Communiqué
No items found.
5.2.2020
Perturbation continuum temporel
Temps d'un café
Bug de l’application de l’Iowa : pourquoi une application ne se développe pas en un clic
Bug de l’application de l’Iowa : pourquoi une application ne se développe pas en un clic
Diego Ferri
Hervé BERENGER
Note : Ce contenu a été créé avant que Fabernovel ne fasse partie du groupe EY, le 5 juillet 2022.

Pourtant, ce n’est pas la première fois que l’on voit de tels bugs dans la réalisation d’applications. Toujours aux Etats-Unis, on peut se souvenir des débuts désastreux d’Obamacare avec le site du gouvernement Healthcare.gov qui était censé guider les consommateurs dans le choix de leur assurance santé, mais qui ne fonctionnait pas. En France aussi, l’application de messagerie sécurisée de l’Elysée “Tchap” avait été piratée dès le lendemain de son déploiement. Il faut en finir avec le mythe d’une application mobile créée en quelques jours et quelques clics et souligner les nombreuses et coûteuses, mais indispensables, phases de conception, qui prennent du temps.

Rien que le prix très faible (contrairement à ce que certains médias pourraient laisser penser) de 63,000 dollars payés par le parti Démocrate de l’Iowa pour une application de cette envergure, étant donnés les enjeux et les exigences en termes de sécurité que l’on pouvait en attendre, laissait déjà présager les déboires qu’elle a connu aujourd’hui.

Pour prévenir ces ratés, il faut que les entreprises ou les institutions pensent à inclure à la réflexion - et avant même la phase de conception pure - la population qui se servira de l’application en prenant bien en compte toutes ses spécificités. Et bien entendu, ne pas négliger toute la phase de test qui doit se faire sur plusieurs mois avant de mettre l’application à disposition de tous.

Dans le cas de l’Iowa, la spécificité à prendre en compte était le caractère rural de cet état, avec une population peu habituée au numérique. Si la sensibilité des données collectées dans une telle application requiert l'utilisation d’une authentification sécurisée à double facteur, elle reste très compliquée à utiliser pour un néophyte. Il fallait que l’utilisateur installe également Google Authenticator, se connecte une première fois à l’application Iowa Reporter App avec un premier code et valide avec un second code donné par Google Authenticator...  Les phases de design avant la conception d’une application permettent de penser à la façon dont ses utilisateurs prendront en main l’application, d’anticiper les points bloquants et de simplifier au mieux l’usage.

Le processus d’installation même de l’application du parti Démocrate était d’ailleurs compliqué. L’application était hébergée non pas sur les stores classiques d’iOS ou Android que l’on connaît, mais sur les plateformes TestFlight et TestFairy qui comme leurs noms l’indiquent, sont surtout utilisées par les développeurs d’applications pour faire tester ou montrer l’avancement de leur travail. Cela pose in fine une vraie problématique de cybersécurité, puisque tous les tests automatiques de qualité et de sécurité réalisés par les stores d’applications étaient court-circuités.

Du reste le parti Démocrate n’a pas su répondre assez précisément à ces questions de sécurité, le président du parti Démocrate de l'Iowa Troy Price se contentant d'indiquer vaguement que leur système informatique avait été "évalué par des consultants indépendants". En matière d'élections comme ailleurs, et même plus qu’ailleurs, la sécurité d'un système ne devrait pas reposer sur son opacité. C'est ce qu'on appelle le principe de Kerckhoffs : il faut supposer que le hackeur potentiel connaît parfaitement sa cible. La sécurité informatique passe par la transparence (code open-source, publication des rapports d’audit) et ne peut se satisfaire des arguments d'autorité.

Enfin, dans la phase de conception d’une application, il ne faut pas négliger les exigences techniques et bien anticiper les pics de charge potentielle. Les serveurs liés à l’Iowa Reporter App n’ont effectivement pas su tenir la charge quand une grande partie des utilisateurs s’est connectée simultanément pour transmettre les résultats de leur bureau de vote. La prise en compte du scénario le plus catastrophique ou _worse case scenario _permet d’anticiper de telle situation.

Avant même de concevoir une solution, il est aussi toujours intéressant de réfléchir à la réelle problématique. On peut se poser la question dans le cas de l’Iowa Reporter App, compte tenu de la sensibilité et la transparence que doit avoir la “chaîne logistique” du vote, l’application était-elle véritablement la meilleure solution ?

Hervé Bérenger, Expert en application mobile, Fabernovel

Hervé Bérenger est informaticien, diplômé de l’ISAE-SUPAERO (2000). Il a travaillé dans l'aéronautique, la finance et l'intelligence artificielle. Depuis 2015, il est spécialiste en développement d'applications mobiles pour Fabernovel.

**Diego Ferri, Directeur Stratégique, chez Fabernovel **

Diego Ferri est ingénieur, diplômé de l'Ecole Polytechnique et de l'Ecole de Mines de Paris (2014). Il a travaillé en finance, en opérations et a créé une entreprise autour d'une application mobile. Depuis 2015, il travaille sur plusieurs sujets stratégiques liés au développement de Fabernovel.

No items found.
Pour aller plus loin :