Nos Lois, Elyze, la Primaire Populaire… Ces initiatives numériques collectent des données qui valent de l’or – le détail de nos opinions politiques. En route vers un Cambridge Analytica made in France ?
Sur le papier, le principe paraît simple et inoffensif. En quelques swipes, Elyze est capable de trouver le candidat à l’élection présidentielle le plus proche de vous. Téléchargée plus d’un million de fois, cette application a trusté pendant plusieurs semaines les premières places des tops téléchargements sur les app stores. Beaucoup de médias (L’ADN compris) ont applaudi le coup de génie de ces deux jeunes étudiants en école de commerce, Grégoire Cazcarra, 22 ans, et François Mari, 19 ans, qui souhaitent réconcilier les jeunes et la politique et combattre l’abstention grâce à une appli façon Tinder. Mais la success story a vite tourné au vinaigre.
Sur les réseaux sociaux, plusieurs chercheurs en cybersécurité soulignent les bugs et failles informatiques de l’application, tout comme la quantité importante de données qu’elle récolte. Celles-ci sont anonymisées, assurent les fondateurs. Mais sur Twitter, le développeur Mathis Hammel, docteur spécialiste des vulnérabilités informatiques, indique qu’il est assez aisé de retrouver l’identité d’une personne de manière précise en associant son genre, sa date de naissance et son code postal (3 données justement collectées par l’application). Le chercheur s’appuie sur une étude de Carnegie-Mellon à ce sujet. La CNIL, gendarme du numérique, a fini par réagir à la mi-janvier. Peu de temps après, les deux fondateurs ont assuré avoir fait le nécessaire en corrigeant certains bugs, en rendant le code de l’appli open source, en arrêtant de collecter les données des nouveaux utilisateurs, et en supprimant la base de données des utilisateurs existants.
Concernant la dernière annonce, difficile de la vérifier. « Seul un audit extérieur de l’entreprise permettrait de savoir si la base de données des utilisateurs est effectivement supprimée », pointe Matthieu Dierick, expert de la cybersécurité des applications chez F5. Chose qui n’a pas été faite pour le moment. Il faut donc s’en remettre à la parole des deux étudiants.
D’autres applis collectent nos opinions politiques
Elyze n'est pas la seule appli politique à poser question. Nos Lois récolte également les opinions politiques de ses utilisateurs en leur proposant de se prononcer pour ou contre un texte de loi en cours de discussion au Parlement. Il se trouve que cette application a, elle aussi, fait une récente percée sur les app stores grâce à sa promotion par certains militants anti-vaccin au début du mois de janvier.
Dans ses politiques de confidentialité, Nos Lois indique ne divulguer « aucune information personnelle potentiellement identifiante et personnellement identifiable », et ne louer ni ne vendre « à qui que ce soit des informations d’identification personnelle »... L’application transmet en revanche des statistiques tirées de sa base d’utilisateurs à la quarantaine d’élus abonnés à sa plateforme, comme nous l’avait indiqué Erik de Boisgrollier, fondateur de l’appli. Pour construire ces statistiques, Nos Lois demande aux utilisateurs leur code postal, leur catégorie socio-professionnelle, leur âge, genre, et centres d’intérêt.
Quid de la Primaire Populaire ? Près de 400 000 personnes ont voté en ligne pour leur candidat favori à gauche. Pour accéder aux votes, ils ont dû renseigner leurs noms, prénoms, coordonnées bancaires via la plateforme de Neovote. Interrogé par Numerama, Victor Grèzes, responsable du processus de vote de la Primaire Populaire indique que la liste d’inscrits est accessible au prestataire et en interne. « Mais à un groupe de personnes extrêmement restreint, et avec (...) des garanties de sécurité : authentification double facteur, données segmentées… ». L’association défend avoir récolté « le moins de données possible ».
Cambridge Analytica, bis repetita ?
Une partie de ces informations a toutefois été transmise au vainqueur (Christiane Taubira) pour l’aider à mener sa campagne électorale. « On parle ici des informations de contacts et géographiques, une précieuse base de données pour un candidat », précise Numerama. Les utilisateurs ont toutefois eu la possibilité de refuser la transmission de leurs données lorsqu’ils se sont inscrits au vote.
