L’application Elyze est arrive de suite en tete des telechargements d’applications.
Arrivee en tronche des points de vente d’application, avec diverses centaines de milliers de telechargements debut janvier, l’application developpee par deux etudiants, Elyze, est promptement descendue de le pied d’estale. Le concept ? L’application fera «matcher» l’utilisateur avec un candidat en fonction des propositions politiques qu’il approuve, a la maniere du geant de la rencontre Tinder. Toutes seront tirees des programmes «officiel». L’auditoire «swype» la proposition, a droite s’il est d’accord et a gauche s’il est contre, et en fin de parcours, l’application renvoie un classement des candidats des plus en adequation avec ses pensees. L’objectif, porte egalement par l’association qui se devoile «apartisane» Mes Engages, etait d’effectuer renouer la jeune generation avec la politique, ainsi, surtout le vote. Elle a opere un grand virage hier jour, en annoncant avoir efface ses donnees personnelles, et mettre son code en open source, a J’ai disposition de tous.
Comme toute application qui a du succes, le feu des projecteurs a leve le voile via des defauts. Sur le concept tout d’abord, Quelques estimant que la politique ne peut se resoudre a un «d’accord» ou «pas d’accord» avec des propositions de programmes. Neanmoins, que le debat politique repose dans une complexite plus grande. Un argument discutable si le but meme de l’application consiste a reinteresser les jeunes generations a la politique, c’est a penser des jeunes qui se trouvent de fait exclu du champ politique.
Un nouvelle debat venait une presence du president Emmanuel Macron, sans qu’il soit officiellement candidat, ni qu’il ait presente un planning.
Faille structurelle
Mais au-dela des considerations davantage ideologiques, c’est bien le codage de l’appli qui a ete critique dans le milieu des developpeurs francais. Dans un long thread publie via Twitter, le CTO reconnu et vulgarisateur du developpement, Mathis Hammel, a deconstruit le code source de l’application (reverse engineering). Il explique avoir trouve diverses failles, en particulier une qui lui permet de s’inviter dans l’appli en tant que candidat. «J’ai decouvert un probleme de securite sur l’app Elyze (numero 1 des stores en France cette semaine) qui a permis d’apparaitre comme candidat a Notre presidentielle dans le telephone de plusieurs centaines de milliers de francais,» ecrivait-il le 15 janvier. Cela n’a rendu public le souci qu’apres avoir averti et corrige la faille au milieu des equipes d’Elyze.
Concretement, les outils utilises par les developpeurs permettaient d’avoir acces «facilement» a la base de informations de qualite interrogee par l’application. Notre base dans laquelle elle va a chaque fois puiser nos precisions. Ainsi, il etait possible, pour quelqu’un de malintentionne, de manipuler les propositions des candidats, ou nos noms memes des candidats. Notre faille ne provenait gui?re d’une «erreur» de code, mais d’un ensemble de choix dans l’architecture meme de l’application. Notre jeunesse des developpeurs, bien que bien intentionnes, a ete critiquees comme un tracas d’experience.
Autre probleme : les informations personnelles. Elyze indiquait vraiment dans ses conditions generales d’utilisation qu’elles pouvaient vendre nos donnees a des tiers. Bien que les fondateurs assuraient «qu’aucun parti politique ni equipe de campagne» n’auraient acces aux precisions, rien n’attestait qu’un prestataire de mesure d’opinion, de marketing ou annuels de communication ciblee, qui aurait pu travailler pour 1 parti ou 1 candidat, ne pouvait votre jour mettre la main dans la mine d’or que representait la connaissance d’Elyze. A savoir 
: lier 1 utilisateur (et son profil) a des validations ou non de propositions politiques. Une connaissance savoureuse pour qui veut dresser votre argumentaire. Dans le scandale Cambridge Analytica, qui possi?de ete beaucoup couteux pour Facebook en termes d’image et de proces, rappelons que la societe d’analyse n’etait ni un parti ni une equipe de campagne.
Donnees sensibles
J’ai Cnil elle-meme a fini via se pencher concernant la situation d’Elyze. «Nous avons bien ete alertes et (. ) nous examinons le fonctionnement», a indique le regulateur, qui s’est reserve les moyens de «faire usage de l’ensemble de ses pouvoirs repressifs» en cas de manquement au Reglement general dans la protection des informations (RGPD), des le lundi 17 janvier. «Ce type d’application doit prevoir des garanties fortes Afin de abriter les donnees des utilisateurs», explique ma Cnil. «Le respect des obligations est particulierement utile si des donnees sensibles (precisions qui revelent les opinions politiques) paraissent traitees», ajoute le regulateur, precisant que «la collecte de ces donnees est par principe interdite, sauf exception, pourquoi pas si le consentement explicite des gens reste recueilli».
Dans votre communique, Elyze a bien precise que la recolte des informations etait «facultative», et que i§a pouvait etre refuse sans limiter ni restreindre l’utilisation de l’application. «Elles etaient paralli?lement i cela anonymisees», insistent nos fondateurs, arguant ne recolter que le genre, le code postal et la date maternel. «Cela nous semblait constituer 1 materiau attractif pour nos instituts d’etudes, Think Tank et centre de recherche». Mais surement deja trop pour l’opinion publique encore en plus sensible sur ce type de sujet.
Cependant, l’imbroglio n’aura nullement dure un certain temps, ainsi, les equipes d’Elyze ont reagi rapidement. L’un des fondateurs, Gregoire Cazcarra, a indique mercredi jour sur le plateau d’Hugo Decrypte, que nos equipes avaient efface toutes les donnees recueillies. Et que le code serait desormais open source, afin que la communaute puisse verifier ce que fait exactement l’application, et ameliorer les fonctionnalites.
