à s’inquiéter d’éventuelles attaques dans lesquelles un attaquant prendrait ces éléments sous son contrôle. Du fait de leur caractère fiable, les participants du système refusent de coopérer avec un attaquant. Le protocole doit être défini de telle sorte que, tant que les participants fiables du système s’en tiennent au protocole, l’attaquant ne parviendra pas à ses fins, même s’il met sous son contrôle les autres participants, non fiables, du système. L’utilisation de ce terme est basée sur la littérature spéciali- sée. Le protocole cryptographique consiste en des instructions abstraites, écrites en langage mathématique, destinées à tous les participants du système et indiquant les calculs qu’ils doivent effectuer lors de la réception des différents messages, les données qu’ils doivent stocker et les messages qu’ils doivent en- voyer via quels canaux. Le protocole est conforme à l’OVotE si l’attaquant au sens du ch. 2.3 ne peut

atteindre les objectifs visés aux ch. 2.5 à 2.8 dans les conditions prévues aux ch. 2.11 et 2.12 malgré le contrôle qu’il exerce sur les participants du système et les canaux de communication non fiables énumé- rés aux ch. 2.1, 2.2 et 2.9. Le ch. 2.13 exige à cet égard que soient utilisés des éléments cryptographiques sûrs (par ex. des algorithmes de chiffrement) et que les instructions données aux participants du système soient claires et suffisamment précises. Le ch. 2.14 exige des preuves mathématiques de la conformité du protocole, comme le veut la pratique scientifique usuelle. Le développement du système repose sur le protocole cryptographique. Celui-ci ne peut être pleinement efficace que si les instructions des éléments fiables sont correctement mises en œuvre sous forme logi- cielle et si les composants sur lesquels le logiciel s’exécute sont suffisamment protégés. C’est pourquoi l’OVotE prévoit plusieurs exigences à cet égard. Voir également le commentaire des ch. 2.3 et 2.4.

Ch. 2.1 :

  • électeur / votant : les électeurs reçoivent par la poste et avant le scrutin de la part du canton ou de l’imprimerie leurs données d’authentification client confidentielles et leur référence de vérification. Pour pouvoir émettre leur suffrage, ils saisissent leurs données d’authentification client et leur suf- frage dans la plate-forme utilisateur. Pour pouvoir faire usage de la vérifiabilité individuelle au sens de l’art. 5 en rel. avec le ch. 2.5, ils vérifient au moyen de la référence de vérification les preuves affichées par la plate-forme utilisateur à destination du votant.
  • plate-forme utilisateur : la plate-forme utilisateur génère le message d’authentification et l’envoie au système NF avec le suffrage chiffré et d’autres messages nécessaires pour permettre la vérifiabilité. Elle utilise à cet effet le logiciel, y compris les paramètres publics, qu’elle a reçu auparavant du système NF. Elle affiche à destination du votant les messages envoyés par le système NF, comme par ex. les preuves au sens du ch. 2.5.
  • système non fiable (système NF) : le système NF sert de nœud de communication entre les autres participants du système. Il doit être considéré comme non fiable en ce qui concerne toutes les exi- gences applicables au protocole cryptographique (voir ch. 2.9).
  • composant de configuration : le composant de configuration est exploité dans l’infrastructure du can- ton (voir le ch. 3.1). Le canton prépare au moyen de ce composant les données en vue de l’exécution du scrutin. Il s’agit notamment de données dont le caractère aléatoire et la confidentialité sont es- sentiels pour satisfaire aux exigences du protocole cryptographique énoncées aux ch. 2.5, 2.7 et 2.8, comme par ex. la référence de vérification des électeurs. Ce terme abstrait peut lui aussi inclure différents dispositifs techniques tels que des ordinateurs portables et des supports de données.
  • un ou plusieurs groupes de composants de contrôle : les composants de contrôle interagissent avec les autres composants de contrôle de leur groupe de telle sorte que les exigences applicables au protocole cryptographique au sens des ch. 2.5, 2.6 et 2.7 doivent être remplies même si un seul d’entre eux est fiable et fonctionne donc correctement.
  • composant d’impression : il imprime la référence de vérification à l’intention des électeurs. Ce terme

abstrait comprend la mise sous pli et l’envoi aux électeurs. Il recouvre également tous les dispositifs techniques utilisés pour l’impression. Outre la machine à imprimer proprement dite, le terme peut également désigner un ordinateur portable permettant de déchiffrer les données d’impression et une clef USB permettant de stocker les données chiffrées.

