LEBIGDATA.FR I.A, Cloud & Cybersécurité
L'application Elyze vous permet de découvrir le candidat qui correspond à vos idées pour l'élection présidentielle. Malheureusement, ce logiciel créé par des étudiants est miné par des problèmes techniques et des failles de sécurité…
Avec Elyze, la politique française fait son entrée dans l'ère Tinder. Cette application vous propose de découvrir le candidat le plus » compatible » avec vos opinions, en faisant défiler les propositions issues des programmes.
Une proposition apparaît à l'écran, sans que le candidat correspondant soit indiqué. L'utilisateur effectue un » swipe » vers la droite si la proposition lui plaît, ou vers la gauche dans le cas contraire. Après avoir exprimé son avis sur au moins 25 propositions, l'appli indique le podium des candidats les plus compatibles.
Disponible depuis le début janvier 2022, Elyze rencontre un franc succès sur l'App Store d'Apple et le Play Store de Google. En une semaine, elle cumulait déjà plus de 500 000 téléchargements. À présent, elle a dépassé le million.
Cette application est développée par deux étudiants : François Mari à HEC, et Grégoire Cazcarra à l'ESCP. Leur objectif était d'inciter les jeunes à s'intéresser à la politique, notamment en reprenant les codes des réseaux sociaux et services de rencontres auxquels ils sont accoutumés.
Toutefois, plusieurs internautes soulignent que cette application semble biaisée. Les résultats seraient fréquemment tournés en faveur d'Emmanuel Macron. C'est ce que dénonce par exemple un certain Jean-Luc Mélenchon sur Twitter…
Encore un coup tordu l'appli #Elyze… À qui profite ce mauvais coup ? Devinez… https://t.co/QMvXaL2LTF
— Jean-Luc Mélenchon (@JLMelenchon) January 12, 2022
Un problème technique fait gagner Macron à chaque fois
Interrogé par Le Point, François Mari affirme toutefois que l'application n'est aucunement orientée. Les deux développeurs se revendiquent totalement apolitiques.
En réalité, il ne s'agit pas d'un biais idéologique, mais d'un problème technique au niveau du code de l'appli. Chaque candidat s'est vu attribuer un numéro : le 1 pour Emmanuel Macron, le 2 pour Anne Hidalgo, et le 3 pour Yannick Jadot.
À cause d'un bug, ces trois candidats apparaissaient donc systématiquement sur le podium et dans le même ordre. L'application étant initialement basée sur les instituts de sondage plaçant Macron en tête, le Président sortant était automatiquement classé premier en cas d'ex aequo.
Suite au scandale, une mise à jour a été déployée le 13 janvier. Le bug est désormais corrigé. En cas d'égalité, les trois candidats sont maintenant hiérarchisés par ordre alphabétique.
Les deux étudiants avouent avoir été dépassés par le succès de leur appli, et reconnaissent qu'elle reste » perfectible « . Outre cet incident technique, notons que le nombre de propositions n'est pas égal pour chaque candidat. Il y a par exemple 21 propositions émanant de Valérie Pécresse, et seulement 18 de Jean-Luc Mélenchon.
Les calculs sont donc faussés, car basés sur le ratio de réponses positives ou négatives aux propositions. Toutefois, la liste des propositions sera mise à jour au fil du temps. Les propositions d'Emmanuel Macron seront par exemple actualisées lorsqu'il aura annoncé sa candidature et son nouveau programme.
Le but premier reste d'inviter les jeunes à s'intéresser à la politique. Et sur ce point, le succès de l'application suggère que l'objectif est atteint. Malheureusement, un grave problème de cybersécurité ternit à son tour le tableau…
Une faille de sécurité permet de modifier les programmes des candidats
Hier soir, j'ai découvert un problème de sécurité sur l'app Elyze (numéro 1 des stores en France cette semaine) qui m'a permis d'apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.
Je vous explique ce qui s'est passé ⤵️ pic.twitter.com/0a4LqZUPjL
— Mathis Hammel (@MathisHammel) January 15, 2022
En tentant de comprendre d'où venaient les problèmes techniques, le développeur web Mathis Hammel a mené ses expériences de rétro-ingénierie sur Elyze. C'est alors qu'il a découvert un problème de sécurité.
En accédant à la base de données où sont stockés les » choix » des utilisateurs et les résultats obtenus, l'expert en cybersécurité remarque un problème d'autorisation au niveau des propositions des candidats.
