Coronavirus : L’application StopCovid peut-elle accéder aux contacts de nos téléphones, comme le suggère un message viral ?

FAKE OFF Une publication sur Facebook met en garde contre la possible utilisation détournée de l'application StopCovid

Aymeric Le Gall

— 

L'application Stopcovid devrait voir le jour le 2 juin prochain.
L'application Stopcovid devrait voir le jour le 2 juin prochain. — Cindy Ord / GETTY IMAGES NORTH AMERICA / Getty Images via AFP
  • Le gouvernement veut mettre en place, à partir du 2 juin, une application mobile baptisée « StopCovid » afin de signaler à ses utilisateurs d'éventuels contacts avec des personnes contaminées.
  • Sur Facebook, une publication met en garde contre l'enregistrement du répertoire du téléphone en cas d’installation de l’application.
  • Si cette rumeur semble peu crédible, certains spécialistes tirent tout de même la sonnette d’alarme face aux risques pour la sécurité des données personnelles.

A chaque sujet d’actualité sur le coronavirus​ sa prophétie apocalyptique. Maintenant que le déconfinement a commencé, et alors que la crise sanitaire est loin de connaître son épilogue, l’application Stopcovid est au centre de toutes les attentions. Censée se caler gentiment sur nos téléphones à partir du 2 juin entre une appli culinaire et Animal Crossing, cette appli doit permettre de prévenir les personnes ayant été au contact d’un ou d'une malade lors de ses déplacements quotidiens, dans le but de l’isoler et, ainsi, de maîtriser l’épidémie de Covid-19. Mais les interrogations quant à la nature exacte de l’application et les données qu’elle est censée récolter sont nombreuses.

Depuis quelques jours, les utilisateurs de Facebook appellent leurs amis qui voudraient l’installer sur leur mobile de supprimer leur contact du téléphone. « VOUS N’AVEZ PAS MON CONSENTEMENT pour utiliser mon numéro de téléphone en connexion avec votre application pour l’identification, le suivi ou la localisation de ma personne car si vous avez cette application, tous vos contacts seront connus et pistés à leur tour, contre leur gré ! », soutient ce message diffusé de nombreuses fois sur le résau social. Voyons donc si cette alerte semble justifiée.

Un post sur Facebook laisse entendre que l'application Stopcovid aura accès aux répertoires de nos téléphones portables.
Un post sur Facebook laisse entendre que l'application Stopcovid aura accès aux répertoires de nos téléphones portables. - Capture d'écrans

FAKE OFF

Contacté par 20 Minutes, le secrétariat d’Etat au Numérique « ne sait pas quoi répondre, si ce n’est que c’est du fantasme ». « Cette application utilise le Bluetooth, qui est une technologie permettant à deux appareils de se mettre en contact. La seule chose qu’on a développée, c’est une manière de mesurer les distances entre deux utilisateurs », affirme-t-on dans l'entourage de Cédric O.

L’Institut national de recherche en sciences et technologies du numérique (Inria), en charge du projet, se montre catégorique : « StopCovid n’a aucune raison d’accéder à la base de contacts d’un utilisateur. Cela n’a jamais été envisagé par qui que ce soit, ça n’a aucun intérêt et ça n’intervient dans aucun mécanisme du protocole Robert (ROBust and privacy-presERving proximity Tracing) ni de l’application. Identifier les utilisateurs ne serait pas légal et la Cnil n’aurait jamais donné un avis positif pour l’application. »

Une rumeur qui fait pschitt

Garante de la mise en application de Stopcovid sur des bases légales et respectueuses du règlement général sur la protection des données (RGPD), la Cnil nous a affirmé qu’« à ce stade, le fonctionnement de Stopcovid est déconnecté du répertoire téléphonique stocké sur le téléphone. » Celle-ci détaille : « Le protocole envisagé repose sur un échange d’informations spécifiques à l’application entre les deux téléphones pour enregistrer la rencontre et n’utilise pas, a priori, d’autres informations stockées dans ceux-ci. »

Sur ce point, Olivier Blazy, maître de conférences et chercheur en cryptographie à l’université de Limoges, ne se fait pas non plus trop de souci. « Cette rumeur me fait un peu sourire dans le sens ou, a priori, les autorités de santé n’ont aucune raison d’accéder aux contacts du téléphone dans le cadre de cette appli. De toute façon, quand on va installer l’appli, on va voir si Android ou iOS vont nous demander la permission d’accéder aux contacts ou non ». Et d'ajouter : «Mais il y a d’autres choses en revanche qui pourraient être dangereuses et qu’on ne pourra pas vérifier. »

Des spécialistes mettent en garde contre les dérives possibles de Stopcovid

Des doutes que ce spécialiste de l’informatique n’est pas le seul formuler. Olivier Blazy fait en effet partie des 472 signataires de la lettre « Mise en garde contre les applications de traçage » publiée sur le site attention-stopcovid.fr.  Ses auteurs notent que « toutes ces applications induisent en fait des risques très importants quant au respect de la vie privée et des libertés individuelles. L’un d’entre eux est la surveillance de masse par des acteurs privés ou publics ».

