StopCovid : la CNIL a donné son feu vert, place aux hackers
La CNIL a donné son feu vert pour le déploiement de l'application StopCovid, lequel doit faire l'objet, demain à 15h, d'un débat suivi d'un vote au parlement.
La Commission nationale de l’informatique observe notamment que les critères de confidentialité sont respectés : « L’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception ». De même que l'utilisation de cette app relève d'une démarche volontaire de ses utilisateurs.
La CNIL formule toutefois quelques remarques en vue de la mise à disposition de cette app et de son avenir. La commission souhaite que les informations affichées dans l'app prennent en compte les utilisateurs mineurs ainsi que leurs parents : « Une attention particulière doit être apportée à l’information fournie, afin que l’application soit utilisée à bon escient et que le message d’alerte susceptible de leur être adressé soit adapté et bien interprété ».
L'app doit également mieux expliquer ses conditions d'utilisation et les « modalités d’effacement des données personnelles ». Il doit être confirmé en outre dans le décret prévu par le gouvernement « Un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées ».
La CNIL rappelle aussi qu'il est prévu que la durée de vie de cette app n'excède pas les 6 mois suivant la date fin de l'état d'urgence sanitaire (le 10 juillet). Enfin, le code source doit être mis en libre accès et dans son intégralité. Ce qui n'a été fait que partiellement, le gouvernement s'est néanmoins engagé à le fournir au complet.
Chasse aux bugs
Sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information, une nouvelle étape a été enclenchée aujourd'hui par l'Inria, maître d'œuvre de StopCovid, avec le lancement d'un programme de « Bug Bounty ».
Les concepteurs de l'app vont permettre dès demain à des spécialistes triés sur le volet d'y chercher des failles de sécurité, moyennant récompense. L'opération est conduite au travers de la plateforme Yes We Hack. Vingt chercheurs européens ont été invités pour un premier audit, avant un élargissement de ce pôle de hackers à partir du 2 juin, à tous ceux qui s'y intéresseront parmi les 15 000 membres de Yes We Hack. C'est ce service qui prendra en charge le versement des primes pour la découverte de failles. Les plus sévères rapporteront 2 000 €.
Cette première période de recherche de vulnérabilités est extrêmement courte lorsqu'on considère que Cédric O, le secrétaire d’État au Numérique espère pouvoir mettre cette app en ligne sur les app store dès ce week-end, sous réserve qu'elle franchisse l'étape parlementaire (et accessoirement, celles de sa validation par Apple et par Google).
L'app a déjà subi un test en grandeur nature mais de très faible ampleur, avec le concours de 60 militaires dont les smartphones ont été équipés de StopCovid.
Il reste également à savoir comment l'app va fonctionner avec iOS où les règles d'utilisation du Bluetooth sont drastiquement régulées par le système. Dans les premières captures montrées hier, il n'est pas fait allusion à une nécessité de laisser StopCovid au premier plan ou de la lancer fréquemment, il n'est mentionné que l'obligation de tenir le Bluetooth activé. Peut-être faudra-t-il s'attendre à un fonctionnement plus contraignant que ce qu'indiquent ces visuels ou une efficacité dégradée lorsque l'iPhone est en veille (lire StopCovid aura un angle mort sur iPhone).
"Peut-être faudra-t-il s'attendre à un fonctionnement plus contraignant que ce que n'indiquent ces visuels."
soit çà, soit ça ne passera pas le filet de l'app store :)
Tiens au fait, ils sont optimistes pour ce Weekend, Apple met en general plus de temps pour autoriser une app, non ?
@raoolito
Une app est aujourd’hui validée en moins de 24h.
Après, vu le contexte, il ne serait pas étonnant qu’Apple soit plus précautionneuse.
@FloMo
Ah ok, si déposée vendredi, lundi au pire mardi c'est jouable alors? ( ils bossent le weekend ^^ )
@raoolito
Sauf si Apple prend plus de précautions, normalement c’est jouable.
J’ai récemment eu des apps validées en 3-4 heures. Après, ça dépend de l’horaire d’envoi, etc.
Je pense qu’ils vont faire une pré-validation. Par exemple dès demain. Et, si c’est OK, ils n’auront plus qu’à appuyer sur le bouton pour lancer le déploiement.
