Deux etudiants ont developpe une application sur le modele de Tinder Afin de aider des jeunes – et les moins jeunes – a acheter pour quel candidat voter a la prochaine election presidentielle.

Apres quelques couacs, votre belle initiative citoyenne rectifie ses failles de securite ainsi que confidentialite.

Oubliez les coups d’un jour, celui-ci va durer cinq annees. Visitez le “Tinder de l’election presidentielle”, developpe via Francois Mari et Gregoire Cazcarra, deux etudiants de respectivement 19 et 22 ans. Ils ont cree cette application Afin de “reconcilier [leur] generation avec le vote et l’engagement citoyen.” Lancee le dimanche 2 janvier soir, Elyze vous permet, en likant ou non des propositions des 15 principaux candidats, d’Emmanuel Macron a Nathalie Arthaud en passant via Jean Lassalle, de decouvrir celui avec qui vous avez le plus d’affinites. En fonction des resultats, l’application cree un classement des candidats, de celui qui s’accorderait le plus avec vos convictions, a celui dont des idees vous correspondent le moins.

L’objectif de “matcher” les jeunes generations avec la politique parait reussi, si l’on se fie au succes tonitruant de l’application: deja environ 1 million de telechargements sur le Playstore et l’AppStore. Une tres belle initiative Afin de reduire l’abstention, qui presentait cependant plusieurs dangers d’apri?s Mathis Hammel, developpeur, qui a passe au crible le chantier de l’application.

Hier apri?m, j’ai decouvert un probleme de securite sur l’app Elyze (06 1 des stores en France cette semaine) qui m’a permis d’apparaitre tel candidat a J’ai presidentielle dans le telephone de plusieurs centaines de milliers de francais.

Je vous explique cela s’est passe ?? pic.twitter.com/0a4LqZUPjL

Faille beante dans le code

Interroge par Challenges , il s’inquiete des dangers qu’elle pourrait engendrer, surtout en termes de securite des donnees. “Il y avait une faille beante au code, j’ai pu modifier les programmes des candidats, temoigne-t-il. J’aurais meme pu m’inscrire comme pretendant a l’Elysee sur l’application.” Une “maladresse” qu’il impute a l’inexperience de Francois Mari, dont Elyze est la premiere application. Le developpeur l’a d’ailleurs aide a reparer une telle erreur. Notre crise fut avortee, mais une telle faille aurait pu etre exploitee via des gens malintentionnees, qui auraient pu modifier les programmes de un candidat ou de leurs opposants afin d’influer via le scrutin. “Pour que cette application fonctionne impeccablement, il faudrait que nos developpeurs gardent une neutralite politique et qu’elle soit auditee pour garantir davantage de securite.”

Car sur les serveurs d’Elyze se trouvait une veritable mine d’or. Malgre l’assurance d’une anonymisation Afin de les utilisateurs, l’application collectait le code postal, la date maternel et le genre de ses utilisateurs, de maniere facultative. D’apres une etude de l’universite Carnegie Mellon, ces trois precisions suffisent a retrouver l’identite de quelqu’un dans 87% des cas… “Dans une ville de moins de 50.000 habitants, un individu est facilement identifiable avec ces trois seules precisions, estime Mathis Hammel. Meme si ce formulaire etait facultatif, n’importe qui n’est nullement conscient d’la valeur des precisions.”

Quel traitement pour ces precisions?

Au-dela d’une moult precisions politiques tres sensibles recoltees, c’est surtout leur traitement qui interrogeait. Alors que jusqu’a hier, des developpeurs indiquaient en conditions generales d’utilisations que “la revente des precisions, forcement anonymisees, a des tiers” etait possible, aujourd’hui, la mention a disparu des CGU. Elle a ete remplacee avec: “Les donnees a caractere personnel ne sont transmises a aucun tiers.” Autre doute sur la securite de l’ensemble de ses donnees, des serveurs sur qui elles sont hebergees. “L’application stocke ses donnees via des serveurs Amazon, ce qui donne potentiellement au gouvernement americain les moyens de s’en emparer.” Les fondateurs de l’application se defendent des accusations de revente aux partis politiques en expliquant vouloir se servir de ses informations Afin de les partager avec des chercheurs et universitaires pour’etudier nos comportements des electeurs.

Une collecte qui est d’ailleurs surveillee par la Cnil, qui confirme a Challenges que ces precisions doivent etre traitees avec beaucoup de prudence : “C e type d’application devra prevoir des garanties grandes pour proteger les donnees des utilisateurs: un niveau de securite eleve, une duree de conservation des precisions tres limitee, et une parfaite transparence vis-a-vis des utilisateurs (Quelles informations seront collectees? Pour quels objectifs? Qui a acces a ces donnees? …). Le respect de ces obligations est particulierement necessaire si des donnees sensibles (informations qui revelent des opinions politiques ou l’appartenance syndicale d’une personne notamment) sont traitees. J’ai collecte de ces donnees reste, via principe, interdite, sauf exception, notamment si le consentement explicite des individus reste recueilli. Pour etre valable, ce consentement doit etre libre, specifique, eclaire et univoque . Il pourra, pourquoi pas, etre recueilli par l’intermediaire d’un systeme de case a cocher.”

Face aux inquietudes des utilisateurs et a la pression des medias et du gendarme francais du numerique, l’equipe de l’application a annonce hier que l’ensemble des donnees ont ete supprimees des serveurs et que nos futures le seront egalement. Mes fondateurs ont egalement decide de rendre le code de l’application open-source, c’est-a-dire que le code de l’application est en acces libre online, ainsi, ouvert aux propositions d’amelioration. Une preuve d’excellente foi des developpeurs, qui ne suffit gui?re a eviter la totalite des risques. “Peu importe votre qu’ils disent dans les CGU, c’est i  chaque fois possible qu’un echange cle USB / mallette se fasse, ca n’arrive gui?re que en films”, estime l’expert.