Une application mobile devait aider le Parti démocrate à collecter les résultats des comtés dans l'Iowa, pour ses primaires. Mais elle a tourné au fiasco. Elle a été publiée sur Internet et depuis les critiques pleuvent de la part des experts en sécurité informatique.

Du travail de mauvaise qualité. C’est, de l’avis de six spécialistes reconnus en sécurité informatique, le sentiment qui prédomine après avoir pu ausculter la désormais tristement célèbre application qui a causé tant de tracas au Parti démocrate alors que s’ouvrait la campagne des primaires dans l’Iowa. Mais c’est un travail qui n’aurait guère pu être plus satisfaisant, au regard des délais impartis.

Rappel des faits. Le 3 février, le Parti démocrate lance pour de bon sa campagne pour choisir son champion ou sa championne pour faire face à Donald Trump. Dans l’Iowa, les militants doivent, comté par comté, désigner quels sont les candidats qui ont leur faveur, par un système de délégués, de votes et de tours. Au terme de la procédure, les résultats sont remontés au parti pour savoir la tendance dans l’État.

Or, l’application qui devait permettre de comptabiliser et de remonter les scores dans chaque localité n’a pas bien fonctionné. Le décompte n’a pas pu être fait dans les temps et ce n’est que dans la nuit du 4 au 5 février que les premiers résultats partiels ont pu être obtenus. Très vite, tous les regards se sont tournés vers les conditions de développement et de test du logiciel, qui se sont avérées bien insuffisantes.

Iowa Pari démocrate
C’est dans l’Iowa que le coup d’envoi des primaires a traditionnellement lieu. // Source : Lorie Shaull

Cela va désormais changer. Depuis le 6 février, n’importe qui peut en parcourir les entrailles, puisque le fichier .APK (un format de fichier utilisé pour le système d’exploitation Android) du logiciel est disponible au téléchargement. Le journaliste Joseph Cox, de Motherboard, a pu mettre la main sur ce programme, lui permettant de le décompiler, mais aussi de le partager avec quelques experts pour avoir leur éclairage.

Une démarche qu’il a justifiée sur Twitter, déclarant « qu’il est nécessaire d’offrir une transparence complète sur ce qu’est l’application, ce qu’elle peut et ne peut pas faire, et pourquoi elle a échoué ». L’un des reproches qui sont apparus ces derniers jours porte sur le secret qui a entouré son existence, alors que ce projet aurait pu bénéficier de contributions extérieures pour la polir davantage avant qu’elle ne soit lancée dans le grand bain d’une scrutée par les médias du monde entier.

Cependant, il n’était pas question de partager ce code n’importe comment. Cela n’a pu être possible qu’en ayant la certitude que le backend de l’application a été mis hors ligne et que sa diffusion ne pose pas de risque élevé pour la sécurité. De toute évidence, cela s’est fait en bonne intelligence avec Shadow, la société à l’origine de IowaReporterApp, même si cette diffusion publique et l’intervention de plusieurs experts auguraient un sale quart d’heure pour le groupe.

« L’application mobile semble avoir été conçue à la hâte »

Cela n’a évidemment pas manqué. Dans un article de synthèse, le journaliste regroupe les divers avis des spécialistes qu’il a contactés et ils ne sont pas tendres. « L’application mobile semble avoir été conçue à la hâte », dit l’un, tandis qu’un autre se montre plus cassant encore : «  l’application a clairement été réalisée par quelqu’un qui a suivi un tutoriel. C’est similaire aux projets que je fais avec mes étudiants qui apprennent à coder ». Cruel.

La récupération de l’application a notamment permis de comprendre pourquoi elle n’a pas marché comme prévu. C’était à cause d’une erreur de formatage lors du transfert des données de l’application vers un système de vérification contrôlé par le Parti démocrate de l’Iowa. Au cours de ce processus, l’erreur a fait qu’elles n’ont pas été acceptées.

Cette erreur, qui semble particulièrement grossière, aurait-elle pu être vue en amont et corrigée si les choses avaient tourné différemment ? Impossible à dire. Le patron de Shadow, interrogé par Motherboard, déclare que l’application a bénéficié d’un audit indépendant avant qu’elle ne soit lancée. Au cours de ce processus, quelques bugs ont pu être résolus avant. Plus curieux en revanche est le refus de Shadow de bénéficier du concours du ministère de l’Intérieur américain, qui a vu sa proposition déclinée par la société.

