Deux etudiants ont developpe une application sur le modele de Tinder Afin de aider nos jeunes – et les moins jeunes – a acheter pour quel candidat voter a Notre prochaine election presidentielle.
Apres plusieurs couacs, une telle belle initiative citoyenne rectifie ses failles de securite et de confidentialite.
Oubliez les coups d’un soir, celui-ci va durer cinq ans. Decouvrez le “Tinder de l’election presidentielle”, developpe via Francois Mari et Gregoire Cazcarra, 2 etudiants de respectivement 19 et 22 ans. Ils ont cree votre application Afin de “reconcilier [leur] generation avec le vote et l’engagement citoyen.” Lancee le dimanche 2 janvier dernier, Elyze vous permet, en likant ou non des propositions des 15 principaux candidats, d’Emmanuel Macron a Nathalie Arthaud en passant par Jean Lassalle, de decouvrir celui avec qui vous avez le plus d’affinites. En fonction des resultats, l’application cree un classement des candidats, de celui qui s’accorderait le plus avec vos convictions, a celui dont nos idees vous correspondent le moins.
L’objectif de “matcher” les jeunes generations avec la politique parai®t reussi, si l’on se fie au succes tonitruant de l’application: deja plus de 1 million de telechargements sur le Playstore et l’AppStore. Une tres belle initiative Afin de reduire l’abstention, qui presentait cependant certains risques en fonction de Mathis Hammel, developpeur, qui a passe au crible le programme de l’application.
Hier apri?m, j’ai decouvert un probleme de securite sur l’app Elyze (numero 1 des stores en France cette semaine) qui a permis d’apparaitre tel candidat a Notre presidentielle dans le telephone de quelques centaines de milliers de francais.
Je vous explique cela s’est passe ?? pic.twitter.com/0a4LqZUPjL
Faille beante dans le code
Interroge avec Challenges , il s’inquiete des risques qu’elle pourrait engendrer, surtout en termes de securite des donnees. “Il y avait une faille beante au code, j’ai pu modifier les programmes des candidats, temoigne-t-il. J’aurais aussi pu m’inscrire tel pretendant a l’Elysee concernant l’application.” Une “maladresse” qu’il impute a l’inexperience de Francois Mari, dont Elyze est la premiere application. Le developpeur l’a d’ailleurs aide a reparer une telle erreur. La crise fut avortee, mais une telle faille aurait pu etre exploitee via des individus malintentionnees, qui auraient pu modifier nos programmes de un candidat ou de leurs opposants afin d’influer concernant le scrutin. “Pour que cette application fonctionne parfaitement, il faudrait que des developpeurs gardent une neutralite politique et qu’elle soit auditee pour garantir davantage de securite.”
Car sur les serveurs d’Elyze se trouvait une veritable mine d’or. Malgre l’assurance d’une anonymisation pour nos utilisateurs, l’application collectait le code postal, la date de naissance et le genre de ses utilisateurs, de maniere facultative. D’apres une etude de l’universite Carnegie Mellon, ces trois renseignements suffisent a retrouver l’identite de quelqu’un dans 87% des cas… “Dans une ville de moins de 50.000 habitants, une personne est facilement identifiable avec ces trois seules precisions, estime Mathis Hammel. Meme si votre formulaire etait facultatif, tout le monde n’est nullement conscient d’une valeur de ces informations.”
Quel traitement Afin de ces informations?
Au-dela de la moult donnees politiques https://www.besthookupwebsites.net/fr/wildbuddies-review tres sensibles recoltees, c’est surtout leur traitement qui interrogeait. Alors que jusqu’a hier, les developpeurs indiquaient au sein des conditions generales d’utilisations que “la revente des donnees, toujours anonymisees, a des tiers” etait possible, aujourd’hui, la mention a disparu des CGU. Elle fut remplacee par: “Les precisions a caractere personnel ne semblent transmises a aucun tiers.” Autre doute dans la securite de ses donnees, les serveurs sur lesquels elles seront hebergees. “L’application stocke ses donnees concernant des serveurs Amazon, ce qui donne potentiellement au gouvernement americain l’occasion de s’en emparer.” Mes fondateurs de l’application se defendent des accusations de revente aux partis politiques en expliquant vouloir se servir de ses donnees pour les partager avec des chercheurs et universitaires pour’etudier nos comportements des electeurs.
Une collecte qui est Du Reste surveillee par la Cnil, qui confirme a Challenges que ces informations doivent etre traitees avec beaucoup de prudence : “C e type d’application doit prevoir des garanties grandes Afin de proteger des precisions des utilisateurs: un niveau de securite eleve, une duree de conservation des precisions tres limitee, ainsi, une parfaite transparence vis-a-vis des utilisateurs (Quelles informations seront collectees? Pour quels objectifs? Qui a acces a ces donnees? …). Le respect des obligations est particulierement important si des precisions sensibles (donnees qui revelent les opinions politiques ou l’appartenance syndicale d’une personne surtout) seront traitees. La collecte des precisions reste, via principe, interdite, sauf exception, entre autres si le consentement explicite des personnes reste recueilli. Pour etre valable, ce consentement doit etre libre, specifique, eclaire et univoque . Il est en mesure de, notamment, etre recueilli par le biais d’un systeme de case a cocher.”
Face aux inquietudes des utilisateurs et a la pression des medias et du gendarme francais du virtuel, l’equipe de l’application a annonce hier que chacune des donnees ont ete supprimees des serveurs et que des futures le vont i?tre egalement. Mes fondateurs ont egalement decide de rendre le code de l’application open-source, c’est-a-dire que le code de l’application reste en acces libre sur internet, et ouvert aux propositions d’amelioration. Une preuve de bonne foi des developpeurs, qui ne suffit pas a eviter tous les risques. “Peu importe ce qu’ils disent au sein des CGU, il va i?tre toujours possible qu’un echange cle USB / mallette se fasse, ca n’arrive nullement que dans les films”, estime l’expert.