Escroquerie en bande organisée
HelloQuitteX, le hack du siècle ?
Le scandale entourant l’application HelloQuitteX, développée par une équipe de chercheurs du CNRS dans le but de porter préjudice au réseau social X, a pris en moins d’une semaine l’ampleur d’un scandale d’État. A-t-elle été conçue pour hacker les données personnelles des utilisateurs de X à des fins de fichage politique ?

Le grand exode de X vers Mastodon ou Bluesky était programmé le 20 janvier, date de l’investiture de Donald Trump. Il aura fallu attendre un jour pour que le Gouvernement soit sommé de s’expliquer sur la licéité de l’application HelloQuitteX, supposée faciliter cet exode, et moins de trois pour voir émerger la première plainte à l’encontre des concepteurs de l’application. Que sait-on aujourd’hui du cadre et de la finalité de ce projet éminemment opaque ? À quelles poursuites judiciaires s’exposent ses auteurs et ceux qui choisiraient de répondre à leur appel ?
Le CNRS se désengage du projet
Les porte-parole du projet le présentent depuis le départ comme une création du CNRS. Un article de l’AFP daté du 16 janvier confirme que l’application a bien été réalisée par « une petite équipe de développeurs coordonnée par le Centre national de la recherche scientifique », donc à partir des ordinateurs du CNRS et sur le temps de travail de ses chercheurs. L’article a été dépublié, mais son archive reste accessible.
Cette paternité était officiellement revendiquée comme caution scientifique dans les mentions légales de Helloquittex.com et sur le site de la plateforme jusqu’au 23 janvier, par le biais du logo du CNRS, dont Marianne explique qu’il n’est utilisé théoriquement que « quand le laboratoire ou l’établissement a spécifiquement validé le projet, qui a reçu un financement alloué après un processus démocratique ». Il semble que ce ne soit pas le cas puisque le logo vient d’être supprimé de la plateforme, qui n’a au demeurant aucune existence légale, l’établissement ayant démenti en début de semaine être à l’origine du projet :
Le CNRS n’a ni fondé ni développé le collectif HelloQuitteX : celui-ci a été fondé et développé par David Chavalarias – dont il se trouve qu’il est un chercheur CNRS. Le CNRS est par ailleurs utilisateur de l’appli HelloQuitteX qui lui permet de repérer sa communauté sur Bluesky.
https://www.valeursactuelles.com/societe/helloquittex-le-cnrs-dement-avoir-fonde-et-developpe-le-collectif-anti-elon-musk
Le CNRS, qui est toujours présenté sur le site de HelloQuitteX comme ayant coordonné le développement de l’application, n’a en revanche pas expliqué à quel titre il héberge la plateforme, dont il a par ailleurs organisé la soirée de lancement. Celle-ci s’est tenue le 20 janvier dans les locaux de l’institution sous la bannière « Sauvons la démocratie », en présence de l’ancien commissaire européen Thierry Breton.
L’attitude du CNRS est d’autant plus ambiguë que l’établissement n’a, semble-t-il, pris aucune mesure disciplinaire à l’encontre de son directeur de recherche pour avoir enfreint son devoir de réserve et de neutralité, et pour avoir utilisé de façon frauduleuse le logo de l’institution. L’anthropologue Florence Bergeaud-Blackler, rappelée à l’ordre par sa hiérarchie dans un contexte pourtant moins sulfureux, confirme qu’une autorisation écrite de l’établissement est requise pour un tel usage. Le fait que HelloQuitteX l’ait conservé sur sa plateforme au titre de son hébergement suggère donc que le CNRS assume cette fonction.
Selon l’avocat constitutionnaliste Régis de Castelnau, le coup marketing revendiqué par HelloQuitteX, dont l’usage décomplexé du logo et du nom de marque japonaise Hello Kitty pourrait coûter cher à l’institution, prospère en réalité sur un « florilège » d’infractions potentielles, relevant pour certaines du pénal : détournement de biens publics (article 432-15 du Code pénal), contrefaçon (article L. 716-10 du Code de la propriété intellectuelle), concurrence déloyale, abus de confiance (article 314-1 du Code pénal)… Concernant le plagiat de la marque Hello Kitty, Régis de Castelnau précise que ceux qui utiliseraient l’application se rendraient de fait complices de cette infraction.
Le Cercle Droit et Liberté (CDL) a déposé quant à lui une plainte le 23 janvier auprès du Procureur de la République, dans laquelle il recense dix infractions présumées :
- Détournement de moyens ou fonds publics
- Négligence fautive dans la hiérarchie
- Entrave discriminatoire à l’exercice d’une activité économique
- Prise d’intérêt personnel en lien avec une mission de service public
- Pratique concertée anticoncurrentielle
- Abus de confiance
- Traitement illicite de données personnelles
- Contrefaçon aggravée de marque
- Recel
- Complicité par provocation
L’association exige par ailleurs l’ouverture immédiate d’une enquête par le parquet pour faire la lumière sur le rôle effectif joué par le CNRS dans la création et la promotion de HelloQuitteX et sur l’utilisation des fonds publics engagés dans ce cadre.
