Coronavirus : Dévoiler le code de l’appli de traçage StopCovid résout-il tous les risques de dérives ?

SURVEILLANCE L’application de traçage StopCovid, destinée à repérer la propagation du coronavirus, pourrait être disponible dès le week-end prochain

Laure Beaudonnet

— 

L'application StopCovid pourrait être disponible dès ce week-end. Illustration
L'application StopCovid pourrait être disponible dès ce week-end. Illustration — Lionel BONAVENTURE / AFP
  • StopCovid, application de traçage destiné à suivre la propagation du coronavirus, ne sera disponible qu’à titre strictement volontaire.
  • L’application fonctionne sans géolocalisation mais sur la base de la technologie Bluetooth, qui permet aux appareils électroniques de communiquer entre eux à courte distance.
  • L’Assemblée nationale et le Sénat débattront mercredi du projet du gouvernement, avant de s’exprimer par un vote.

StopCovid est prête à débarquer sur nos téléphones. Destinée à repérer la propagation du coronavirus, l’application de traçage de contacts pourrait être disponible dès ce week-end si les parlementaires l’approuvent, a déclaré le secrétaire d’Etat au Numérique Cédric O dans Le Figaro ce mardi. Et pour rassurer ceux qui y voient un glissement vers une société de surveillance, le code source de l’application est publié pour permettre à tous les codeurs intéressés d’aller vérifier comment elle fonctionne.

La publication du code, considérée comme une condition nécessaire pour établir que l’application ne puisse être détournée à des fins de surveillance, permet de vérifier précisément ce que fait le programme. « S’il y avait des choses trop grossièrement malhonnêtes, cela se verrait », confirme Benjamin Bayart, cofondateur de la Quadrature du Net. Et en théorie, StopCovid accède à peu de données sur nos téléphones. La technologie Bluetooth est moins intrusive que la géolocalisation. Elle permet aux appareils électroniques de communiquer entre eux à courte distance.

Publication du code versus logiciel libre

Concrètement, un téléphone A doté de l’application est capable de dire qu’il a croisé cette même appli sur un téléphone B tel jour, à telle heure. Elle ne sait pas où c’est, qui c’est, ni pourquoi les deux personnes étaient à proximité. Dans son avis publié mardi, la Commission nationale de l’informatique et des libertés (Cnil) estime d’ailleurs que StopCovid respecte les différentes dispositions législatives relatives à la protection de la vie privée. Selon elle, les concepteurs de l’application ont érigé un certain nombre de garde-fous pour empêcher les dérives.

S’il n’est pas question de récupérer nos contacts ou d’écouter nos discussions privées, puisqu’on sait – théoriquement – ce qu’il y a dans le code, il reste des zones d’ombre. D’abord, qui nous dit qu’il s’agit du bon code ? « On peut publier un code A et celui qui a servi à faire l’application est un autre code », note Benjamin Bayart. Que ce soit une simple erreur ou une façon de dissimuler comment fonctionne réellement l’application, publier le code ne prouve pas grand-chose. « Il y a une différence-clé entre publier le code et en faire un logiciel libre, poursuit l’expert en télécommunication. Avec un logiciel libre, n’importe qui peut prendre le code et recompiler une application qui sera rigoureusement équivalente. »

Avec un logiciel libre, rien n’est caché et on touche ainsi à la question de la souveraineté populaire. L’utilisateur choisit à qui il fait confiance, l’application du gouvernement ou une variante de cette même appli proposée par un opérateur téléphonique, une association, ou même sa propre entreprise. La transparence du code est alors garantie, et la vérification ne repose pas sur le fait d’avoir confiance. De la même manière que; pendant des élections, le citoyen n’a pas besoin de faire confiance aux organisateurs pour savoir que les résultats sont fiables. Le simple fait d’assister au déroulé d’un scrutin dans un bureau de vote garantit la bonne foi de l’élection : « Vous constatez vous-mêmes, de vos propres yeux, que l’urne est vide, que tous les votants ont émargé, qu’aucune enveloppe n’a été sortie d’une poche au moment du dépouillement », observe Benjamin Bayart. C’est le même principe avec un logiciel libre, la transparence apporte les garanties.

Des dérives pratiques

L'Inria, qui pilote le projet StopCovid, semble prendre cette voie. « La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. Ceci afin d’apporter toutes les garanties en matière de contrôles par la société : transparence des algorithmes, code ouvert, interopérabilité, auditabilité, sécurité et réversibilité des solutions », peut-on lire sur son site. Il reste cependant un point d’interrogation quant à la possibilité de produire une variante de l’application.

La question de la surveillance continue toutefois de se poser. « On a un logiciel mis en place par le gouvernement dont l’objectif est de surveiller. On peut le tourner comme on veut, c’est malsain, relève Benjamin Bayart, pour qui la proprieté du logiciel, transparent et non malfaisant, n’est pas le vrai problème. Si je vous explique qu’il faut construire des bâtiments pour enfermer une population, en fonction de ses origines ou de sa religion, savoir si la plomberie de l’immeuble est aux normes n’est pas une question intéressante. Une mécanique dans laquelle mon ordinateur me surveille, même si c’est pour lutter contre une pandémie, c’est un problème. »

Sans même aborder les dérives qui pourraient se poser une fois l’application disponible : certains salariés pourraient être forcés de télécharger l’application pour venir au travail ; une entreprise pourrait utiliser un portable dédié pour émettre un crypto-identifiant auprès d’un candidat à l’embauche et savoir s’il est testé positif plus tard, relève un article d'Usine Nouvelle… Les citoyens continueront-ils à se soigner dans un monde où le secret médical est menacé ? Probablement pas…