Pour Matthieu Dierick, les données collectées par ces applications peuvent valoir très cher et intéresser notamment des data brokers, ces entreprises qui collectent puis analysent d’importantes quantités de données, afin de les revendre à des tiers, dont des partis politiques. « Si un parti politique sait que vous êtes pour la fermeture des frontières et que vous pensez que la police doit avoir plus d’importance, cela peut influencer sa stratégie de campagne, l’encourager à investir plus ou moins certaines régions et / ou classes d’âge, voire lui permettre de cibler individuellement les électeurs. Or, le ciblage c’est ce qui peut permettre de gagner une élection, on l’a vu avec le scandale Cambridge Analytica. » Cette entreprise, spécialiste de l’analyse de données, avait siphonné en 2016 les données Facebook de 87 millions de personnes, dans le but d’influencer leur vote pour le compte de Donald Trump et des militants pro-Brexit.
Malgré les protections, les attaques peuvent venir de l’intérieur
Pour le spécialiste, le risque principal est de voir ces applications attaquer « de l’intérieur ». Et cela malgré les garde-fous mis en place par les entreprises. « Pour le moment, aucun hacker n’a – à ma connaissance – réussi à extraire des informations de l’application Elyze, ce qui signifie que leurs serveurs sont plutôt bien protégés. En revanche, l’attaque peut aussi venir de l’intérieur. Un groupe de hackers, qui pourrait être mandaté par une organisation, peut très bien, avec des techniques de social engineering, convaincre un salarié de l’entreprise de lui donner accès aux données collectées par l’application. » La pratique est courante. « Lorsqu’il y a des fuites de données chez LinkedIn, WhatsApp ou tout autre application, elles sont dues la plupart du temps à ce type d’attaque. »
Et le risque est d’autant plus accru pour les startups, estime-t-il, qui n’ont pas forcément les moyens de bien se protéger, et dont les salariés cumulent généralement plusieurs rôles en faisant des cibles d’autant plus intéressantes pour des hackers.
L’autre risque : la perte de confiance dans le système électoral
Du côté de la Primaire Populaire s’ajoute un autre risque – qui a priori a été évité : « voir les résultats du vote modifiés par des hackeurs, mandatéés par exemple par des puissances étrangères », pointe Juliette Delanoë, co-fondatrice d’Ubble, spécialiste de la vérification d’identité à distance.
Pour prévenir ce risque, Neovote demandait à chaque votant un numéro de téléphone et des coordonnées de carte bancaire. Un moyen de s’assurer d’empêcher la création de comptes multiples. « Cela limite les risques et c’est une technique peu chère. Mais ce n’est pas un fort niveau de protection. On peut trouver des numéros de carte bancaire et des numéros de téléphone sur le dark web assez facilement… Si des systèmes de vote en ligne se mettent en place pour des scrutins plus officiels, ce type de technique ne pourrait pas suffire, estime la spécialiste. Car le problème d’un système de vote peu ou mal protégé est qu’il pourrait conduire à une perte de confiance dans le système électoral. C’est précisément ce qu’on a vu avec les soupçons de fraude lors des dernières élections américaines, qui ont conduit à l’assaut du Capitole le 6 janvier 2021.
Rien n’empêche une appli politique de collecter nos infos
Compte-tenu de ces possibles risques, et de notre connaissance des dégâts causés par l’affaire Cambridge Analytica, comment expliquer qu’il soit possible de collecter des infos aussi critiques en pleine période électorale ? Comment expliquer, comme le décrit bien Arrêt sur Images, que de « parfaits inconnus » constituent une base de données qui regroupe « les opinions politiques précises d'un million de gens, sans que personne – ou presque – ne moufte » (du moins avant un petit moment) ?
Pour Matthieu Dierick, il manque en France une organisation qui contrôle ce qui est publié sur internet, concernant certains sujets sensibles. « Il existe des instances lorsqu’on souhaite construire un bâtiment, vous devez demander un accord, mais aujourd’hui si vous voulez collecter des données en lançant une application personne ne vous en empêchera. Seules les plateformes (Apple, Google) ont un droit de regard sur ce qui est publié sur leurs magasins d’applications. » Si l’application est contraire au RGPD, alors la CNIL interviendra… en aval. Mais entre-temps, l’appli a tout le loisir d’amasser pas mal de données.
Participer à la conversation