Shadow Iowa
La page d’accueil de Shadow, où figure désormais un message d’excuse de son PDG.

Parmi les avis qui ont été recueillis par Motherboard figure celui de Baptiste Robert, un chercheur français en cybersécurité qui s’est déjà fait remarquer pour avoir déniché diverses failles sur des projets comme la messagerie souveraine Tchap, l’explorateur de fichiers Android ES File Explorer et.. un chapelet connecté. Sollicité par Numerama pour des commentaires complémentaires, l’expert confirme qu’il s’agit d’une application « faite rapidement », qui n’est pas « particulièrement aboutie ».

« C’est du travail relativement simple, qui correspond à ce que l’on peut faire en l’espace de quelques mois », juge-t-il. IowaReporterApp a été développée avec React Native, un outil de développement en JavaScript conçu par Facebook qui permet de développer et d’adapter des applications pour des systèmes d’exploitation comme Android et iOS. Elle fait aussi appel à diverses technologies tierces, comme Auth0 pour l’authentification et Firebase et Firestore, des services appartenant à Google, pour le stockage des données.

Moins tranchant que ses confrères, mais tout aussi critique, Baptiste Robert considère que « c’est du travail de débutant » et que Shadow « a conçu une application classique », « très banale », « vide » et « sans aucun design », qui repose beaucoup sur des services tiers. En somme, « l’application est juste un réceptacle » — ce qui n’est pas forcément un mal, car, comme le dit l’un de ses confrères, il vaut mieux éviter de complexifier quoi que ce soit quand cela n’est pas requis, ce qui évite les mauvaises surprises.

Baptiste Robert n’a pas pu aller très loin dans son test, dans la mesure où il n’avait pas sous la main d’identifiant valide. Cependant, il a pu faire une revue de code en analysant la manière dont le programme a été rédigé et observer de quelle façon l’utilisateur est orienté dans l’application, avec les étapes à suivre, écran après écran. Celui-ci est «  bien aiguillé », avec une procédure spécifique à suivre.

Des projets en décalage avec la réalité

Là où l’intéressé se montre le plus cinglant, en fin de compte, c’est à propos du décalage qui existe entre les fantasmes de quelques startupeurs se rêvant à changer le monde et la réalité du terrain. « On développe des projets, on a l’impression qu’on révolutionne la terre entière, mais à la fin c’est l’utilisateur qui tranche, et s’il n’adhère pas, c’est peine perdue », rappelle-t-il.

Et de toute évidence, l’expérience utilisateur a été oubliée en chemin. Baptiste Robert pointe ainsi le manque de préparation du Parti démocrate, qui n’a par exemple pas jugé pertinent de dispenser des formations, mêmes rapides, à sa base qui allait s’en servir, et le fait que l’accès à IowaReporterApp pouvait relever du parcours du combattant pour des militants pas forcément à l’aise avec le numérique.

« C’est une bonne leçon par rapport à ce qui se fait aujourd’hui »

En effet, l’application n’est pas proposée par défaut dans les boutiques en ligne comme Google Play ou l’App Store. De fait, « l’utilisation est super compliquée pour des bénévoles, notamment âgés », dit-il. L’application était distribuée par les services de développement TestFairy (pour Android) et TestFlight (pour iOS) afin que Shadow puisse tenir ses délais, ce qui n’a pas non plus permis à Google et Apple d’enclencher leurs processus d’examen quand un logiciel arrive sur leur boutique d’applications.

Face à une tel faux pas, la conclusion ne peut être que sévère. « Ils n’ont pas fait le boulot et ils n’ont pas du tout été à la hauteur de l’enjeu », conclut Baptiste Robert, alors que l’on ne parle que d’une application qui ne sert, au final, qu’à compter le nombre de personnes sur plusieurs tours. Mais cette péripétie, dont la gravité est fort heureusement nulle, « est une bonne leçon par rapport à ce qui se fait aujourd’hui ». Elle montre qu’en matière électorale, la meilleure façon de ne pas se louper, c’est d’utiliser des technologies du 19ème siècle.

Partager sur les réseaux sociaux