  • vérificateurs : les vérificateurs reçoivent après le dépouillement de la part du système NF une preuve au sens du ch. 2.6, qui confirme l’établissement correct du résultat. Ils vérifient cette preuve au moins une fois avec un dispositif technique. Ils peuvent également assumer avec leur dispositif technique des tâches de vérification du composant de configuration pendant la phase de paramétrage.
  • dispositif technique des vérificateurs : les vérificateurs ont besoin d’un dispositif technique pour pou- voir évaluer la preuve au sens du ch. 2.6.

Ch. 2.2 :

Ch. 2.3 : en ce qui concerne les exigences applicables au protocole cryptographique, aucune distinction n’est faite entre des attaquants ayant des moyens ou un bagage technique différents : qu’un attaquant prenne sous son contrôle des participants du système en usant de menaces, de piratage ou d’ingénierie sociale est sans importance pour la définition du protocole cryptographique. Le préalable est plutôt que l’attaquant doit avoir pris sous son contrôle les participants du système et les canaux de communication non fiables. Le protocole cryptographique doit être défini de telle façon que l’attaquant ne puisse causer aucun dommage malgré des attaques réussies sur de tels participants du système et canaux de commu- nication. Cela suppose implicitement que l’attaquant n'est pas capable de casser les éléments cryptogra- phiques et leur mise en œuvre dans le code source. C’est cet objectif que visent les exigences prévues aux ch. 2.13 et 2.14 et les exigences applicables à la qualité du développement du logiciel au sens des ch. 24 et 25. Ch. 2.4 : si l’attaquant pouvait contrôler tous les participants du système, plus personne ne s’intéresserait à savoir si des manipulations ont eu lieu. Il est dans la nature des élections et des votations qu’une grande partie des électeurs s’intéressent à la question de savoir si le suffrage qu’ils ont émis a été correctement pris en compte. Ces électeurs ne peuvent pas être contrôlés par l’attaquant, et sont donc qualifiés de fiables. De même, certains des vérificateurs peuvent eux aussi être considérés comme fiables, l’attaquant ne pouvant pas eux non plus les mettre sous son contrôle. Puisque les électeurs et les vérificateurs travaillent avec des dispositifs techniques, certains de ces dispositifs doivent également pouvoir être qua- lifiés de fiables – sinon l’attaquant pourrait facilement tromper les personnes fiables en mettant tous les dispositifs sous son contrôle, notamment ceux que les vérificateurs utilisent pour leur travail. En autorisant au titre de participants fiables du système uniquement les dispositifs techniques qui peuvent être protégés de manière particulièrement efficace dans la pratique, il devient extrêmement difficile pour un attaquant d’effectuer des manipulations ou de briser le secret du vote sans se faire remarquer. Les dispositifs tech-

niques qui n’ont pas besoin d’être connectés à un réseau sont ceux qu’il est possible de protéger le plus efficacement. Par ailleurs, il est possible d’éviter de devoir faire confiance à tel ou tel dispositif technique particulier en faisant en sorte que ses fonctions soient exécutées par plusieurs dispositifs différents. Pour

que cela vaille vraiment la peine, il faut définir le protocole cryptographique de telle façon que l’attaquant ne puisse causer de dommage tant qu’il ne parvient pas à mettre l’un de ces dispositifs sous son contrôle. Ce raisonnement s’appuie sur la logique qui veut qu’il ne soit pas nécessaire que tous les vérificateurs soient fiables, parce qu’il suffit que l’un d’entre eux signale une incohérence qu’il aurait découverte. Une répartition similaire des responsabilités se retrouve dans les groupes de composants de contrôle : un attaquant devrait placer sous son contrôle tous les composants de contrôle pour pouvoir causer un dom- mage. Or, cela est particulièrement difficile si les composants de contrôle diffèrent en termes de logiciels et de modalités d’exploitation. Les hypothèses admissibles concernant la fiabilité des différents participants du système et canaux de communication sont énumérées au ch. 2.9. Les exigences applicables à l’exploitation des composants fiables figurent au ch. 3. Un message est ici qualifié d’authentique si le récepteur du message peut se fier à ce que l’émetteur est bien le participant du système spécifié par la définition du canal. Ch. 2.5 : les preuves ne peuvent déployer leur efficacité que si les votants les vérifient effectivement et s’ils s’adressent à l’autorité compétente en cas de doute. La recherche et le suivi scientifique pourraient étudier dans quelle mesure ils le font et quelles mesures pourraient inciter les votants à vérifier les preuves conformément aux instructions. Certaines exigences de l’OVotE pourraient contribuer à faire des preuves un outil efficace. Par ex., la répartition des preuves en preuves partielles conformément aux ch. 2.12.5 à 2.12.10 doit permettre aux votants de mettre fin à leur vote avant qu’il ne soit définitif pour se tourner vers le vote par correspondance ou à l’urne au cas où ils rencontreraient des difficultés liées à la vérification. Contrairement à ce qui est le cas avec les premières preuves partielles, la vérification de la preuve par- tielle confirmant le vote définitif doit être particulièrement facile à effectuer. L’exigence prévue au ch. 8.10 vise à rendre plus difficiles les attaques par ingénierie sociale destinées à empêcher les votants de pro- céder correctement à la vérification des preuves. Le ch. 8 prévoit au surplus des exigences supplémen-

