Ouvrir le menu principal

iGeneration

Recherche

StopCovid accusée de collecter trop d'informations

Mickaël Bazoge

mardi 16 juin 2020 à 16:00 • 99

App Store

L'application StopCovid est censée enregistrer les contacts à moins d'un mètre pendant au moins quinze minutes, des informations qui sont envoyées à un serveur central dès lors que l'utilisateur déclare un diagnostic positif au coronavirus. Mais dans les faits, l'app française de traçage des contacts va beaucoup plus loin : c'est l'ensemble des contacts rencontrés durant les 14 derniers jours qui sont enregistrés et transférés au serveur le cas échéant, peu importe la distance avec les personnes et le temps passé ensemble.

La découverte, relatée dans Mediapart, est le fruit des travaux de Gaëtan Leurent, chercheur français de l’Institut national de recherche en informatique et en automatique — l'Inria, qui a supervisé le développement de StopCovid — et également coauteur du site risques-tracage.fr. Dans le GitLab du projet, il décrit la manière dont il s'y est pris pour déterminer le volume des informations enregistrées et partagées.

J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique (je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).

Comme il l'écrit lui-même, ce comportement semble bel et bien en contradiction avec le décret et l'arrêté encadrant l'utilisation de l'application. Les textes gravent dans le marbre les critères de distance et de durée : « moins d'un mètre pendant au moins 15 minutes entre les utilisateurs de l'application ». Difficile de faire plus clair.

StopCovid ne devrait donc envoyer au serveur central que les identifiants des smartphones répondant à ces critères. Mais comme l'a démontré Gaëtan Leurent, ce n'est pas le cas. Le secrétaire d'État au numérique, Cédric O, défend son bébé auprès de Mediapart : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». En substance, il reconnait que l'app stocke et partage tous les contacts, pas uniquement ceux qui respectent les conditions du décret.

C'est le serveur qui fait le tri entre les contacts : « Le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur », poursuit Cédric O. Une opération qui pourrait être traitée directement en local, sur le smartphone. Malgré tout, « il n’y a pas de possibilité de reconstitution de graphe social par le serveur puisqu’il ne conserve que les données relatives à la personne exposée (et non à la personne positive) », ajoute le secrétariat d'État.

Une difficulté technique mise en avant par le gouvernement est qu'un nouvel identifiant est généré toutes les quinze minutes pour un même appareil. Un contact ne durant que 5 minutes avec un identifiant pourrait se poursuivre pendant 12 minutes supplémentaires avec un nouvel identifiant, soit 17 minutes en tout. Ce qui en ferait un contact potentiellement à risque. Gaëtan Leurent pense toutefois que le smartphone pourrait filtrer les données pour conserver les contacts courts quand ils sont « juste avant ou juste après un changement d’identifiant. Ça éliminerait déjà la majorité des contacts courts ».

La Cnil, interpellée par Mediapart, a affirmé que des contrôles étaient en cours sur le fonctionnement de l'application.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Attention les escrocs innovent avec ce SMS de phishing personnalisé du « carton dans la boîte aux lettres » 📍

12:24


Où trouver un iPhone 16 Pro / Pro Max en stock ? Le point sur les stocks !

10:20

• 99


L'été a vu disparaitre 98 VPN de l'App Store russe

11/10/2024 à 22:00

• 11


Un site recense les opérateurs compatibles avec le RCS pour les iPhone

11/10/2024 à 18:00

• 47


La Nvidia Shield TV de 2015 reçoit une mise à jour d'Android

11/10/2024 à 17:00

• 10


Ticketmaster va profiter des nouveautés du wallet d'iOS 18 pour des billets (presque) interactifs

11/10/2024 à 13:30

• 7


Avez-vous pris vos marques avec la nouvelle app Photos d'iOS 18 ?

11/10/2024 à 12:30

• 59


Amazon obligé d'arrêter de vendre les Fire TV Stick dans certains pays à cause de Nokia

11/10/2024 à 11:30

• 10


Qobuz propose le téléchargement de musique aux formats DXD et DSD

11/10/2024 à 10:45

• 25


Les serveurs Apple abandonnent la signature d’iOS 18.0

10/10/2024 à 22:00

• 61


Orange lance son offre 5G+ Home

10/10/2024 à 20:30

• 24


iOS 18 est moins efficace pour bloquer les démarchages téléphoniques

10/10/2024 à 19:15

• 62


Vivo réinterprète la Dynamic Island sur Android

10/10/2024 à 15:40

• 40


Découvrez les détails de la connexion Wi-Fi de votre iPhone grâce à ce raccourci iOS

10/10/2024 à 14:52

• 12


Focal sort des enceintes connectées. Devialet ? Pas assez cher, mon fils...

10/10/2024 à 10:30

• 135


Freeform se met en scène avec iPadOS 18

05/10/2024 à 12:05