Les polémiques s'accumulent autour de l'application Elyze. Lancée le 2 janvier, celle-ci a pour but de motiver les indécis à aller voter à l'élection présidentielle via leurs affinités avec tel ou tel candidat. Même si le concept a immédiatement trouvé son public (l'app est actuellement deuxième dans le classement des apps gratuites de l'App Store), quelques soucis techniques ont vite pointé le bout du nez. Si les premières versions de logiciels peuvent s'accommoder de bugs, ils peuvent s'avérer très problématiques dans une application à portée politique.
Créée par des étudiants, l'application a l'ambition de réconcilier les jeunes avec la politique pour limiter l'abstention. En pratique, Elyze reprend le concept de la « pile de cartes à swiper » popularisée par Tinder. L'utilisateur doit balayer des cartes présentant les propositions de candidats, il peut prononcer « Pour » ou « Contre » en les faisant glisser à droite ou à gauche. Il a également la possibilité de ne pas se prononcer face à une proposition. Au fur et à mesure qu'il répond, l'algorithme de l'app va dessiner un profil et afficher les candidats les plus en phase avec ses opinions.
Si l'idée est bonne, les utilisateurs ont rapidement déniché plusieurs bugs favorisant certains candidats. Il y a encore quelques jours, si l'on acceptait toutes les propositions affichées, l'app mettait obligatoirement Emmanuel Macron premier du podium, suivi d'Anne Hidalgo et de Yannick Jadot. L'origine du problème est simple : chaque candidat dispose en coulisse d'un identifiant allant de 1 à 15, et faute de résultats, l'algorithme s'en servait pour faire le classement.
Le bug a été résolu et les candidats sont désormais classés par ordre alphabétique, mais l'histoire a décrédibilisé l'application. L'ingénieur Mathis Hammel a mis les mains dans le cambouis et s'est intéressé au code d'Elyze. Il a découvert d'autres soucis plus inquiétants : en bidouillant un peu, il a réussi à modifier certaines propositions visibles par tous.
Hier soir, j'ai découvert un problème de sécurité sur l'app Elyze (numéro 1 des stores en France cette semaine) qui m'a permis d'apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.
— Mathis Hammel (@MathisHammel) January 15, 2022
Je vous explique ce qui s'est passé ⤵️ pic.twitter.com/0a4LqZUPjL
« Les permissions étaient mal configurées. Tout ce qui touchait aux candidats était autorisé en lecture et en écriture, notamment la fonction permettant d'ajouter ou de modifier une proposition… » explique-t-il. Une faille qui aurait pu être utilisée à des fins de manipulation politique, mais qui a rapidement été corrigée une fois découverte.
L'ingénieur estime que les autres parties de la base de données n'ont pas été affectées. Pour lui, le code de l'application devrait être rendu open source pour détecter plus facilement les problèmes de ce genre. Les deux cofondateurs d'Elyze ont précisé au Figaro que « leur équipe y travaille activement pour le partager le plus rapidement possible ».
D'autres incohérences ont été remontées : les propositions d'Emmanuel Macron datent de 2017 (il n'a pas dévoilé de programme officiel, il ne s'est même pas déclaré) tandis que certains candidats ont moins de propositions que d'autres, ce qui a pu biaiser l'algorithme. Celui-ci ne serait pas encore tout à fait au point, explique CheckNews qui précise que le nombre de propositions n'est pas égal entre chaque candidat pour les différentes thématiques. Des doublons existaient également au lancement, ce qui pouvait perturber les résultats.
Commençons par les données envoyées à Facebook, on y trouve :
— Esther (@U039b) January 16, 2022
- un identifiant unique
- le nom de l'opérateur téléphonique
- diverses informations relatives au mobile
- le nom de l'application lancée
Aucun consentement n'a été donné concernant cette collecte. #RGPD, tout ça ... pic.twitter.com/NCShX5kZdg
Le traitement des données personnelles fait aussi parler de lui : une experte en sécurité a remarqué que le programme envoie des informations sur les serveurs d'Amazon (AWS) et de Facebook. « Aucune donnée n’est partagée avec Google et Facebook. Les données sont anonymes, l’application n’identifie individuellement aucun utilisateur » a assuré un des deux co-créateurs de l'application à l'AFP. Le second précise qu'Elyze a été codé avec l'API Expo, qui enverrait automatiquement des statistiques sur les utilisateurs sans que cela ne soit désactivable. En l'état, l'équipe derrière l'application semble donc avoir été dépassée par les évènements, comme ils en ont convenu à BFM :
Nous avons conçu cette application en imaginant qu’elle serait téléchargée par 20 000 personnes, pas 1,2 million. Nous avons été dépassés. Nous sommes mobilisés pour corriger tous les problèmes et comprenons parfaitement que notre projet puisse faire débat.
Il s'agit de se dépêcher de peaufiner leur copie : la CNIL veut en effet vérifier si l’application est en conformité avec la RGPD. En effet, le respect de celle-ci est primordial pour un logiciel qui traite de données à caractère politique. Le régulateur a expliqué vouloir faire « usage de ses pouvoirs répressifs » en cas de problème. Les créateurs ont annoncé ne pas vouloir vendre les données recueillies par l'application (date de naissance, genre et département), mais plutôt de travailler avec des instituts de sondages ou des think tank.
Mise à jour 22h — Le code source de l'application Elyze est disponible dans ce dépôt GitHub.