taires en matière d’information et d’assistance aux électeurs. Les attaques par ingénierie sociale doivent être évaluées dans le cadre de l’appréciation des risques conformément au ch. 13. Une preuve correcte confirme aux votants qu’au moins le composant de contrôle qui peut être considéré comme fiable en vertu du ch. 2.9.1 a enregistré le suffrage comme ayant été émis conformément à la procédure prévue par le système. En vérifiant les preuves selon le ch. 2.6, les vérificateurs établissent que le suffrage a également été comptabilisé correctement et donc conformément à la preuve prévue au ch. 2.5, qui a été affichée à l’intention des votants. Pour que la vérification de la preuve visée au ch. 2.6 soit réussie, tous les composants de contrôle doivent avoir enregistré les mêmes suffrages comme ayant été émis conformément à la procédure prévue par le système. Les cas où les composants de contrôle présenteraient à cet égard des incohérences doivent être anticipés conformément au ch. 11.11 et la marche à suivre doit être déterminée au préalable. La disposition ne prescrit pas comment interpréter les cas où une preuve serait affichée de manière in- correcte ou pas du tout. Ainsi, il ne serait pas illicite que le groupe des composants de contrôle enregistre un suffrage comme ayant été émis conformément à la procédure prévue par le système alors que tel n’est pas le cas. Le ch. 2.6 impose toutefois que ces suffrages soient mis à part ultérieurement afin de permettre aux vérificateurs de s’assurer que l’attaquant n'a pas inséré de suffrages non émis conformé- ment à la procédure prévue par le système. Enfin, en vertu du ch. 10, le système NF (pas nécessairement le groupe des composants de contrôle) doit détecter ces suffrages au moment de leur émission et il ne doit pas les assimiler à des suffrages émis conformément à la procédure prévue par le système. En ce qui concerne la précision « n’a pas abusivement émis au nom de l’électeur de suffrage ayant en- suite été enregistré et comptabilisé en tant que suffrage émis conformément à la procédure prévue par le système », une telle preuve serait d’une utilité limitée pendant le scrutin, car l’attaquant aurait encore le temps d’émettre un suffrage. Aussi est-il suffisant que les électeurs puissent demander cette preuve

après le scrutin. Pour des raisons d’efficacité, il suffit que le service cantonal compétent confirme à l’élec- teur qu’aucun suffrage n’a été émis en son nom. Pour ce qui est de la vérification par le service compétent, les hypothèses de confiance énoncées au ch. 2.9.1 s’appliquent, le dispositif technique des vérificateurs pouvant lui aussi être considéré comme fiable. Cette exigence va au-delà du modèle de confiance dans la mesure où l’attaquant ne doit en aucune façon pouvoir accéder aux données d’authentification client.

En ce qui concerne la présente exigence, il faut supposer que l’attaquant a accès aux données d’authen- tification client de certains électeurs. Ch. 2.6 : un vote n’est considéré comme ayant été émis conformément à la procédure prévue par le système que si les données d’authentification client utilisées correspondent à des données d’authentifi- cation serveur ayant été définies et « attribuées » à un électeur pendant la phase de préparation du scru- tin. La preuve doit donc inclure la confirmation qu’aucunes données d’authentification non attribuées n’ont été créées pour l’émission de suffrages. À cette fin, les composants de contrôle ou les vérificateurs doi- vent avoir reçu lors de la préparation du scrutin des données correspondantes destinées à servir de moyen de comparaison. Les vérificateurs doivent établir que le nombre des données d’authentification correspond au nombre (officiel) des électeurs autorisés à voter. Dans ce cas, on peut considérer que les données d’authentification ont été « attribuées » à un électeur. Il est vrai que cela ne garantit pas que des données d’authentification client d’électeurs fiables n’ont pas été utilisées abusivement pour émettre un suffrage conformément à la procédure prévue par le système. Toutefois, selon le ch. 2.5, les électeurs doivent être en mesure de le déterminer. Ch. 2.7.3 : on peut supposer que la manipulation du logiciel du serveur est sans effet sur la fiabilité de la plate-forme utilisateur pendant la vérification. Les possibilités de protéger les plates-formes utilisateur contre les risques d’abus sont beaucoup plus faibles que pour les composants dans un environnement protégé. C’est cependant délibérément, dans un souci de convivialité, qu’on n’a pas voulu utiliser le protocole cryptographique pour garantir le secret du vote et l’absence de résultats partiels anticipés. Le protocole doit toutefois offrir une protection là où les suffrages sont conservés de manière centralisée. Qualifier la plate-forme utilisateur de « fiable » in- dique qu’il n’y a pas lieu de prendre en compte d’attaque contre la plate-forme utilisateur lors du dévelop- pement et de l’analyse du protocole cryptographique (voir le commentaire introductif du ch. 2). Ch. 2.9.3 : l’une des conséquences est que la clef nécessaire au déchiffrement des suffrages doit être