Utilisation des données personnelles des abonnés HelloQuitteX
La journaliste citoyenne Amélie Ismaïl s’est intéressée à la question de la sécurisation des données personnelles des utilisateurs de la plateforme. HelloQuitteX s’engage à ne stocker que les identifiants des abonnés sortants et entrants des utilisateurs et à détruire ces données non pas après après la fin de l’opération de transfert de l’archive X de l’utilisateur, mais de « la migration », soit en mai 2025. Enfin on ne sait pas vraiment, tout dépendra du budget du CNRS, le principal obstacle évoqué en off par David Chavalarias étant le coût de stockage des données.
Le site HelloQuitteX met par ailleurs en avant l’hébergement par les serveurs du CNRS comme un gage ultime de protection, et le partenariat avec La Quadrature du Net, qui est l’un membres fondateurs du projet (voir notre précédent article), comme garantie éthique d’un traitement indépendant des données.
Or comme l’explique la Politique de sécurité des systèmes d’information (PSSI), HelloQuitteX utilise le réseau RENATER qui fait lui-même partie du Réseau interministériel de l’État (RIE). Dans ce cadre, comme le précisent ces conditions générales d’utilisation, les données peuvent être « transmises aux autorités compétentes sur requête » (article 4, al. d), ou conserver pour des durées plus longues « exclusivement à des fins archivistiques, dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » (article 4, al. f).
A contrario, une demande d’accès aux données personnelles d’un utilisateur X, exclusivement par des forces de l’ordre, est infiniment plus contraignante : la divulgation d’informations privées nécessite une citation à comparaître ou une décision de justice, le contenu des communications n’est accessible que sur présentation d’un mandat de perquisition.
Ainsi, comme l’explique Xavier-Laurent Salvador, Président de l’Observatoire de l’éthique universitaire, le propriétaire de HelloQuitteX disposera à la fin de la migration « d’une belle constellation d’informations politiques sur la notoriété des gens qui quittent “Twitter”, mais aussi de la qualité des gens qui les suivent, voire analyser les qualités des interactions ».
Ce hacking sauvage de données est-il le véritable but de l’opération comme le suggère le député Vincent Trébuchet (UDR) ? Si tel était le cas, cette situation serait extrêmement inquiétante compte tenu du nombre d’associations (86 à la date du 14 janvier selon Le Monde) et de médias qui ont déjà franchi le pas.
Le Gouvernement soutient que HelloQuitteX est un projet de recherche
Face à la gravité des infractions potentiellement associées au nom de HelloQuitteX, le Gouvernement a été sommé de s’expliquer. La ministre déléguée chargée du commerce, Véronique Louwagie a réfuté le 21 janvier les accusations de détournement de biens publics qui pèsent aujourd’hui sur les concepteurs de l’application.
Elle a assuré que le développement de la plateforme avait été réalisé dans le cadre d’un « projet de science participative » (donc avec le soutien du CNRS ?) afin de fournir des données à des programmes de recherche portant l’impact des réseaux sociaux. Selon la ministre, Elon Musk aurait « visiblement » bloqué l’accès aux données de X (on suppose que c’est la réponse fournie par David Chavalarias), forçant les chercheurs à se tourner vers des plateformes ouvertes comme BlueSky et Mastodon. Ils auraient ensuite souhaité mettre « à disposition des utilisateurs une application pour leur permettre de reconnecter leurs abonnés de ne pas perdre d’audience », dans l’optique de pouvoir de poursuivre leurs projets de recherche.
David Chavalarias aurait de son côté assuré que le développement de l’application a été financé, selon le chercheur Idriss Aberkane, par un « fan de son ouvrage » (en l’occurrence Toxic Data : Comment les réseaux manipulent nos opinions, dont la lecture des commentaires Amazon ne manque pas de piquant…). Quoi qu’il en soit, la réponse de la ministre est problématique à plusieurs titres :
- en quoi le fait de permettre aux utilisateurs de BlueSky et Mastodon de conserver leur audience relève-t-il d’une prérogative du CNRS ? Ces deux plateformes sont par ailleurs privées. En finançant le développement et la promotion d’un outil leur permettant d’accroître leur nombre d’utilisateurs, le CNRS s’exonère-t-il du procès en détournement de biens publics ? ;
- l’application n’a jamais été présentée aux utilisateurs comme soutenant un but de recherche, mais uniquement comme un moyen d’agir politiquement (le Collectif propose même un kit de mobilisation, avec un compte à rebours calé sur le jour de l’investiture de Donald Trump). Le nom du CNRS a été utilisé comme un gage de sérieux et de transparence, en aucun cas il n’a été cité comme un organisme réalisant une étude sociologique ;
- aucune réponse n’a été fournie sur l’utilisation par le CNRS des données issues de la plateforme X, mais la réponse de la ministre confirme que c’est bien leur collecte qui est visée par ce projet, l’application HelloQuitteX étant présentée comme le moyen de forcer l’aspiration des données de X pour pouvoir les traiter depuis BlueSky et Mastodon.
