L’application StopCovid. NICOLAS SIX / « LE MONDE »
L’application StopCovid conserve plus d’informations sur les personnes croisées par ses utilisateurs que ce que l’on pensait. Le site d’information Mediapart a révélé, lundi 15 juin, que l’application du gouvernement français, mise en place pour aider au suivi de cas contacts, dans le cadre de la lutte contre l’épidémie due au nouveau coronavirus, « collecte, et transfère le cas échéant au serveur central, les identifiants de toutes les personnes qui se sont croisées via l’appli. »
C’était pourtant une promesse du gouvernement, annoncée en avril dans un entretien au Monde : « Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique », expliquait Cédric O, le secrétaire d’Etat au numérique.
La collecte d’informations liées à un utilisateur de StopCovid devait donc se limiter à ces contacts-là : et non à la totalité des personnes croisées, comme c’est, en réalité, le cas.
Des données sans « intérêt »
C’est Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria, qui s’occupe du projet StopCovid), qui est à l’origine de cette découverte.
Sur la plate-forme de développement de l’application, il raconte comment il a découvert que « tous les contacts croisés pendant les quatorze derniers jours » sont envoyés au serveur central hébergeant les données liées à StopCovid. « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée », écrit-il :
« J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique. (Je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé.) »
Le gouvernement reconnaît les faits, mais se justifie
Cela alors que le décret et l’arrêté qui ont créé StopCovid prévoient pourtant clairement que « l’historique de proximité » de l’utilisateur est constitué des identifiants des téléphones s’étant trouvés pendant quinze minutes à moins d’un mètre d’une personne diagnostiquée positive au Sars-CoV-2.
Contacté par Mediapart, le secrétariat d’Etat au numérique n’a pas remis en cause ces révélations, mais a voulu les justifier. Il explique, reprenant Mediapart, que « tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil » : « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. »
Ces explications ne convainquent, cependant, pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. »
La Commission nationale informatique et libertés (CNIL) a fait savoir à Mediapart que des contrôles étaient « en cours » sur le sujet. Au secrétariat d’Etat au numérique, on assure, ce mardi 16 juin, que la CNIL a été parfaitement informée du fonctionnement réel de StopCovid et que son avis sur le dispositif, largement positif et rendu mardi 26 mai, a été pris en toute connaissance de cause.
Selon les derniers chiffres, StopCovid n’a été activée qu’à 1,4 million de reprises, soit par environ 2 % de la population française. Même si les scientifiques estiment qu’une telle application peut avoir une utilité dès les premiers téléchargements, il faudrait à StopCovid un taux d’adoption bien supérieur pour que celle-ci soit tangible.
Le Monde
Source : https://www.lemonde.fr/pixels/article/2020/06/16/l-application-stopcovid-collecte-plus-de-donnees-qu-annonce_6043038_4408996.html