répartie entre quatre composants de contrôle différents. Au moins un de ces composants de contrôle doit être exploité par le canton (comme cela est dit expressément au ch. 3.1). Une proportion importante des électeurs doit être considérée comme non fiable afin que le système NF puisse apprendre en collaboration avec un électeur non fiable le contenu d’un suffrage émis. À cette fin, il faut s’assurer que cet électeur ne puisse faire passer pour sien un suffrage chiffré émis, même après adaptation externe, dans le but d’apprendre le contenu du suffrage au moyen de la preuve obtenue dans le cadre de la vérification de la preuve prévue au ch. 2.5. Un attaquant pourrait essayer avant le dépouillement de marquer des suffrages avec l’aide des partici- pants non fiables du système pour ensuite compromettre le secret du vote au moyen des suffrages dé- cryptés. Après le dépouillement, les vérificateurs pourraient constater que les suffrages n’ont pas été traités conformément à leur saisie, mais sous une forme marquée. À ce stade, cependant, le secret du vote aurait déjà été compromis. Il s’agit de prévenir une telle situation au moyen de composants fiables garantissant avant le dépouillement qu’aucun suffrage marqué ne sera traité. Au regard de cet objectif, un dispositif technique des vérificateurs peut lui aussi être considéré comme fiable. En ce qui concerne le qualificatif « fiable » appliqué à la plate-forme utilisateur, voir le commentaire du ch. 2.7 (deuxième paragraphe). Ch. 2.11.1 : l’une des conséquences de cette disposition est qu’une preuve doit pouvoir prendre au moins 1000 valeurs différentes (pour un code numérique, par ex., toutes les valeurs entre 000 et 999). Ainsi, la probabilité pour l’attaquant de deviner correctement une preuve serait exactement de 0,1%. En recueillant des informations sur les participants du système et les canaux de communication non fiables, il pourrait se procurer un avantage qui lui permettrait de ne plus avoir à deviner le code entièrement au hasard, ce qui augmenterait d’autant la probabilité précitée. Eu égard à ces éventualités, un code doit pouvoir pren- dre a priori des valeurs en nombre suffisant pour que la probabilité ne dépasse pas 0,1%. Ch. 2.11.3 : Admettons à titre d’hypothèse que ladite probabilité est de 1 %. En ce cas, il y aurait lieu de

répéter les décomptes jusqu’à ramener cette probabilité à moins de 1 %. Une répétition de ces décomptes doit ainsi permettre de réduire cette probabilité autant que nécessaire.

Ch. 2.12.4 : cette déclaration n’implique pas que le suffrage a été définitivement émis. Tout d’abord, le votant doit avoir la possibilité de vérifier sa transmission correcte au moyen d’une première preuve par- tielle. Ensuite, il doit pouvoir mettre fin à l’opération de vote pour se rabattre sur un canal de vote clas- sique. Ch. 2.12.5 : il n’est pas permis de faire effectuer aux votants une vérification pour des raisons purement psychologiques si le résultat de la vérification n’est pas pertinent pour évaluer si le suffrage a été mani- pulé. Ch. 2.12.8 : au cas où deux preuves partielles sont utilisées pour se conformer au ch. 2.5, l’avant-dernière preuve partielle est équivalente à la première preuve partielle. En outre, on peut déduire du ch. 2.8 que les votants doivent saisir avec la déclaration de volonté prévue au ch. 2.12.8 un élément secret qui n’a pas encore été saisi dans la plate-forme utilisateur. L’élément secret peut simultanément être compris comme une donnée d’authentification client. Ch. 2.12.11 : Les composants de configuration et les composants d’impression sont destinés a priori à être utilisés pour la préparation du scrutin. Mais leur utilisation à un moment ultérieur, par exemple, n’est ici pas interdite. Le traitement des suffrages ou des autres données qui ne sont pas générées avant le scrutin ne devrait cependant pas pouvoir intervenir en étant fondé sur l’hypothèse que ces composants sont fiables. Si ces composants sont utilisés pour le traitement de telles données, ils ne doivent donc pas être considérés comme fiables.