Le second objectif mis en avant par la ministe serait d’obliger la plateforme X à respecter la réglementation française « si elle souhaite continuer d’opérer en France », afin d’éviter une censure du réseau pour non-respect du règlement européen. Cet objectif ferait donc de HelloQuitteX un outil visant à exercer un chantage commercial sur un une plateforme concurrente à celles qu’elle promeut, et du CNRS, une sorte d’officine parajuridique, dotée de prérogatives ne correspondant pas à sa mission, en l’occurrence : corriger une infraction qui n’a pas été confirmée par la justice, donc qui n’est pas avérée, contrairement à ce qu’affirment les concepteurs de la plateforme de manière diffamatoires. Cette mention est-elle un des éléments du chantage ?
L’opération du CNRS pour reconstituer un récit compatible avec l’explication du Gouvernement
Est-on plus rassuré sur l’éthique du projet après l’intervention de la ministre ? Pas vraiment, mais on est surtout interloqué de découvrir que l’application a été rebaptisée Openportability après la réponse du Gouvernement, et qu’elle est désormais associée à une page dédiée sur le site du laboratoire de l’Institut des systèmes complexes (ISC-PIF). L’URL n’a pas été archivée par le site WayBackMachine au-delà du 21 juillet 2024, mais son code source montre qu’elle a été créée en 2022 et modifiée le 25 janvier, date à laquelle nous avons découvert son existence. A-t-elle été modifiée en urgence ? Le 21 juillet, en tout cas, ni Openportability ni HelloQuitteX n’étaient référencés dans la liste des projets de recherche de l’ISC-PIF.
David Chavalarias y « détaille » son projet dans des termes similaires à ceux utilisés dans l’hémicycle. Il évoque le non-respect du règlement européen numérique par X (le fameux Digital Service Act – DSA) et l’obligation que ce texte impose à X de garantir la portabilité des données de ses utilisateurs, mais il affirme que « des tiers, comme OpenPortability sont par ailleurs légitimes pour accompagner les utilisateurs dans cette portabilité et doivent bénéficier de la part des VLOPs des mêmes outils pour une portabilité effective ». Or il semble que plusieurs points de droit doivent être précisés :
- la portabilité exclut « les données générées par le traitement des données brutes initiales afin de protéger le savoir-faire des sociétés qui traitent ces données », en l’occurrence X. Même si HellQuitteX assure ne stocker que « le strict nécessaire à l’opération de reconnexion », il se fait remettre l’ensemble des données personnelles des utilisateurs, ce qui s’apparenterait potentiellement à un abus de confiance (article 314-1 du Code pénal) ;
- ni HelloQuitteX ni OpenPortability n’ont apparemment d’existence légale : elles ne sont référencées, à notre connaissance, ni dans l’annuaire des associations, ni dans celui des sociétés. On ne trouve pas de trace de leur création au Journal officiel et les dons destinés à HelloQuitteX sur Helloasso sont collectés par l’association On est prêt. Dans quelle mesure peuvent-elles avoir les compétences que leur prête David Chavalarias ? ; enfin
- lorsqu’on interroge l’Intelligence artificielle Gork en demandant la confirmation des propos de David Chalarias, la compétence du CNRS pour exercer la portabilité des données X semble douteuse.

Conclusion
Toutes ces zones d’ombre soulèvent d’énormes interrogations. Est-on en présence d’un flagrant délit d’amateurisme ou d’une opération beaucoup plus concertée visant à organiser le hacking sauvage de données politiques hautement sensibles ? La déclaration du premier espagnol au Forum économique mondial il y a quelques jours a confirmé que les réseaux sociaux, notamment l’opacité de leur algorithme, étaient un des principaux sujets de préoccupation de la gauche européenne.
La publication d’un article dans le média Disclose le confirme aujourd’hui. On y apprend que la France a activement milité pour imposer une surveillance de masse en Europe, incluant « la catégorisation des pensées religieuses, sexuelles et politiques ». Ainsi, le nouveau règlement européen sur l’intelligence artificielle (IA Act) devrait permettre, demain, à un État estimant que sa sécurité est en jeu, d’« aller jusqu’à rechercher une personne sur la base de la “race, opinions politiques, affiliation à une organisation syndicale, convictions religieuses ou philosophiques, vie sexuelle ou orientation sexuelle” grâce à la science algorithmique ». On comprend mieux pourquoi la nouvelle ministre déléguée chargée de l’intelligence artificielle et du numérique, Clara Chappaz, était présente à Davos en début de semaine, et n’a pas pu répondre aux questions de l’opposition concerant HelloQuitteX.