@raoolito
La validation met 2-3 jours je crois généralement, mais il existe une fonction « urgence » sous 24h il me semble. Et je pense que le gouvernement a les moyens de discuter avec Apple pour que tout soit prêt à temps à ce niveau là.
La validation elle-même et le respect des règles de l’app store c’est autre chose par contre...
@iScOtty
"mais il existe une fonction « urgence » sous 24h il me semble."
Dans mes souvenirs, la procédure d'urgence ne concerne pas la validation d'une nouvelle application. C'est une mesure exceptionnelle pour mettre en ligne très rapidement une mise à jour corrigeant une application foireuse (défaut de sécurité, plantage systématique, pertes de données, etc ..).
Ça sent tellement mauvais cettr histoire de StopCovid sur iOS ...
Je prédis un flop d’utilisateurs
@ferretcyril
Très vraisemblablement.
@h-de-pierre
Ou pas
@raoolito
Aussi
@h-de-pierre
😂
On a fait le tour du sujet du coup non?
Franchement c'etait rapide !
@raoolito
En effet 🤣
Le tout dépend du but de StopCovid.
Si le but de l’app est limité à prévenir ceux que nous croisons que nous sommes porteurs du virus, il n’y a aucun besoin que les informations personnelles soient envoyés vers le cloud et l’app peut sans doute être sécurisé en ne communiquant que par Bluetooth.
Par contre, si les services du ministère de la santé veulent récoltés des données aux vues de statistiques, ça peut-être beaucoup plus dangereux.
Je crois nettement plus au système de « brigade » déjà en place qu’à cette application.
@monsieurg33K
je pense qu'il faut voir cela comme un puzzle, les brigades aussi étaient critiquées dès leur annonce et finalement elles se révèlent plutôt efficaces. On peut en attendre autant de l'application. Sera-t-elle un peu utile, très utile? Finalement l'important c'est qu'elle ajoute une brique au mur qu'on tente d'eriger face au sars-cov2 et c'est le principal.
Flop évident puisque l’épidémie est en voie de disparition. La seconde vague, tant désirée par certains, ne pointe pas le bout de son nez. C’est la fin du bal dramatique. Sur quelle peur vont pouvoir appuyer nos gouvernants à présent pour museler sa population ? Le covid 20 en 2021 ? Le réchauffement climatique qui menace toute vie sur Terre, dans la galaxie et dans l’au delà ?
@librecommelair
En Chine ça reconfine alors penser qu'il ne peut pas y avoir de seconde vague c'est bien optimiste.
Enfin personnellement ça m'arrange qu'il n'y en ai pas mais je compterai pas trop là dessus quand même.
Du même avis, surtout qu'en France on n'a pour le moment très peu voir aucun recul sur le déconfinement.
Le Figaro ce matin :
« Sur iPhone, un problème subsiste, l'application doit être utilisée pour que le Bluetooth fonctionne. StopCovid peut « réveiller » les autres applications à proximité. Ce qui permet de contourner cette limite. »
Si un hacker trouve alors je ne vais pas l'installer. C'est clair.
Je poursuis les gestes barrières et je me déplacerai le moins possible...
@Mac13
techniquement iOs est hackable aussi et android bien evidement donc bon...
@Mac13
Y'a rien d'exclusif entre l'usage de StopCovid et l'usage des gestes barrières.
Des hackers trouvent des failles dans ios, du coup t'as jeté ton iphone ? :)
Décidément vous ne pouvez vos empêcher d'être médisant. Outre le fait que vous n'avez cessé de dire que cette application ne serait ni transparente, ni dans les temps, que vous avez raconté n'importe quoi en disant que la France était isolée, vous persistez avec cette vaste blague d'angle mort. Il n'y aura aucun angle mort à part un sur cent mille cas. Non seulement il sera quasi impossible qu'il n'y ait que des iPhone dans un environnement comportant un nombre important de personnes, qu'en plus il est peu envisageable que, dans le cas où toutes les personnes présentes n'aient que des iPhone, il n'y en ait pas un en activité (il suffit de regarder comment sont les personnes ensemble toujours à regarder leur téléphone). Et enfin il faut un minimum de quinze minutes de contact pour être contaminé. Par ailleurs vous ne voulez pas tenir compte du développement t de l'utilisation du low énergumène du Bluetooth car cela va à l'encontre de votre volonté de dénigrer cette application et donc tous les biais que vous pouvez trouver pour la descendre sont bons quitte à ne pas correspondre à la vérité ou aux faits.
