Ouvrir le menu principal

iGeneration

Recherche

StopCovid accusée de collecter trop d'informations

Mickaël Bazoge

mardi 16 juin 2020 à 16:00 • 99

App Store

L'application StopCovid est censée enregistrer les contacts à moins d'un mètre pendant au moins quinze minutes, des informations qui sont envoyées à un serveur central dès lors que l'utilisateur déclare un diagnostic positif au coronavirus. Mais dans les faits, l'app française de traçage des contacts va beaucoup plus loin : c'est l'ensemble des contacts rencontrés durant les 14 derniers jours qui sont enregistrés et transférés au serveur le cas échéant, peu importe la distance avec les personnes et le temps passé ensemble.

La découverte, relatée dans Mediapart, est le fruit des travaux de Gaëtan Leurent, chercheur français de l’Institut national de recherche en informatique et en automatique — l'Inria, qui a supervisé le développement de StopCovid — et également coauteur du site risques-tracage.fr. Dans le GitLab du projet, il décrit la manière dont il s'y est pris pour déterminer le volume des informations enregistrées et partagées.

J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique (je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).

Comme il l'écrit lui-même, ce comportement semble bel et bien en contradiction avec le décret et l'arrêté encadrant l'utilisation de l'application. Les textes gravent dans le marbre les critères de distance et de durée : « moins d'un mètre pendant au moins 15 minutes entre les utilisateurs de l'application ». Difficile de faire plus clair.

StopCovid ne devrait donc envoyer au serveur central que les identifiants des smartphones répondant à ces critères. Mais comme l'a démontré Gaëtan Leurent, ce n'est pas le cas. Le secrétaire d'État au numérique, Cédric O, défend son bébé auprès de Mediapart : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». En substance, il reconnait que l'app stocke et partage tous les contacts, pas uniquement ceux qui respectent les conditions du décret.

C'est le serveur qui fait le tri entre les contacts : « Le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur », poursuit Cédric O. Une opération qui pourrait être traitée directement en local, sur le smartphone. Malgré tout, « il n’y a pas de possibilité de reconstitution de graphe social par le serveur puisqu’il ne conserve que les données relatives à la personne exposée (et non à la personne positive) », ajoute le secrétariat d'État.

Une difficulté technique mise en avant par le gouvernement est qu'un nouvel identifiant est généré toutes les quinze minutes pour un même appareil. Un contact ne durant que 5 minutes avec un identifiant pourrait se poursuivre pendant 12 minutes supplémentaires avec un nouvel identifiant, soit 17 minutes en tout. Ce qui en ferait un contact potentiellement à risque. Gaëtan Leurent pense toutefois que le smartphone pourrait filtrer les données pour conserver les contacts courts quand ils sont « juste avant ou juste après un changement d’identifiant. Ça éliminerait déjà la majorité des contacts courts ».

La Cnil, interpellée par Mediapart, a affirmé que des contrôles étaient en cours sur le fonctionnement de l'application.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : Apple tient bon la barre, mais cela va-t-il durer ?

03/05/2025 à 23:02

• 19


iPhone Air, Pro et pliable : Apple prépare de grands bouleversements

03/05/2025 à 18:51

• 53


Tim Cook restreint la communication sur les performances du C1, mais n’en pense pas moins

02/05/2025 à 22:00

• 17


L’utilitaire pour activer JIT StikDebug est désormais disponible sur l’App Store

02/05/2025 à 18:00

• 1


Un paquet de projecteurs Epson sont désormais compatibles AirPlay et HomeKit

02/05/2025 à 17:00

• 6


Stripe est prêt à prendre la place des In-Apps sur l'App Store

02/05/2025 à 16:40

• 9


« Le pape François indifférent au décès de Zidane » : pourquoi Apple Intelligence résume si mal les titres d’articles

02/05/2025 à 16:25

• 70


App Store : Patreon va soumettre une mise à jour pour éviter la commission d’Apple

02/05/2025 à 11:41

• 15


Une cascade de nouveaux frais pour les forfaits B&You

02/05/2025 à 10:33

• 34


Epic Games veut aider les développeurs iOS à vendre hors de l’App Store grâce à des boutiques web

02/05/2025 à 10:03

• 24


iOS 19 pourrait offrir plusieurs nouveautés pour Stage Manager et les styles photographiques

02/05/2025 à 08:18

• 21


App Store : Apple change ses règles aux États-Unis et Spotify saute sur l'occasion

02/05/2025 à 07:20

• 46


Apple : des résultats solides, mais la Chine et les droits de douane inquiètent

01/05/2025 à 23:33

• 20


4G : Apple condamnée à verser 502 millions de dollars à un patent troll

01/05/2025 à 17:24

• 61


Microsoft augmente les prix des Xbox, de leurs manettes et de leurs jeux

01/05/2025 à 16:23

• 65


Espionnage d’iPhone : un journaliste italien alerté par Apple

01/05/2025 à 15:07

• 8