Application Elyze : un ingénieur parvient à mettre son nom dans les propositions présidentielles

Publié le dimanche 16 janvier 2022 à 22h20

3 min

Quelques biais et défauts de sécurité ont été identifiés sur l'application, tous rectifiés à ce jour précisent les créateurs.
© Radio France - Victor Vasseur

Depuis quinze jours, le "Tinder de la présidentielle" fait un carton. L'application Elyze, qui aide à orienter les jeunes sur l'échiquier politique de la présidentielle, a été téléchargée un million de fois. Toutefois, plusieurs bugs informatiques ou biais ont été recensés. Un ingénieur nous raconte.

L'application Elyze, lancée il y a quinze jours par deux étudiants, compte déjà un million de téléchargements. Pensée comme un "Tinder de la présidentielle", elle propose à ses utilisateurs - principalement des jeunes - de trouver le candidat à l'élection présidentielle qui leur correspond le mieux.

Toutefois, quelques biais ont été recensés ces dernières jours. C'est en cherchant à comprendre d'où ils provenaient que Mathis Hammel, développeur web spécialiste en cybersécurité et vulgarisateur, s'est aperçu d'un "problème de sécurité sur l'App", qui lui a permis de s'inclure, l'espace de quelques secondes, dans les propositions présidentielles du gouvernement macroniste.

Des propositions modifiables

Au départ, Mathis Hammel cherchait simplement à "répondre à deux questions sur des bugs qui avaient été relevés dans l'appli par la communauté (de développeurs, NDLR). C'était par curiosité", dit-il. Il utilise donc ses compétences en cybersécurité, et la méthode de la "rétro-ingénierie", pour percer cet algorithme dont le code n'est pas en "open source".

Il parvient à accéder à la base de données où sont stockés les "choix" des utilisateurs, et donc les résultats obtenus, et se rend compte qu'il y a un problème d'autorisation. "La base de données était globalement bien sécurisée sauf à un endroit : sur les propositions des candidats."

En accès public, je pouvais créer, modifier, supprimer [les propositions des candidats].

Il s'amuse donc à créer cette proposition pour le (probable) candidat Emanuel Macron : "Virer Jean Castex et nommer Mathis Hammel [lui] à sa place".

Pour afficher ce contenu Twitter, vous devez accepter les cookies Réseaux Sociaux.

Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.

"Tous les téléphones, à ce moment-là avaient ce message qui s'affichait. Je ne l'ai laissé que quelques secondes, pour ne pas déranger les utilisateurs de l'appli", détaille-t-il. Il contacte alors immédiatement les créateurs d'Elyze, et le problème est réglé en une nuit. Vers 10h le lendemain matin, tout est en ordre.

Un risque de manipulation

Mathis Hammel a mis seulement trois heures pour réaliser cette entourloupe. Le risque selon lui, serait "de pouvoir manipuler des programmes" électoraux.

Même en modifiant certains tournures de phrases de manière très discrète, on peut biaiser les gens.

Emmanuel Macron en tête des exæquo

Parmi les autres problèmes recensés par les internautes, le fait qu'Emmanuel Macron soit présenté en premier sur le podium lorsque deux candidats sont exæquo chez un utilisateur. Un biais qui a particulièrement irrité Jean-Luc Mélenchon. "Encore un coup tordu l'appli #Elyze... À qui profite ce mauvais coup?" a-t-il écrit dans un tweet.

"Un bug relevé à juste titre par Jean-Luc Mélenchon, qui a été corrigé immédiatement", réagit Grégoire Cazcarra, co-fondateur. "On s'était basé au départ sur un classement lié aux instituts de sondage. Macron étant en tête, il apparaissait donc en premier en cas d'ex-aequo", précise-t-il.

Désormais, en cas d'égalité stricte entre deux candidats, l'ordre alphabétique fait loi.

Il précise que "les bugs identifiés jusqu'à présent ont tous été résolus dans la dernière mise à jour". Les utilisateurs ont donc accès à la version corrigée en rechargeant l'application.

Elyze en "open source"

Mathis Hammel a appelé les créateurs d'Elyze à rendre l'application disponible en "open source".

Si le code source avait été public, j'aurais fait la même chose, mais j'aurais certainement trouvé beaucoup plus vite d'où venaient ces bugs,

précise le développeur. Selon lui, cette "transparence" est "super importante, dans un contexte d'élection présidentielle".

On ne peut pas se permettre d'avoir une boite noire, qui dit à 1 million de français comment voter.

Le passage en "open source" est en cours, confirme le co-fondateur Grégoire Cazcarra. "O_n trouve que c'est une bonne idée et on y travaille activement. On espère pouvoir y parvenir le plus rapidement possible_" Cette modification est effective depuis jeudi.

Il ajoute "On mesure la responsabilité qui est à la nôtre dans la mesure où un million d'utilisateurs utilisent Elyze, dans un contexte de scrutin présidentiel."

Les fondateurs d'Elyze ont donc mis en place une adresse mail salut@elyze.co, où tout utilisateur peut leur faire part d'une remarque, critique ou suggestion concernant la rédaction d'une proposition. Ils prévoient également de proposer à l'ensemble des équipes de campagne d'avoir un droit de regard sur les propositions de leur candidats respectifs (en cas d'erreur sur une proposition), tout en conservant leur caractère "apartisan".

Mercredi, l'une des têtes pensantes de l'application a annoncé que toutes les données collectées sont supprimées.