Deux etudiants ont developpe une application sur le modele de Tinder pour aider les jeunes – et les moins jeunes – a designer pour quel candidat voter a J’ai prochaine election presidentielle.
Apres certains couacs, cette belle initiative citoyenne rectifie ses failles de securite ainsi que confidentialite.
Oubliez les coups d’un jour, celui-ci va durer 5 ans. Parcourez le “Tinder de l’election presidentielle”, developpe avec Francois Mari et Gregoire Cazcarra, 2 etudiants de respectivement 19 et 22 ans. Ils ont cree cette application pour “reconcilier [leur] generation avec le vote et l’engagement citoyen.” Lancee le dimanche 2 janvier soir, Elyze vous permet, en likant ou non des propositions des 15 principaux candidats, d’Emmanuel Macron a Nathalie Arthaud en passant avec Jean Lassalle, de decouvrir celui avec qui vous avez le plus d’affinites. En fonction des resultats, l’application cree 1 classement des candidats, de celui qui s’accorderait le plus avec vos convictions, a celui dont les idees vous correspondent le moins.
L’objectif de “matcher” les jeunes generations avec la politique parait reussi, si l’on se fie au succes tonitruant de l’application: deja environ 1 million de telechargements sur le Playstore et l’AppStore. Une tres belle initiative Afin de reduire l’abstention, qui presentait cependant quelques risques d’apri?s Mathis Hammel, developpeur, qui possi?de passe au crible le programme de l’application.
Hier apri?m, j’ai decouvert un probleme de securite sur l’app Elyze (06 1 des stores en France cette semaine) qui a permis d’apparaitre tel candidat a la presidentielle dans le telephone de quelques centaines de milliers de francais.
Je vous explique ce qui s’est passe ?? pic.twitter.com/0a4LqZUPjL
Faille beante au code
Interroge avec Challenges , il s’inquiete des dangers qu’elle pourrait engendrer, principalement en termes de securite des informations. “Il y avait une faille beante au code, j’ai pu modifier des programmes des candidats, temoigne-t-il. J’aurais meme pu m’inscrire comme pretendant a l’Elysee via l’application.” Une “maladresse” qu’il impute a l’inexperience de Francois Mari, dont Elyze est la premiere application. Le developpeur l’a d’ailleurs aide a reparer cette erreur. J’ai crise fut avortee, mais votre faille aurait pu etre exploitee avec des gens malintentionnees, qui auraient pu modifier les programmes de un candidat ou de leurs opposants afin d’influer via le scrutin. “Pour que cette application fonctionne tout i fait, il faudrait que les developpeurs gardent une neutralite politique et qu’elle soit auditee pour assurer davantage de securite.”
Car i propos des serveurs d’Elyze se trouvait une veritable mine d’or. Malgre l’assurance d’une anonymisation pour les utilisateurs, l’application collectait le code postal, la date de naissance et le genre de ses utilisateurs, de maniere facultative. D’apres une etude de l’universite Carnegie Mellon, ces trois renseignements suffisent a retrouver l’identite de quelqu’un dans 87% des cas… “Dans une ville de moins de 50.000 habitants, un individu est facilement identifiable avec ces trois seules precisions, estime Mathis Hammel. Meme si votre formulaire est facultatif, tout un chacun n’est pas conscient de la valeur de ces informations.”
Quel traitement pour ces donnees?
Au-dela d’une quantite de precisions politiques tres sensibles recoltees, c’est surtout un traitement qui interrogeait. Alors que jusqu’a hier, des developpeurs indiquaient au sein des conditions generales d’utilisations que “la revente des informations, forcement anonymisees, a des tiers” est possible, aujourd’hui, la mention a disparu des CGU. Elle fut remplacee via: “Les donnees a caractere personnel ne semblent transmises a aucun tiers.” Autre doute sur la securite de l’ensemble de ses informations, les serveurs sur qui elles paraissent hebergees. “L’application stocke ses donnees sur des serveurs Amazon, et cela donne potentiellement au gouvernement americain la faculte de s’en emparer.” Mes fondateurs de l’application se defendent des accusations de revente aux partis politiques en expliquant vouloir se servir de ses informations Afin de les partager avec des chercheurs et universitaires afin d’etudier des comportements des electeurs.
Une collecte qui est d’ailleurs surveillee par la Cnil, qui confirme a Challenges que ces informations doivent etre traitees avec beaucoup de prudence : “C e type d’application doit prevoir des garanties fortes pour couvrir des donnees des utilisateurs: un niveau de securite eleve, une duree de conservation des precisions tres limitee, et une parfaite transparence vis-a-vis de ses utilisateurs (Quelles informations paraissent collectees? Pour quels objectifs? Qui possi?de acces a ces informations? …). Le respect de ces obligations est particulierement necessaire lorsque des informations sensibles (precisions qui revelent des opinions politiques ou l’appartenance syndicale en personne principalement) paraissent traitees. La collecte de ces precisions reste, avec principe, interdite, sauf exception, comme si le consentement explicite des gens est recueilli. Pour etre valable, ce consentement doit etre libre, specifique, eclaire et univoque . Cela est en mesure de, Prenons un exemple, etre recueilli au moyen d’un systeme de case a cocher.”
Face aux inquietudes des utilisateurs et a la pression des medias et du gendarme francais du virtuel, l’equipe de l’application a annonce hier que l’ensemble des informations ont ete supprimees des serveurs et que nos futures le sont egalement. Les fondateurs ont egalement decide de rendre le code de l’application open-source, c’est-a-dire que le code de l’application reste en bookofsex acces libre en ligne, ainsi, ouvert aux propositions d’amelioration. Une preuve de bonne foi des developpeurs, qui ne suffit nullement a eviter l’integralite des dangers. “Peu importe ce qu’ils disent en CGU, c’est toujours possible qu’un echange cle USB / mallette se fasse, ca n’arrive gui?re que au sein des films”, estime l’expert.