Ch. 3 Exigences applicables aux composants fiables au sens du ch. 2 et à leur exploitation Le présent chapitre dresse la liste des exigences applicables aux composants qui, conformément au protocole cryptographique, sont réputés fiables afin que soit remplie au moins l’une des exigences pré- vues aux ch. 2.5 à 2.8. Il peut s’agir des composants suivants :

  • composants de configuration
  • composants d’impression
  • composants de contrôle
  • dispositifs techniques des vérificateurs Ch. 3.1 : cela comprend la mise en place (système d’exploitation, environnement d’exécution, logiciel de vote électronique), la vérification de la conformité des fichiers avec le logiciel de vote électronique, la mise à jour, la configuration et la sécurisation. Voir également le commentaire du ch. 2.9.3. Ch. 3.4 : L’organisation et les modalités concrètes du recours aux vérificateurs dépendent du droit can- tonal. Voir aussi à cet égard le commentaire de l’art. 27m, al. 4, P-ODP. Ch. 3.7 : il s’agit non seulement du logiciel de vote électronique, mais aussi des logiciels de l’infrastruc- ture, comme les systèmes d’exploitation.

Ch. 4 Procédure de vote Ch. 4.10 : en l’occurrence, on peut faire dépendre le caractère concluant des preuves de la fiabilité de la plate-forme utilisateur. Cela permet par ex. de numériser la référence de vérification avant le vote. Ces facilités sont réservées à un petit groupe d’électeurs qui ne pourraient pas interpréter la preuve sans elles. Les électeurs auxquels ce cas ne s’applique pas doivent être incités à vérifier les preuves conformément à la procédure prévue. Ch. 4.11 : les votants sont tenus d’informer l’autorité cantonale compétente en cas d’affichage incorrect d’une preuve ou d’incertitude à cet égard. Le vote par correspondance ou à l’urne reste possible tant qu’aucun suffrage électronique n’a été enregistré. Pour le vérifier, les cantons disposent de la possibilité prévue au ch. 11.6. Ch. 4.12 : la confirmation de l’émission définitive du suffrage conformément au ch. 2.12.8 doit être effec- tuée à l’aide d’un élément secret n’ayant pas encore été saisi dans la plate-forme utilisateur. Il n’est pas exclu d’utiliser une e-ID comme substitut à cet élément secret. Cette possibilité devrait s’appuyer sur une

appréciation des risques. Toutefois, l’e-ID ne pourra pas remplacer l’envoi par la poste de la référence de vérification. L’envoi postal du matériel de vote restera nécessaire dans un premier temps. Par ailleurs, la disposition selon laquelle la possibilité d’utiliser une e-ID doit être examinée sur la base d’une appréciation des risques, s’applique même si cette e-ID est délivrée ou reconnue par l’État.

Ch. 7 Exigences applicables aux imprimeries À l’avenir, les exigences applicables aux imprimeries ne seront plus réglementées dans un catalogue d’exigences distinct, mais figureront directement dans l’annexe. Ces dispositions s’appliquent en plus des dispositions du ch. 3. Ch. 7.4 : par ex., le support de données et l’élément secret nécessaire au déchiffrement doivent être conservés séparément l’un de l’autre dans un endroit sûr (par ex. un coffre-fort). La personne qui détient l’élément secret permettant de déchiffrer les données ne doit pas pouvoir ouvrir le coffre sans que nul ne s’en rende compte. Le déchiffrement et le traitement des données ainsi que le processus d’impression doivent être effectués selon le principe du double contrôle. Il doit être impossible que les données soient présentes sur un composant sous une forme non chiffrée sans qu’au moins deux personnes surveillent ce composant. Si le principe du double contrôle ne peut être mis en œuvre de manière continue lors du traitement de données critiques, par ex. en raison d’une interruption relativement longue, les données doivent être dé- truites. Ch. 7.6 : si de bonnes raisons le justifient, la destruction des données peut être reportée au plus tard jusqu’à ce que les exigences légales applicables à la conservation et à la traçabilité soient remplies.

Ch. 8 Information et assistance Ch. 8.10 : Les votant doivent connaître la procédure correcte pour émettre leur suffrage afin d’être proté- gés contre les attaques par ingénierie sociale. En envoyant les instructions par la poste et en recomman- dant de suivre ces instructions en cas de doute et de s’adresser au besoin au service cantonal compétent, les autorités rendent plus difficiles les attaques par ingénierie sociale. La recherche et le suivi scientifique pourraient s’intéresser à l’efficacité de cette procédure ainsi qu’à des procédures alternatives d’orientation des électeurs.