« Une telle application va créer une grosse base de données recensant les interactions des personnes contaminées avec les autres, poursuit le chercheur. Celle-ci va être centralisée et contrôlée par une autorité, on va dire par l’Etat pour simplifier même si on ne sait pas encore quelle structure juridique il va y avoir autour, et si jamais cette autorité est mal intentionnée, ce qui n’est pas forcément le cas, elle va pouvoir déduire l’intégralité des interactions entre les personnes ayant cette appli. Donc, en gros, retracer toutes leurs journées. »

« S’il n’y a pas de garanties suffisantes, des gens plus mal intentionnés pourraient détourner l’appli, soit pour causer la panique soit pour obtenir plus d’informations et surveiller les gens de façon détournée », enchaîne Olivier Blazy. Selon lui, les garanties apportées par le gouvernement ne sont, pour l’heure, pas suffisantes.

Le gouvernement promet la transparence la plus totale

« Ce n’est pas parce que nous sommes bien intentionnés au ministère sur ce sujet que les gens vont nous croire sur parole. Le code va donc être entièrement publié pour que les spécialistes s’emparent de la chose afin de vérifier que ce qu’on dit est vrai », rassure-t-on du côté du secrétariat d'Etat chargé du Numérique. Une partie a d’ailleurs déjà été publiée mais les premiers retours montrent que les spécialistes sont pour le moins mitigés.

« Le gouvernement nous dit qu’il va y avoir énormément de transparence mais, dans le même temps, l’Inria a annoncé qu’une partie du code ne serait pas révélée pour des raisons de sécurité nationale. Il fait un grand discours de transparence mais ça va être de la transparence partielle, en réalité, tempère Olivier Blazy. Ce qui me fait un peu sourire car si je vous donne 99 % d’un code source, dans le 1 % restant, je peux y mettre n’importe quoi. »

Réponse du gouvernement : « Ce n’est pas une partie du code qui ne sera pas publiée. Pour schématiser, on va vous dire quelle est la boîte à outils qu’on va utiliser, quels sont les outils qui sont dedans mais on ne va pas vous dire si le marteau est à côté de la scie. Le but étant de ne pas donner toutes les clés à ceux qui voudraient tenter de nous hacker. » « Un peu comme le magicien vous montre son chapeau avant d’en sortir un lapin », rigole notre chercheur en cryptographie.

Un timing qui pose question

Autre sujet qui préoccupe les spécialistes, le calendrier avancé par le gouvernement pour la mise en fonctionnement de l’appli, plus serré qu’un jean après le repas du dimanche chez les beaux-parents. « Effectivement, on doit faire en deux mois ce qui se fait normalement en un an et demi », admet-on à Bercy. Avec tous les risques que cela comporte. Olivier Blazy nous les détaille.

« On n’a même pas le code source entier, ce qui revient à dire qu’on ne peut tout simplement pas commencer notre travail. On va se retrouver ensuite à devoir faire en une semaine, une semaine et demie, ce qui prendrait beaucoup plus de temps normalement. Enfin, ils sont censés apporter les correctifs à tout ça. Au niveau des délais, ce n’est pas raisonnable du tout. On a un peu l’impression qu’on va jouer les apprentis sorciers. Or, si on fait fuiter les données personnelles d’une personne à cause d’une erreur d’application, ça peut avoir des effets assez dramatiques. » Méfiance donc à ce que la créature n’échappe à son créateur.

Une dernière question – cruciale – subsiste enfin : celle de l’utilité effective d’une telle application. Le gros problème, conclut le maître de conférences en informatique, c’est qu’il n’y a pas d’études qui montrent que ce type d’applications est pertinent. Au contraire, les tests qui ont été faits en Islande par exemple montrent qu’elles ne servent pas à grand-chose. L’appli a plutôt été bien adoptée puisqu’environ 40 % de la population l'a utilisée et les conclusions des services de santé, c’est de dire que ça n’a servi à rien. aIdem à Singpour, où ils sont en train de passer à un QR code obligatoire. Le risque pour notre vie privée ne vaut pas du tout le peu de bénéfices sanitaires qu’il va y avoir à côté. »

Or, pour que Stopcovid puisse réellement servir à maîtriser l’épidémie, la revue Science avance qu’il faudrait que 60 % de la population l’installe sur son téléphone. On le voit, peut-être plus encore que la conception de l’appli en elle-même pour les informaticiens, la difficulté pour le gouvernement va être de convaincre une majorité de Français d’y adhérer en masse.