Cet angle mort est de la pure médisance ou de l'incompétence.
Tout est de la médisance et une insulte pour les équipes qui ont travaillé et travaillent quinze heures par jour et sept jour sur sept. Et tous ceux qui s'y connaissent un tout petit peu savent que c'est un exploit de développer en si peu de temps une telle application avec tant de contraintes.
@Inconnu-Soldat
Où voyez-vous que l’article est orienté négativement ?
Il relate le rapport de la CNIL et les faits.
On peut débattre de la technique et de l’éthique sur ce sujet mais là vous nagez en plein délire de persécution.
@xDave
Si vous lisiez les commentaires de tous les articles portant sur STOP COVID, vous sauriez quoi faire de ses commentaires.
@DrStrange
Je m’en doute bien. S’il n’y avait des fautes, on aurait pu prendre ça pour du copier-coller.
@xDave
Il copie/colle toujours la même propagande pour chaque article sur StopCovid. S’il n’était pas aussi stupide je le soupçonnerais d’être un Community Manager au solde de Cédric Zéro.
@Brice21
Remarque avec un pseudo pareil, c’est logique qu’il ait un avis très « tranchées »…
Pas question que j’utilise cette application... point barre.
Corrigez-moi si je me trompe mais le principe du contact-tracing est intéressant dès lors qu’un maximum de personnes renseignent dans l’app s’ils ont été testé positifs ou non au virus.
Compte tenu de la politique des tests entreprise par notre gouvernement comment compter sur l’efficacité d’une application comme Stop-covid ?
Je ne suis pas spécialement opposé au procédé en lui même mais sans être accompagné d’une campagne massive de test j’avoue être pour le moins circonspect. Personnellement je sais juste que je ne suis pas tombé malade, mais rien ne me dit que je n’ai pas porté le virus et je pourrais tout à fait être porteur saint sans même le savoir... Et je ne pense pas être un cas isolé...
@Lecorbubu
Dès que quelqu’un a les symptômes, il va être testé, ainsi que toutes les personnes qui ont été en contact ainsi que toutes les personnes qui ont été en contact avec les contact infectés. Ça fait quand même du monde. Dans la chaîne, au bout d’un moment, il va y avoir des personnes qui ont les symptômes et ça va permettre de les remonter.
Bien sûr que si on testait tout le monde, ce serait plus efficace, mais personnellement je pense qu’il n’y a pas trop de soucis sur cet aspect du dispositif. On ne le saura vraiment que quand ce sera déployé de toutes façons 😉
@Lecorbubu
> Compte tenu de la politique des tests entreprise par notre gouvernement
> comment compter sur l’efficacité d’une application comme Stop-covid ?
Ben, euh, je vois pas où est le problème.
Une personne ayant des symptômes est totalement invité à se faire tester, que l'on sache.
Et on imagine qu'en cas de test positif une personne ayant installé l'app va probablement être d'accord pour diffuser l'info aux contacts rencontrés.
Vous sur-estimés l'intérêt d'un test systématique de tout le monde. D'abord parce que dans les tests, y'a 30% environ qui sont des faux négatifs. Ensuite, parce que c'est valable uniquement sur une fenêtre assez réduite de temps, vous pouvez très bien être contaminé 15min après avoir fait un test, de pas avoir de symptomes et vous croire donc non contagion, à tord.
Tout ça avec en face un cout exorbitant, surtout en terme de personnel.
> Personnellement je sais juste que je ne suis pas tombé malade, mais rien ne me dit
> que je n’ai pas porté le virus et je pourrais tout à fait être porteur saint sans
> même le savoir... Et je ne pense pas être un cas isolé...
Non. Mais dans le pire des cas, vous n'avez été porteur sain que durant max 20j et depuis votre immunité fait que vous ne serez pas un risque de contagion avant plusieurs mois maintenant.