Ch. 10 Contrôle de conformité et enregistrement des suffrages définitifs Seuls des suffrages émis conformément à la procédure prévue par le système doivent être enregistrés en vue du dépouillement. Cette fonctionnalité peut également être assurée au moyen d’un composant non fiable au sens du ch. 2.

Ch. 11 Dépouillement de l’urne électronique Ch. 11.1 : le déchiffrement au sens du ch. 11.2 doit avoir lieu le dimanche du vote. Des déchiffrements effectués en amont chez le fournisseur du système peuvent déjà commencer dès la fermeture du canal de vote électronique. L’efficacité du chiffrement doit rester élevée malgré les déchiffrements en amont. Ch. 11.2 : si c’est le système d’un autre canton qui est utilisé, le déchiffrement et le dépouillement peuvent également avoir lieu dans le canton qui fournit le système. Ch. 11.6 : il n’est pas possible de déterminer si un suffrage émis par correspondance ou à l’urne est un vote double ou même multiple en utilisant uniquement les suffrages émis électroniquement comme base de comparaison. La fonctionnalité prévue au ch. 11.6 n’en entre pas moins dans le champ d’application de l’OVotE. Toutefois, il n’est pas nécessaire de spécifier la fonctionnalité en se référant aux hypothèses de confiance au sens du ch. 2.

Ch. 12 Données confidentielles Ch. 12.9 : En ce qui concerne notamment les composants du système dont la fiabilité est déterminante pour la garantie du secret du vote selon le ch. 2.9.3, il faut s’assurer que les données ont été irrémédia- blement effacées.

Ch. 13 Menaces Les objectifs de sécurité (voir art. 4, al. 3) ne pourront pas être atteints à coup sûr. Il est en tout cas possible d’identifier des risques en matière de sécurité. Il faut, sur la base d’une appréciation méthodique des risques (voir art. 4, al. 1), apporter la preuve que les risques sont suffisamment faibles. Il est possible d’identifier un risque au moyen de menaces et de vulnérabilités du système. Il y a risque quand une vulnérabilité du système peut être exploitée par une menace et quand la réalisation d’un ob- jectif de sécurité s’en trouve potentiellement compromise. Des mesures de sécurité permettent de réduire les risques. Elles doivent satisfaire aux exigences de sécurité dans les domaines de l’infrastructure, des fonctionnalités et de l’exploitation de sorte que les risques identifiés puissent être ramenés à un minimum. La liste des menaces a été adaptée en fonction des connaissances acquises au cours des dernières années et de l’utilisation de systèmes entièrement vérifiables. Les acteurs de la menace ont fait l’objet d’une nouvelle définition et de nouvelles dénominations afin de clarifier les scénarios. Ch. 13.12 : le protocole exige que les votants vérifient les preuves conformément au ch. 2.5. Selon cette disposition, il est nécessaire d’évaluer le risque qu’un attaquant externe modifie les informations fournies par le canton afin d’inciter les votants à s’écarter des étapes à suivre pour procéder à cette vérification. Il ne s’agit pas ici de prendre en compte les fausses informations qui pourraient être diffusées sur les ré- seaux sociaux. Ch. 13.13, 13.14 et 13.15 : par moyen électronique, on entend ici un moyen qui permet d’accéder à des informations importantes sans que l’attaquant ait à être physiquement présent. Il peut par ex. s’agir de logiciels malveillants. Par moyen physique, on entend ici un moyen qui permet à l’attaquant d’accéder à des informations im- portantes en se rendant personnellement sur place. L’ingénierie sociale est une méthode qui permet à un attaquant d’accéder à des informations importantes en induisant une personne en erreur afin qu’elle lui fournisse directement les informations souhaitées ou qu’elle lui accorde un accès physique ou électronique. Ch. 13.16, 13.17 et 13.18 : le protocole cryptographique définit certains paramètres, algorithmes et pro-

cédures. Les menaces mentionnées ici exploiteraient une vulnérabilité présente dans un ou plusieurs de ces éléments.

