Elyze, le Tinder d’la presidentielle, corrige le tir apres les polemiques

Deux etudiants ont developpe une application sur le modele de Tinder Afin de aider nos jeunes – et les moins jeunes – a opter pour pour quel candidat voter a la prochaine election presidentielle.

Apres deux couacs, cette belle initiative citoyenne rectifie ses failles de securite et de confidentialite.

Oubliez les coups d’un jour, celui-ci va durer 5 ans. Parcourez le “Tinder de l’election presidentielle”, developpe avec Francois Mari et Gregoire Cazcarra, deux etudiants de respectivement 19 et 22 ans. Ils ont cree votre application pour “reconcilier [leur] generation avec le vote et l’engagement citoyen.” Lancee le dimanche 2 janvier dernier, Elyze vous permet, en likant ou non des propositions des 15 principaux candidats, d’Emmanuel Macron a Nathalie Arthaud en passant par Jean Lassalle, de decouvrir celui avec qui vous avez le plus d’affinites. En fonction des resultats, l’application cree votre classement des candidats, de celui qui s’accorderait le plus avec vos convictions, a celui dont nos idees vous correspondent le moins.

L’objectif de “matcher” les jeunes generations avec la politique parait reussi, si l’on se fie au succes tonitruant de l’application: deja environ 1 million de telechargements sur le Playstore et l’AppStore. Une tres belle initiative Afin de reduire l’abstention, qui presentait cependant deux dangers d’apri?s Mathis Hammel, developpeur, qui possi?de passe au crible le programme de l’application.

Hier jour, j’ai decouvert un probleme de securite sur l’app Elyze (numero 1 des stores en France cette semaine) qui m’a permis d’apparaitre tel candidat a la presidentielle via le telephone de plusieurs centaines de milliers de francais.

Je vous explique ce qui s’est passe ?? pic.twitter.com/0a4LqZUPjL

Faille beante dans le code

Interroge via Challenges , il s’inquiete des risques qu’elle pourrait engendrer, surtout en termes de securite des donnees. “Il y avait une faille beante au code, j’ai pu modifier des programmes des candidats, temoigne-t-il. J’aurais meme pu m’inscrire comme pretendant a l’Elysee sur l’application.” Une “maladresse” qu’il impute a l’inexperience de Francois Mari, dont Elyze est la premiere application. Le developpeur l’a d’ailleurs aide a reparer votre erreur. La crise fut avortee, mais cette faille aurait pu etre exploitee avec des personnes malintentionnees, qui auraient pu modifier des programmes de un candidat ou de leurs opposants afin d’influer sur le scrutin. “Pour que cette application fonctionne tout i  fait, il faudrait que des developpeurs gardent une neutralite politique et qu’elle soit auditee Afin de assurer davantage de securite.”

Car i  propos des serveurs d’Elyze se trouvait une veritable mine d’or. Malgre l’assurance d’une anonymisation pour des utilisateurs, l’application collectait le code postal, la date de naissance et le genre des utilisateurs, de maniere facultative. D’apres une etude de l’universite Carnegie Mellon, ces trois informations suffisent a retrouver l’identite de quelqu’un dans 87% des cas… “Dans une ville de moins de 50.000 habitants, une personne est facilement identifiable avec ces trois seules renseignements, estime Mathis Hammel. Meme si ce formulaire est facultatif, tout le monde n’est jamais conscient de la valeur des informations.”

Quel traitement pour ces precisions?

Au-dela de la quantite de donnees politiques tres sensibles recoltees, c’est surtout un traitement qui interrogeait. Alors que jusqu’a hier, des developpeurs indiquaient au sein des conditions generales d’utilisations que “la revente des informations, forcement anonymisees, a des tiers” est possible, aujourd’hui, la mention a disparu des CGU. Elle a ete remplacee avec: “Les informations a caractere personnel ne sont transmises a aucun tiers.” Autre doute via la securite de l’ensemble de ses precisions, les serveurs sur qui elles seront hebergees. “L’application stocke ses donnees concernant des serveurs Amazon, et cela donne potentiellement au gouvernement americain les moyens de s’en emparer.” Les fondateurs de l’application se defendent des accusations de revente aux partis politiques en expliquant vouloir utiliser ses informations Afin de les partager avec des chercheurs et universitaires pour’etudier nos comportements des electeurs.

Une collecte qui est d’ailleurs surveillee par la Cnil, qui confirme a Challenges que ces donnees doivent etre traitees avec de nombreuses prudence : «C e type d’application devra prevoir des garanties fortes pour abriter les donnees des utilisateurs: un niveau de securite eleve, une duree de conservation des informations tres limitee, ainsi, une parfaite transparence vis-a-vis de ses utilisateurs (Quelles informations paraissent collectees? Pour quels objectifs? Qui a acces a ces informations? …). Le respect de ces obligations est particulierement utile si des informations sensibles (donnees qui revelent des opinions politiques ou l’appartenance syndicale de la personne surtout) paraissent traitees. Notre collecte de ces informations reste, avec principe, interdite, sauf exception, comme si le consentement explicite des individus reste recueilli. Pour etre valable, ce consentement devra etre libre, specifique, eclaire et univoque . Il est en mesure de, entre autres, etre recueilli au moyen d’un systeme de case a cocher.»

Face aux inquietudes des utilisateurs et a la pression des medias et du gendarme francais du virtuel, l’equipe de l’application a annonce hier que l’integralite des informations ont ete supprimees des serveurs et que les futures le vont i?tre egalement xmeets. Les fondateurs ont egalement decide de rendre le code de l’application open-source, c’est-a-dire que le code de l’application est en acces libre online, ainsi, ouvert aux propositions d’amelioration. Une preuve d’excellente foi des developpeurs, qui ne suffit gui?re a empi?cher l’integralite des dangers. “Peu importe votre qu’ils disent au sein des CGU, il est i  chaque fois possible qu’un echange cle USB / mallette se fasse, ca n’arrive jamais que dans les films”, estime l’expert.