L’application est conçue pour encourager les amis et la famille des utilisateurs à aller voter. Pour cela, elle récupère (après autorisation) le carnet d’adresses, le compare à une base de données des personnes inscrites sur listes électorales, puis permet de leur envoyer des messages pour les inciter à recommencer.

Selon App Analyst, l’application contenait une importante faille capable de révéler très facilement des informations sur tout ce petit monde. Dans la plupart des cas, il s’agit de données aisément accessibles : nom, âge, date de naissance et élections récentes auxquelles la personne a participé.

Cependant, la société TargetSmart collecte aussi d’autres informations qui, même si elles n’apparaissent pas dans l’application, peuvent quand même être trouvées. Ce qu’a réussi à faire App Analyst, accédant à l’adresse postale, au genre, à l’ethnicité et à l’affiliation politique. Des informations beaucoup plus sensibles donc.

La faille était d’autant plus préoccupante qu’elle était simple à exploiter. Il suffisait, pour amorcer une récupération de données, de créer un contact dans son carnet avec les nom et prénom de la personne visée.

Le bug a été rapidement corrigé et une mise à jour a été poussée vendredi. Matt Hill, porte-parole pour la campagne du candidat démocrate, a confirmé à TechCrunch le problème et sa résolution. Cependant, il réfute la deuxième partie : jamais des informations sensibles n’ont fuité. Chez TargetSmart, on ne parle que « d’une quantité limitée de données publiquement ou commercialement accessibles ».

Nos confrères posent une nouvelle fois sur le tapis la question de l’aptitude de ces entreprises à protéger les données qu’elles manipulent. En 2017, TargetSmart avait notamment laissé en accès libre (serveur sans mot de passe) un fichier contenant des informations sur 600 000 votants d’Alaska.