Ch. 14 Détection et annonce d’incidents et de vulnérabilités en matière de sécurité ; gestion des incidents en matière de sécurité et des améliorations Les systèmes de vote électronique doivent permettre de détecter et d’investiguer efficacement les inci- dents, tels que les soupçons de manipulation des votes ou les attaques contre le système. Il y a lieu de définir le contenu et l’étendue des procès-verbaux de manière à garantir ces possibilités en garantissant simultanément le secret du vote. Il faudra par ailleurs mettre en place un processus d’amélioration continue dans le cadre de la détection et de l’investigation des incidents. Ce faisant, il y aura lieu de tenir compte notamment des aspects sui- vants :

  • Un échange ouvert aura lieu entre la Confédération, les cantons et les fournisseurs de systèmes.
  • Des analyses portant sur l’adéquation des systèmes de monitoring et d’investigation seront effec- tuées régulièrement. Elles prendront en compte les scénarios définis dans la convention de crise. La

participation d’experts en forensique à ces analyses permettra d’apporter des améliorations plus efficaces. - Les éléments résultant de l’analyse seront pris en compte dans le cadre de l’amélioration des instru- ments et des processus. Ch. 14.7 : Il s’agit de s’assurer que les suffrages sont traités et décomptés correctement. À cet effet, les suffrages de contrôle sont traités selon les mêmes procédures que les suffrages émis conformément à la procédure prévue par le système. Les suffrages de contrôle ne doivent pas être pris en compte dans le résultat final en tant que suffrages émis conformément à la procédure prévue par le système. Ch. 14.10 : Cette disposition ne concerne pas nécessairement le système en ligne uniquement. Elle peut également concerner des composants mis en œuvre dans le cadre de la préparation ou du suivi des scrutins.

Ch. 15 Utilisation de mesures cryptographiques et gestion des clefs Ch. 15.2 : Les processus de journalisation, d’identification et d’authentification, qui sont particulièrement sensibles, nécessitent une surveillance particulière tant dans la partie du système exploitée par le canton que dans la partie exploitée par le fournisseur du système. L’identification désigne l’opération qui permet d’identifier une personne, par exemple au moyen d’un nom d’utilisateur ou d’une carte à puce. L’authen- tification désigne quant à elle l’opération qui permet au système de délivrer le droit d’accès, par exemple au moyen de la vérification d’un mot de passe. Ch. 15.3 : Le chiffrement au niveau du logiciel, indispensable en vertu du ch. 2, n’est pas suffisant pour remplir cette exigence.

Ch. 17 Tests du système Ch. 17.2 : Les interfaces désignent les éléments qui permettent au logiciel d’échanger des informations avec son environnement. Il peut s’agir d’interfaces graphiques, de lignes de commande ou d’interfaces de programmation (API). Ch. 17.3 : Dans le cas de cette exigence, on tient compte de deux niveaux dans la structure du logiciel :

  • Un module, qui constitue le niveau le plus bas de la structure, regroupe une série de classes du code source qui ont un objectif commun clairement défini.
  • Un sous-système est constitué d’un ensemble de modules qui fournissent une fonctionnalité du sys- tème, par exemple la gestion d’une votation, l’établissement d’une carte de légitimation ou l’enregis- trement d’un vote.

Ch. 24 Développement et maintenance de systèmes d’information La qualité des systèmes de vote électronique doit être garantie tout au long du processus de développe- ment. Afin de renforcer l’assurance qualité, on a précisé les exigences au moyen des objectifs suivants :

  • Les modifications apportées au système doivent être traçables et contrôlables.
  • La traçabilité entre les différents éléments de la documentation (protocole, spécification, architecture, etc.) et le code source doit pouvoir être assurée de manière continue et dans les deux sens.
  • Les résultats des processus de contrôle sont intégrés dans le développement.
  • La conformité aux exigences légales est garantie et maintenue tout au long du cycle de vie. Désormais, les exigences des Common Criteria (critères communs) du degré EAL 4 s’appliqueront à l’ensemble du système, et non plus aux seuls composants de contrôle. Elles ont par ailleurs été complé- tées par des exigences des degrés supérieurs à celles des Common Criteria du degré EAL 4, lesquelles s’appliqueront si elles apportent une contribution majeure à la réalisation des objectifs de sécurité et si elles vont dans le sens des objectifs figurant dans le paragraphe précédent.

