Les polĂ©miques s'accumulent autour de l'application Elyze. LancĂ©e le 2 janvier, celle-ci a pour but de motiver les indĂ©cis Ă aller voter Ă l'Ă©lection prĂ©sidentielle via leurs affinitĂ©s avec tel ou tel candidat. MĂȘme si le concept a immĂ©diatement trouvĂ© son public (l'app est actuellement deuxiĂšme dans le classement des apps gratuites de l'App Store), quelques soucis techniques ont vite pointĂ© le bout du nez. Si les premiĂšres versions de logiciels peuvent s'accommoder de bugs, ils peuvent s'avĂ©rer trĂšs problĂ©matiques dans une application Ă portĂ©e politique.
Créée par des étudiants, l'application a l'ambition de réconcilier les jeunes avec la politique pour limiter l'abstention. En pratique, Elyze reprend le concept de la « pile de cartes à swiper » popularisée par Tinder. L'utilisateur doit balayer des cartes présentant les propositions de candidats, il peut prononcer « Pour » ou « Contre » en les faisant glisser à droite ou à gauche. Il a également la possibilité de ne pas se prononcer face à une proposition. Au fur et à mesure qu'il répond, l'algorithme de l'app va dessiner un profil et afficher les candidats les plus en phase avec ses opinions.
Si l'idée est bonne, les utilisateurs ont rapidement déniché plusieurs bugs favorisant certains candidats. Il y a encore quelques jours, si l'on acceptait toutes les propositions affichées, l'app mettait obligatoirement Emmanuel Macron premier du podium, suivi d'Anne Hidalgo et de Yannick Jadot. L'origine du problÚme est simple : chaque candidat dispose en coulisse d'un identifiant allant de 1 à 15, et faute de résultats, l'algorithme s'en servait pour faire le classement.
Le bug a été résolu et les candidats sont désormais classés par ordre alphabétique, mais l'histoire a décrédibilisé l'application. L'ingénieur Mathis Hammel a mis les mains dans le cambouis et s'est intéressé au code d'Elyze. Il a découvert d'autres soucis plus inquiétants : en bidouillant un peu, il a réussi à modifier certaines propositions visibles par tous.
Hier soir, j'ai découvert un problÚme de sécurité sur l'app Elyze (numéro 1 des stores en France cette semaine) qui m'a permis d'apparaßtre comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.
â Mathis Hammel (@MathisHammel) January 15, 2022
Je vous explique ce qui s'est passĂ© â€”ïž pic.twitter.com/0a4LqZUPjL
« Les permissions Ă©taient mal configurĂ©es. Tout ce qui touchait aux candidats Ă©tait autorisĂ© en lecture et en Ă©criture, notamment la fonction permettant d'ajouter ou de modifier une propositionâŠÂ » explique-t-il. Une faille qui aurait pu ĂȘtre utilisĂ©e Ă des fins de manipulation politique, mais qui a rapidement Ă©tĂ© corrigĂ©e une fois dĂ©couverte.
L'ingĂ©nieur estime que les autres parties de la base de donnĂ©es n'ont pas Ă©tĂ© affectĂ©es. Pour lui, le code de l'application devrait ĂȘtre rendu open source pour dĂ©tecter plus facilement les problĂšmes de ce genre. Les deux cofondateurs d'Elyze ont prĂ©cisĂ© au Figaro que « leur Ă©quipe y travaille activement pour le partager le plus rapidement possible ».
D'autres incohĂ©rences ont Ă©tĂ© remontĂ©es : les propositions d'Emmanuel Macron datent de 2017 (il n'a pas dĂ©voilĂ© de programme officiel, il ne s'est mĂȘme pas dĂ©clarĂ©) tandis que certains candidats ont moins de propositions que d'autres, ce qui a pu biaiser l'algorithme. Celui-ci ne serait pas encore tout Ă fait au point, explique CheckNews qui prĂ©cise que le nombre de propositions n'est pas Ă©gal entre chaque candidat pour les diffĂ©rentes thĂ©matiques. Des doublons existaient Ă©galement au lancement, ce qui pouvait perturber les rĂ©sultats.
Commençons par les données envoyées à Facebook, on y trouve :
— Esther (@U039b) January 16, 2022
- un identifiant unique
- le nom de l'opérateur téléphonique
- diverses informations relatives au mobile
- le nom de l'application lancée
Aucun consentement n'a été donné concernant cette collecte. #RGPD, tout ça ... pic.twitter.com/NCShX5kZdg
Le traitement des donnĂ©es personnelles fait aussi parler de lui : une experte en sĂ©curitĂ© a remarquĂ© que le programme envoie des informations sur les serveurs d'Amazon (AWS) et de Facebook. « Aucune donnĂ©e nâest partagĂ©e avec Google et Facebook. Les donnĂ©es sont anonymes, lâapplication nâidentifie individuellement aucun utilisateur » a assurĂ© un des deux co-crĂ©ateurs de l'application Ă l'AFP. Le second prĂ©cise qu'Elyze a Ă©tĂ© codĂ© avec l'API Expo, qui enverrait automatiquement des statistiques sur les utilisateurs sans que cela ne soit dĂ©sactivable. En l'Ă©tat, l'Ă©quipe derriĂšre l'application semble donc avoir Ă©tĂ© dĂ©passĂ©e par les Ă©vĂšnements, comme ils en ont convenu Ă BFM :
Nous avons conçu cette application en imaginant quâelle serait tĂ©lĂ©chargĂ©e par 20 000 personnes, pas 1,2 million. Nous avons Ă©tĂ© dĂ©passĂ©s. Nous sommes mobilisĂ©s pour corriger tous les problĂšmes et comprenons parfaitement que notre projet puisse faire dĂ©bat.
Il s'agit de se dĂ©pĂȘcher de peaufiner leur copie : la CNIL veut en effet vĂ©rifier si lâapplication est en conformitĂ© avec la RGPD. En effet, le respect de celle-ci est primordial pour un logiciel qui traite de donnĂ©es Ă caractĂšre politique. Le rĂ©gulateur a expliquĂ© vouloir faire « usage de ses pouvoirs rĂ©pressifs » en cas de problĂšme. Les crĂ©ateurs ont annoncĂ© ne pas vouloir vendre les donnĂ©es recueillies par l'application (date de naissance, genre et dĂ©partement), mais plutĂŽt de travailler avec des instituts de sondages ou des think tank.
Mise Ă jour 22h â Le code source de l'application Elyze est disponible dans ce dĂ©pĂŽt GitHub.
