« Les civic tech permettent d’éclairer le débat public, mais elles ne sont pas neutres » 

Réconcilier les jeunes avec le vote grâce à une application mobile : telle est l’objectif de l’application « Elyze », surnommée dans la presse « le tinder électoral ». L’application invite l’utilisateur à balayer l’écran sur la gauche ou la droite en fonction des propositions politiques affichées. Après avoir répondu à une centaine de questions, un classement apparaît : une liste de personnalités politiques avec lesquelles il partage des convictions. 

« Elyze », si elle fait partie des applications les plus téléchargées ces dernières semaines, n’a pas fait parler d’elle pour cette unique raison. Lorsque Mathis Hammel, diplômé du département informatique de l’INSA Lyon, met le nez dans le code informatique, il découvre des failles. De sécurité, d’abord, puisqu’il arrive à hacker l’application ; puis un manquement de protection sur les données des utilisateurs. L’ingénieur, habitué à vulgariser ses trouvailles informatiques sur son fil Twitter, a lancé un pavé dans la mare. Un pavé, oui. Mais un pavé citoyen car « le dossier Elyze » soulève à l’approche des élections présidentielles, un enjeu de sécurité majeur sur les « civic tech », ces outils technologiques qui œuvrent pour une participation citoyenne augmentée.

Vous avez mis en lumière des failles importantes sur l'une des applications les plus téléchargées en France ces dernières semaines. Que soupçonniez-vous ?  
J’ai d’abord été intrigué par l’écriture de l’algorithme : comment l’application choisit-elle le candidat qui « matche » le plus avec l’utilisateur ? En cas de résultat ex-aequo, comment le candidat qui s’affiche en premier est-il choisi par rapport à l’autre ? Comme le programme n’était pas librement accessible à l’époque, il fallait utiliser des outils spécialisés pour déchiffrer le programme informatique. Le premier problème s’est révélé : les informations personnelles que chaque utilisateur avait rempli à leur première connexion, comme le lieu de résidence, le genre et la date de naissance étaient collectées à des fins commerciales. Ces données auraient sans doute intéressé la plupart des partis politiques pour mener leurs campagnes… On se souvient du scandale de l’entreprise Cambridge Analytica¹ ! L’autre faille concernait la sécurité du contenu. J’ai réussi en quelques coups de clavier à modifier l’une des propositions politiques qui s’affichaient à l’écran.
Même si l’application ne prétend pas vouloir influencer les votes, il est facile d’imaginer que la plupart des utilisateurs voteront pour le candidat qui est apparu en premier. Les « civic tech » sont des outils très intéressants pour éclairer le débat public et engager le citoyen, mais elles ne sont pas neutres. Il était important de se pencher sur le cas de l’application Elyze, téléchargée plus d’un million de fois.

 
Un classement s’effectuait dans la première version
de l’application malgré des résultats ex-aequo

Depuis le partage de votre découverte sur Twitter, les créateurs d’Elyze ont suivi vos recommandations et ont même été audités par la CNIL². Votre intrusion a-t-elle permis d’éviter le pire ?
On peut dire que l’opération a porté ses fruits. Mon tweet a interpellé beaucoup de gens, obligeant les développeurs à modifier leur algorithme et à publier le code en open source. Je pense que les créateurs ont été surtout été dépassés par le succès de leur app, d’où la moyenne maîtrise des questions légales en matière de protection des données. Le dialogue avec la CNIL a permis de mettre de l’ordre dans l’aspect juridique et technique ; nous pouvons maintenant utiliser l’application l’esprit un peu plus tranquille ! 

Aujourd’hui, il est si facile de lancer une application et de la mettre à disposition de tous. Pourtant, personne ne vérifie réellement la mise en conformité juridique de chaque application, n’est-ce pas ? 
Les magasins d’applications font ce qu’ils peuvent au quotidien, en vérifiant que les applications disponibles ne contiennent pas de virus. Les créateurs ont l’entière responsabilité de ce qu’ils publient ; ils doivent être en conformité avec les lois, notamment celles qui caractérisent la manière de gérer les données. Dans les faits, les créateurs d’applications doivent faire leur propre audit et c’est ici qu’est le problème. Pour certains types d’application, le risque est moindre, mais lorsqu’on parle d’outils qui touchent le fonctionnement démocratique comme Elyze, les enjeux dépassent la simple utilisation de l’appli. J’espère que cette expérience avec Elyze permettra d’en tirer des leçons pour l’avenir des civic tech. La législation laisse encore des zones grises lorsqu’il s’agit de numérique et la façon dont j’ai découvert les failles d’Elyze en est un exemple, même si mon intention n’est pas de causer du tort non-mérité, mais d’alerter. C’est d’ailleurs, pour cette raison que je m’applique à vulgariser ce que je trouve. 

Hier soir, j'ai découvert un problème de sécurité sur l'app Elyze (numéro 1 des stores en France cette semaine) qui m'a permis d'apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.

Je vous explique ce qui s'est passé ⤵️ pic.twitter.com/0a4LqZUPjL

— Mathis Hammel (@MathisHammel) January 15, 2022

Vous êtes très actif sur les réseaux sociaux, notamment pour sensibiliser le grand public à la cybersécurité. Vous êtes également communicant au sein de l’entreprise pour laquelle vous travaillez, CodinGame. Partager son savoir est une mission d’intérêt public pour vous ?
Cela fait plusieurs mois que j’essaie de partager ce que je comprends au grand public. Tout a commencé par un premier tweet qui a eu beaucoup de succès : j’avais réussi à reconstituer un pass sanitaire à partir d’une photo, celui de Jean Castex entre autres. Puis la sauce a pris et j’essaie de m’astreindre à poster régulièrement. À travers les réseaux sociaux, mon but est surtout d’informer sur des sujets d’actualité pour permettre aux internautes de mieux comprendre la société numérique dans laquelle ils vivent. 
Du côté de CodinGame, nous nous adressons à des experts, en proposant des entraînements pointus à la programmation. L’informatique évolue si vite qu’elle oblige les professionnels à se maintenir à jour des nouveautés techniques, souvent en autodidacte. La culture du partage de connaissances est assez forte dans la communauté informatique. Je me souviens de mes années à l’INSA, où après les cours, nous continuions à coder, programmer, déchiffrer avec mes copains de classe. J’ai beaucoup appris de ces années de vie associative qui réunissait des gens passionnés par la même chose que moi. Ça avait une autre saveur que d’apprendre seul dans sa chambre, derrière son ordinateur. 

1 La société Cambridge Analytica avait exploité en 2014 les données personnelles des utilisateurs Facebook américains. Ces informations ont servi à influencer les intentions de vote en faveur d’hommes politiques.

2 Commission nationale de l’informatique et des libertés