C'est pour cela qu'avoir une alerte qu'une personne que vous avez croisé est tombé malade permet de vous faire tester dans des situations où il y a plus de raison de penser que vous êtes peut-être vous aussi porteur, en réduisant le nombre de tests fait en aveugle.
2 porteurs sains ne decouvriront leur état que si quelqu'un contaminé développe des symptomes. Un outil qui permet de réduire les temps pour remonter la chaine de contamination participe à cela, rien de plus, sans pour autant devoir assumer l'impossible coût de tester 65 millions de personnes chaque semaine avec 33 millions potentiellement considéré à tord comme non porteurs.
@byte_order
Il me semblait que c’était l’OMS qui encourageait vivement les Etats à dépister autant que possible. Je ne suis pas familier avec le monde de la médecine donc j’essaie de m’éclairer à la lumière de certaines institutions, mais peut-être que leur positionnement est discutable. J’avoue ne pas avoir creuser plus que cela le sujet.
Néanmoins merci pour ces quelques précisions qui sont les votre, c’est toujours instructif.
@Lecorbubu
> Il me semblait que c’était l’OMS qui encourageait vivement les Etats à dépister autant
> que possible.
Oui. Autant que possible. En se basant sur la stratégie de la Corée du Sud, qui disposait déjà massivement de tests, elle.
Mais il n'est pas possible de tester massivement 65 millions de français toutes les semaines, d'abord parce que la capacité de production d'autant de tests dans le monde, alors que tous les pays veulent faire pareil, n'existe tout simplement pas, et ensuite parce qu'avec un taux de contagion de la population au début de confinement de quelques % c'est cibler une mouche avec des batteries anti-aériennes.
Et l'app est là pour aider lors du déconfinement, c.a.d. lors d'une remonté probable de la circulation du virus, mais en quantité plus faible. En période de confinement, remonter des contacts alors que la liberté de circuler était très très limité c'était très facile.
L'objectif maintenant est de réduire le temps de découverte d'une chaine de contamination tout en laissant les gens plus libre de circuler, et donc l'économie de rédémarrer, afin de pouvoir isoler le plus rapidement possible une chaine de contamination avant qu'elle prenne une trop grand taille. Au début du confinement, les nombres de chaine de contamination et leur taille étaient devenues ingérables.
@byte_order
haa merci 🙏🏽 par de là le fonctionnement de l’app c’est bien la première fois que je comprends l’intérêt même de ces procédés.
Nous européens sommes trop frileux, mieux vaut mourir du COVID que révéler à un tiers où on était quand avec qui ... le projet est mort-né ... on plus, on a besoin d’une app globale, a quoi bon si l’app ne marche pas en dehors de la France?! Et oui, cela voudrait dire qu’on laisse Apple/Google faire, et que nos données si précieuses sortent de la France. Ben, tant pis! Je préfère vivre, tant pis si la publicité devient encore plus ciblée (pourtant, ça bogue pas mal, là pub ciblée, j’en reçois pleins pour une mycose vaginale — pourtant je suis un mec...). Mais bon, la bataille est perdu, d’avance, pour ceux qui croyait on pouvait se servir des progrès technologiques pour mieux combattre un fléau que nos ancêtres avec la peste et la grippe espagnole, dans l’attente d’un vaccin.
La CNIL :
« Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière. »
😂
"le versement des primes pour la découverte de failles. Les plus sévères rapporteront 2 000 €."
Super je connais plein d'informaticiens que ça va intéresser...
euh, je voulais dire des stagiaires...
Oui des stagiaires de première année (avant la terminal)
2.000€ what's the f.ck !
On parle d'une app gratuite développée sur fond public.
C'est logique que la découverte d'une faille dans un produit vendu par une entreprise privée qui en tire des milliards de profits soit monnayé plus cher.
Et puis si les gens sensibles à la sécurité de StopCovid considèrent que le montant de la prime ne justifie pas leur effort d'en chercher les failles, cela en dit à la limite bien plus long sur leur réel intérêt en terme de sécurité que sur celle des défenseurs de l'approche de StopCovid.
La Chine ne reconfine pas, c’est un canular. Il suffit de voir le trafic aérien au-dessus de l’empire du Milieu, y compris les vols internationaux depuis ou à destination des aéroports chinois, ce n’était pas le cas pendant le confinement.
