Actu

Elyze, le « Tinder de la présidentielle », s’explique après des failles informatiques [MàJ]

24 janvier 2022
Par Marion Piasecki
L'application Elyze, qui veut "faire aimer la présidentielle" est actuellement top 3 sur l'App Store.
L'application Elyze, qui veut "faire aimer la présidentielle" est actuellement top 3 sur l'App Store. ©Capture d'écran

« Swiper » les propositions pour « matcher » avec un candidat : inspiré des applications de rencontre, Elyze a rapidement fait le buzz avec plus d’un million de téléchargements en moins de deux semaines.

[Mise à jour : 24/01/2022]

Le co-créateur Grégoire Cazcarra a annoncé dans l’émission du YouTubeur Hugo Décrypte que toutes les données personnelles des utilisateurs ont été supprimées et que le code de l’application était désormais disponible en open source sur GitHub. Dans un communiqué, il a également été annoncé qu’une fonctionnalité « ex-aequo » serait ajoutée à la prochaine mise à jour.

[Article initial : 18/01/2022]

L’intention de départ est pourtant bonne : faire baisser l’abstention des 18-30 ans en les intéressant aux programmes des candidats à l’élection présidentielle de manière ludique. L’application est cependant confrontée à de nombreuses critiques qui ont révélé des failles et posent la question de l’utilisation des données personnelles.

Emmanuel Macron, éternel premier ?

Une première faille a été mise en avant par Jean-Luc Mélenchon sur Twitter : si l’on approuvait toutes les propositions, Emmanuel Macron était premier, suivi par Anne Hidalgo et Yannick Jadot. De plus, cela voulait dire qu’on était d’accord avec 24 propositions d’Emmanuel Macron et 30 de Philippe Poutou, mais ce dernier n’arrivait qu’en neuvième position. Un « coup tordu », comme l’affirme le candidat de la France Insoumise.

L’expert en cybersécurité Mathis Hammel, en s’intéressant au code de l’application, a découvert qu’en cas d’égalité, les candidats s’affichaient dans l’ordre original d’entrée dans le code. Ce podium n’a donc aucune valeur. Dans Le Figaro, le co-créateur d’Elyze Grégoire Cazcarra a déclaré qu’ils avaient corrigé le tir en affichant dorénavant les candidats par ordre alphabétique.

En cherchant d’autres failles, Mathis Hammel s’est aussi rendu compte qu’il pouvait modifier des propositions et écrire par exemple : « Virer Jean Castex et nommer Mathis Hammel à sa place ». Ce problème a depuis été résolu. L’expert en cybersécurité suggère que le code soit disponible publiquement en open source, ajoutant que « la transparence algorithmique est nécessaire dans un contexte d’élections ».

La collecte de données sensibles inquiète la CNIL

Au lancement de l’application, l’utilisateur peut renseigner son sexe, sa date de naissance, son code postal, le candidat pour lequel il a voté lors de la dernière élection présidentielle en 2017 et son intention de vote en 2022. Des données qui, toujours d’après Mathis Hammel, « permettent assez facilement d’identifier une personne directement ». Il illustre cette affirmation avec une étude de l’université Carnegie-Mellon qui estime que 87% des Américains peuvent être identifiés seulement avec leur sexe, leur date de naissance et leur code postal. Grégoire Cazcarra a répliqué que ces données ne seraient « jamais communiquées à une équipe de campagne, à un parti politique ou à une formation partisane ».

Ces critiques ont suscité l’attention de la CNIL. Elle « ne peut se prononcer en l’état sur la conformité de cette application », a indiqué l’autorité chargée de la protection des données personnelles à l’AFP. « Nous avons bien été alertés et (…) nous examinons son fonctionnement ». Elle précise que, s’il y avait manquement au règlement général de la protection des données (RGPD), elle pourrait « faire usage de ses pouvoirs répressifs ».

Article rédigé par
Marion Piasecki
Marion Piasecki
Journaliste