Ces propositions sont en accès public, ce qui signifie qu'il est possible de les modifier, de les supprimer… ou même d'en créer de nouvelles. Suite à cette découverte, Mathis Hammel s'est amusé à créer une proposition pour Emmanuel Macron : » virer Jean Castex et nommer Mathis Hammel à sa place « .
Le développeur a volontairement laissé son message parasiter l'application pour tous les utilisateurs, avant de le retirer pour ne pas les déranger. Il s'est ensuite empressé de contacter les créateurs d'Elyze pour leur signaler le problème, qui a été réglé dans la foulée.
Toutefois, il n'a fallu que trois heures à Mathis Hammel pour réussir cette intrusion. L'expert redoute donc que des hackers mal intentionnés exploitent les faiblesses de l'appli ou d'autres logiciels similaires pour manipuler les programmes électoraux, et influencer les élections.
Afin d'éviter le risque de dérives, Mathis Hammel appelle les créateurs d'Elyze à rendre leur application open source. Selon lui, un code public lui aurait permis de repérer beaucoup plus vite d'où provenaient les bugs.
Il estime que « la transparence est super importante dans un contexte d'élection présidentielle « . Pour cause, il n'est pas concevable d'avoir » une boîte noire qui dit à 1 million de Français comment voter « .
Le co-fondateur Grégoire Cazcarra affirme quant à lui que le passage en open source est déjà en cours : » on trouve que c'est une bonne idée et on y travaille activement. On espère pouvoir y parvenir le plus rapidement possible « .
Le jeune étudiant ajoute mesurer « la responsabilité qui est la nôtre dans la mesure où un million d'utilisateurs utilisent Elyze, dans un contexte de scrutin présidentiel « . Une adresse mail salut@elyze.com a été déployée pour permettre aux internautes de transmettre leurs retours. En outre, un droit de regard sur les propositions sera proposé à l'ensemble des équipes de campagne afin d'éviter d'éventuelles erreurs.
Un risque pour les données personnelles ?
Je lis des articles sur Elyze. Pour l'instant, pas un seul pour souligner le risque à ce que 2 inconnus sans encadrement aient en leurs mains l'une des bases de données probablement les plus puissantes de l'histoire politique française. Que des partis payeraient cher pour avoir.
— François Malaussena (@malopedia) January 15, 2022
L'application Elyze représente aussi un risque pour les données personnelles. En effet, lors de la première ouverture de l'appli, l'utilisateur doit indiquer plusieurs informations comme son sexe, sa date de naissance, son code postal, ou le nom du candidat pour lequel il a voter en 2017 et celui pour lequel il veut voter en 2022.
Or, toujours selon Mathis Hammel, les données sont également transmises vers le serveur à chaque » swipe « . L'enregistrement de données est lié à un identifiant unique composé d'une suite de chiffres pour chaque utilisateur.
La réaction de l'utilisateur à chaque proposition politique sera directement associée aux données personnelles qu'il a renseigné à l'inscription. La base de données regroupe toutes les informations au sujet d'une personne, mais également ses idées politiques.
Avec plus d'un million de téléchargements au compteur, la base de données d'Elyze représente donc une valeur inestimable pour les politiciens. Fort heureusement, Mathis Hammel affirme que la base de données est bien sécurisée et n'a pas réussi à y accéder.
Néanmoins, il existe un risque que ces données soient utilisées ultérieurement par les créateurs de l'application. Les conditions générales leur autorise « la revente de données anonymisées à des tiers « .
De leur côté, les deux développeurs expliquent à BFM TV envisager à l'avenir d'utiliser ces données pour créer des rapports sur l'opinion publique. Ces rapports pourraient ensuite être vendus à des groupes de réflexion ou à des instituts de sondages.
En revanche, la base de données sous forme brute ne sera jamais revendue. Les analyses ne seront jamais vendues à des partis politiques, comme dans la sinistre affaire de Cambridge Analytica. Du moins, c'est ce que promettent les deux créateurs de l'appli…
Quoi qu'il en soit, l'article 9 du RGPD interdit le traitement de données personnelles à caractère politique. L'application pourrait donc être bannie suite à son succès massif. Les créateurs de l'appli prévoient de demander conseil à la CNIL et de consulter des avocats spécialisés pour déterminer comment structurer le projet juridiquement.
- Partager l'article :