@Sonic Tooth
> La Chine ne reconfine pas, c’est un canular.
Nul besoin d'avoir l'intégralité de la Chine confinée pour parler de confinement.
Le reconfinement de quelques provinces suffit à atteindre une population équivalente à celle d'un pays européen, hein, sans pour autant fermer les vols internationaux d'aéroport chinois pour autant.
Le retour du royaume de l’inutile.
Compte tenu de la prévention générale vis-à-vis des applications publiques, le taux d’installation restera probablement confidentiel et l’efficacité sera donc de fait dérisoire.
Ajouté à cela la dictature de la CNIL qui rend l’application pratiquement inopérante.
Ajouter le génie bien français qui rejette par principe tout ce qui vient d’ailleurs (confère notre plan calcul, notre SO bien franchouillard, Quant…) quand bien même cela serait vraiment utile.
Sans compter la critique habituelle concernant les anciens “qui n’ont évidemment pas le smartphone qui va bien”, “qui ne sauront de toute façon ni l’installer ni le documenter”, qui, qui, qui…”
Bonjour , mais les tests sont-ils fiables ?
Car difficile de savoir. De plus , en France où les quelques images nous montrent la réaction des testés par le nez alors qu’en Allemagne aucun geste de recul des testés.
Si les résultats sont identiques (?) pourquoi imposer de les effectuer par le nez ?
@strix80
> les tests sont-ils fiables ?
Les tests PCR par prélèvement nasopharyngé, s'il est positif, oui, y'a moins de 1% de faux positif : on vous dit que vous malade alors que non, vous êtes mis en quatorzaine pour rien
S'il est négatif, là c'est moins glorieux hélas, y'a environ 30% de faux négatif : on vous dit que vous n'êtes pas malade alors que si, vous continuez à contaminer sans le savoir tant que vous n'avez pas de symptômes plus clairs, si jamais vous en avez jamais d'autres.
> De plus , en France où les quelques images nous montrent la réaction des testés
> par le nez alors qu’en Allemagne aucun geste de recul des testés.
Alors, d'une, attention aux images télévisuelles. Vous ne savez pas dans quelles conditions elles ont été réalisés. P'tet que l'équipe de tournage a demander de pouvoir (re)filmer un test, et que celui-ci a été refait pour des raisons de cadrage etc, allez savoir.
Ensuite, pour avoir vécu le test avec ma fille, c'est très désagréable oui, mais c'est une condition requise pour espérer collecter le virus le plus loin possible dans son voyage vers le système respiratoire. Au delà, c'est directement dans les poumons qu'il faudrait chercher, et là l'usage d'un scanner est plus rapide et indolore, mais tellement plus couteux qu'on ne le fait que pour les cas ayant développés des symptômes assez graves pour les envoyer à l'hôpital.
On nous avait prévenu, moi et ma fille. Je n'ai pas reculé malgré la sensation très désagréable, elle si. Chacun réagit différemment, en fonction de l'information reçue, de sa capacité à tolérer cela ou pas, etc.
Et y'a des personnes formés pour faire le prélèvement qui le font mal, ou n'ose pas, ou considère que c'est pas nécessaire d'aller si loin.
@byte_order
« S'il est négatif, là c'est moins glorieux hélas, y'a environ 30% de faux négatif : on vous dit que vous n'êtes pas malade alors que si »
Non. Ça reste quand même une confrontation clinico- biologique.
On n’est pas des robots ;) Et 30 voire 40% de FN, faut l’avoir en permanence dans la tête. C’est énorme et dans un autre contexte, personne n’accepterait un tel test ou le mettrait en avant.
Pour info, tu sais par rapport à quel Gold standard on a déterminé cette sensibilité ? J’en n’ai aucune idée...
Je n’ai aucun état d’âme à placer des patients en isolement lorsque la clinique est très évocatrice et la RT PCR SARS Cov 2 est négative. Il y a par ailleurs beaucoup d’autres éléments para cliniques qui peuvent orienter la décision.
"La CNIL a donné son feu vert"... Ouf ! Nous voilà rassurés. Et sinon, cela va couter combien aux contribuables cette application que personne ou presque n'utilisera ?
@Orus:
Au pif, l'équivalent 1/10ième de jour de confinement?
Pages