Deux etudiants ont developpe une application sur le modele de Tinder pour aider les jeunes – et les moins jeunes – a designer Afin de quel candidat voter a la prochaine election presidentielle.
Apres certains couacs, cette belle initiative citoyenne rectifie ses failles de securite ainsi que confidentialite.
Oubliez les coups d’un jour, celui-ci va durer cinq ans. Visitez le “Tinder de l’election presidentielle”, developpe via Francois Mari et Gregoire Cazcarra, deux etudiants de respectivement 19 et 22 annees. Ils ont cree cette application pour “reconcilier [leur] generation avec le vote et l’engagement citoyen.” Lancee le dimanche 2 janvier soir, Elyze vous permet, en likant ou non des propositions des 15 principaux candidats, d’Emmanuel Macron a Nathalie Arthaud en passant via Jean Lassalle, de decouvrir celui avec qui vous avez le plus d’affinites. En fonction des resultats, l’application cree un classement des candidats, de celui qui s’accorderait le plus avec vos convictions, a celui dont nos idees vous correspondent le moins.
L’objectif de “matcher” les jeunes generations avec la politique semble reussi, si l’on se fie au succes tonitruant de l’application: deja plus de 1 million de telechargements sur le Playstore et l’AppStore. Une tres belle initiative pour reduire l’abstention, qui presentait cependant plusieurs dangers selon Mathis Hammel, developpeur, qui a passe au crible le chantier de l’application.
Hier soir, j’ai decouvert un probleme de securite sur l’app Elyze (06 1 des stores en France cette semaine) qui a permis d’apparaitre tel candidat a J’ai presidentielle sur le telephone de diverses centaines de milliers de francais.
Je vous explique et cela s’est passe ?? pic.twitter.com/0a4LqZUPjL
Faille beante au code
Interroge via Challenges , il s’inquiete des risques qu’elle pourrait engendrer, principalement en termes de securite des informations. “Il y avait une faille beante au code, j’ai pu modifier les programmes des candidats, temoigne-t-il. J’aurais meme pu m’inscrire tel pretendant a l’Elysee sur l’application.” Une “maladresse” qu’il impute a l’inexperience de Francois Mari, dont Elyze est la premiere application. Le developpeur l’a d’ailleurs aide a reparer cette erreur. La crise fut avortee, mais cette faille aurait pu etre exploitee avec des personnes malintentionnees, qui auraient pu modifier nos programmes de leur candidat ou de leurs opposants afin d’influer via le scrutin. “Pour que cette application fonctionne au mieux, il faudrait que des developpeurs gardent une neutralite politique et qu’elle soit auditee Afin de garantir davantage de securite.”
Car sur les serveurs d’Elyze se trouvait une veritable mine d’or. Malgre l’assurance d’une anonymisation Afin de des utilisateurs, l’application collectait le code postal, la date maternel et le genre de ses utilisateurs, de maniere facultative. D’apres une etude de l’universite Carnegie Mellon, ces trois renseignements suffisent a retrouver l’identite de quelqu’un dans 87% des cas… “Dans une ville de moins de 50.000 habitants, une personne est facilement identifiable avec ces trois seules precisions, estime Mathis Hammel. Meme si votre formulaire etait facultatif, tout un chacun n’est jamais conscient de la valeur de ces renseignements.”
Quel traitement Afin de ces informations?
Au-dela une moult informations politiques tres sensibles recoltees, c’est surtout un traitement qui interrogeait. Alors que jusqu’a hier, des developpeurs indiquaient dans les conditions generales d’utilisations que “la revente des informations, forcement anonymisees, a des tiers” etait possible, aujourd’hui, la mention a disparu des CGU. Elle fut remplacee par: “Les donnees a caractere personnel ne semblent transmises a aucun tiers.” Autre doute via la securite de ses donnees, nos serveurs sur lesquels elles sont hebergees. “L’application stocke ses donnees concernant des serveurs Amazon, et cela donne potentiellement au gouvernement americain la faculte de s’en emparer.” Mes fondateurs de l’application se defendent des accusations de revente aux partis politiques en expliquant vouloir choisir ses donnees Afin de nos partager avec des chercheurs et universitaires pour’etudier nos comportements des electeurs.
Une collecte qui est au passage surveillee par la Cnil, qui confirme a Challenges que ces precisions doivent etre traitees avec beaucoup de prudence : « C e vidГ©o de rencontrer site type d’application doit prevoir des garanties fortes Afin de couvrir les precisions des utilisateurs: un niveau de securite eleve, une duree de conservation des precisions tres limitee, et une parfaite transparence vis-a-vis des utilisateurs (Quelles informations seront collectees? Pour quels objectifs? Qui possi?de acces a ces donnees? …). Le respect des obligations est particulierement utile si des donnees sensibles (donnees qui revelent les opinions politiques ou l’appartenance syndicale de la personne en particulier) seront traitees. La collecte de ces informations reste, par principe, interdite, sauf exception, par exemple si le consentement explicite des personnes reste recueilli. Pour etre valable, votre consentement devra etre libre, specifique, eclaire et univoque . Cela pourra, par exemple, etre recueilli au moyen d’un systeme de case a cocher. »
Face aux inquietudes des utilisateurs et a la pression des medias et du gendarme francais du virtuel, l’equipe de l’application a annonce hier que l’ensemble des donnees ont ete supprimees des serveurs et que les futures le sont egalement. Mes fondateurs ont egalement decide de rendre le code de l’application open-source, c’est-a-dire que le code de l’application est en acces libre online, et ouvert aux propositions d’amelioration. Une preuve de bonne foi des developpeurs, qui ne suffit jamais a empi?cher l’ensemble des dangers. “Peu importe ce qu’ils disent dans les CGU, il va i?tre i chaque fois possible qu’un echange cle USB / mallette se fasse, ca n’arrive gui?re que au sein des films”, estime l’expert.