Ch. 24.1 : Les outils de développement dont il est question ici sont les outils qui revêtent une importance pour la sécurité du développement du logiciel. Il s’agit notamment des outils de l’IDE (Integrated Deve- lopment Environment), des outils de construction (build tools) et des outils de gestion de la configuration, mais aussi des options de configuration qui peuvent avoir une influence sur la sécurité du développement. Comme il a été précise au ch. 17.2, les interfaces sont les éléments qui permettent au logiciel d’échanger des informations avec son environnement. Il peut s’agir d’interfaces graphiques, de lignes de commande ou d’interfaces de programmation (API). Une liste de configuration est un groupe d’éléments de configuration cohérents entre eux qui représentent l’état du logiciel et de la documentation à un moment donné. Dans l’idéal, il permet de reconstituer une version précédente du logiciel. Ch. 24.3 : Il s’agit de garantir la mise à disposition correcte du système depuis le code source jusqu’à son installation en production (construction et déploiement). Il incombe à cet égard au fournisseur du système d’utiliser une méthode de construction et de déploiement à la fois éprouvée et traçable, laquelle permettra d’atteindre les objectifs suivants :

  • s’assurer que le logiciel utilisé est conforme à la version publiée, testée et autorisée ;
  • en plus de cette traçabilité, empêcher autant que possible toute manipulation des composants du système ;
  • éviter que les outils de développement et librairies utilisés n’introduisent des vulnérabilités perti- nentes pour le logiciel qui rendraient le système vulnérable aux attaques. Pour ce faire, on a fixé de nouvelles exigences, lesquelles se fondent sur les directives de l’État américain du Colorado qui régissent l’utilisation des systèmes de vote électronique 10, sur la documentation de l’en- treprise GitHub relative au trusted build (construction fiable)11 et sur la documentation intitulée « Repro- ducible Builds », qui est issue du projet éponyme 12. Ch. 24.4 : Les utilisateurs sont toutes les personnes qui entrent en contact avec le logiciel de quelque façon que ce soit. Il peut s’agir de collaborateurs du canton, d’électeurs, de testeurs et, en fin de compte, de toutes les personnes qui portent un intérêt au système.

Pour que le développeur puisse traiter de façon appropriée les rapports qu’il reçoit concernant des failles et mener une activité de communication efficace dans ce domaine, il est important que les utilisateurs sachent comment lui transmettre ces rapports et comment s’enregistrer auprès de lui pour obtenir les informations en la matière. Pour contribuer à améliorer la sécurité d’un système, il faut dresser une liste aussi complète que possible des vulnérabilités supposées et les traiter de manière systématique. Les exigences en la matière viennent compléter la publication du code source (art. 11 et 12 P-OVotE) et la mise en place d’un programme de bug bounty (art. 13 P-OVotE).

Ch. 25 Qualité du code source et de la documentation La qualité du code source et de la documentation est un élément capital pour la sécurité du vote électro- nique. Les bases légales actuelles imposent plusieurs exigences en la matière. Il s’agit toutefois plutôt de descriptions générales, telles que l’obligation de préparer et de documenter le code source conformément aux bonnes pratiques et de mettre en œuvre certains éléments des Common Criteria. Aussi a-t-il fallu préciser les critères de qualité qui s’appliquent aujourd’hui. Des critères clairs devront garantir une qualité élevée des systèmes de vote électronique, ce qui profitera à la sécurité, car cela facilitera les contrôles effectués par tous les acteurs et par le public. Pour définir ces critères de qualité, on a établi un modèle de qualité pour les systèmes de vote électronique. Ce modèle repose sur la norme ISO 25010 et sur le

Colorado Election Rules [8 CCR 1505-1] Rule 1. Definitions, 2020 et Colorado Voting Systems Trusted Build Procedures, 2020 GitHub How to: Trusted builds, 2017 https://reproducible-builds.org/

modèle de qualité développé par McCall13. Les critères ont été choisi en fonction de la contribution qu’ils peuvent apporter aux objectifs de sécurité et de qualité qui ont été définis.

Ch. 26 Critères de contrôle pour les systèmes et leur exploitation Les compétences ont été modifiées pour garantir l’efficacité et la crédibilité des contrôles. La répartition des responsabilités entre la Confédération et les cantons a été revue de sorte que la Confédération as- sume davantage de responsabilités et un rôle plus direct dans le contrôle des systèmes. La Confédération aura la compétence de vérifier que les exigences relatives au système et aux processus sous-jacents sont remplies, ce qui favorisera notamment le fait que les connaissances issues des audits viendront alimenter de façon ciblée la suite du déroulement de la phase d’essai. Des experts externes seront chargés de procéder aux audits. Le canton ou le fournisseur du système continuera d’être responsable des contrôles liés à l’exploitation du système dans ses centres informatiques (certification ISO 27001). Il est renoncé à demander une certification plus poussée aux services accrédités par le Service d’accré- ditation suisse (SAS).

FACTORS IN SOFTWARE QUALITY - Vol. 1: Concept and Definitions of Software Quality - Jim A. McCall, Paul K. Richards, Gene F. Walters (1977)

Modification de l’ordonnance sur les droits politiques (ODP) et de l’ordonnance de la ChF sur le vote électronique (OVotE) | Lexipedia | Lexipedia