Ouvrir le menu principal

iGeneration

Recherche

StopCovid accusée de collecter trop d'informations

Mickaël Bazoge

mardi 16 juin 2020 à 16:00 • 99

App Store

L'application StopCovid est censée enregistrer les contacts à moins d'un mètre pendant au moins quinze minutes, des informations qui sont envoyées à un serveur central dès lors que l'utilisateur déclare un diagnostic positif au coronavirus. Mais dans les faits, l'app française de traçage des contacts va beaucoup plus loin : c'est l'ensemble des contacts rencontrés durant les 14 derniers jours qui sont enregistrés et transférés au serveur le cas échéant, peu importe la distance avec les personnes et le temps passé ensemble.

La découverte, relatée dans Mediapart, est le fruit des travaux de Gaëtan Leurent, chercheur français de l’Institut national de recherche en informatique et en automatique — l'Inria, qui a supervisé le développement de StopCovid — et également coauteur du site risques-tracage.fr. Dans le GitLab du projet, il décrit la manière dont il s'y est pris pour déterminer le volume des informations enregistrées et partagées.

J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique (je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).

Comme il l'écrit lui-même, ce comportement semble bel et bien en contradiction avec le décret et l'arrêté encadrant l'utilisation de l'application. Les textes gravent dans le marbre les critères de distance et de durée : « moins d'un mètre pendant au moins 15 minutes entre les utilisateurs de l'application ». Difficile de faire plus clair.

StopCovid ne devrait donc envoyer au serveur central que les identifiants des smartphones répondant à ces critères. Mais comme l'a démontré Gaëtan Leurent, ce n'est pas le cas. Le secrétaire d'État au numérique, Cédric O, défend son bébé auprès de Mediapart : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». En substance, il reconnait que l'app stocke et partage tous les contacts, pas uniquement ceux qui respectent les conditions du décret.

C'est le serveur qui fait le tri entre les contacts : « Le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur », poursuit Cédric O. Une opération qui pourrait être traitée directement en local, sur le smartphone. Malgré tout, « il n’y a pas de possibilité de reconstitution de graphe social par le serveur puisqu’il ne conserve que les données relatives à la personne exposée (et non à la personne positive) », ajoute le secrétariat d'État.

Une difficulté technique mise en avant par le gouvernement est qu'un nouvel identifiant est généré toutes les quinze minutes pour un même appareil. Un contact ne durant que 5 minutes avec un identifiant pourrait se poursuivre pendant 12 minutes supplémentaires avec un nouvel identifiant, soit 17 minutes en tout. Ce qui en ferait un contact potentiellement à risque. Gaëtan Leurent pense toutefois que le smartphone pourrait filtrer les données pour conserver les contacts courts quand ils sont « juste avant ou juste après un changement d’identifiant. Ça éliminerait déjà la majorité des contacts courts ».

La Cnil, interpellée par Mediapart, a affirmé que des contrôles étaient en cours sur le fonctionnement de l'application.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple Intelligence se fait étriller par la BBC

14/12/2024 à 22:30

• 31


Promos : Station de recharge 2 en 1 Belkin à 39 € et disque dur LaCie 4 To à 136 €

14/12/2024 à 13:23

• 11


Nos coups de cœur et nos coups de gueule 2024

14/12/2024 à 11:22


Apple sommée de retirer TikTok aux USA dès janvier

13/12/2024 à 20:45

• 92


Somfy : une mise à jour TaHoma a cassé les scènes HomeKit

13/12/2024 à 18:30

• 33


Promo : le mini chargeur de voyage 3-en-1 d’Anker à 75 € (-25 %)

13/12/2024 à 17:47

• 3


Le service de paiement Wero affiche déjà 8 millions de transactions pour 14 millions d'utilisateurs

13/12/2024 à 17:00

• 26


AirTag : United traquera les bagages perdus avec le partage de position d'iOS 18.2

13/12/2024 à 16:00

• 17


Resident Evil : Capcom supprime la connexion internet obligatoire et lance une série de promos

13/12/2024 à 11:43

• 18


USB-C : Apple va arrêter la vente des iPhone SE et iPhone 14 dans l'Union européenne

13/12/2024 à 10:23

• 45


Apple sortirait des nouvelles versions de l’Apple TV et du HomePod mini en 2025

13/12/2024 à 07:53

• 18


L’Apple TV serait le premier produit à étrenner la puce Wi-Fi de la pomme

12/12/2024 à 21:15

• 46


Avez-vous personnalisé les boutons de l'écran verrouillé d'iOS 18 ?

12/12/2024 à 18:15

• 85


La sortie morcelée d’iOS 18 ralentirait le développement d’iOS 19

12/12/2024 à 17:30

• 51


iPhone 17 : les rumeurs s'alignent sur des capteurs photo en bandeau

12/12/2024 à 16:45

• 43


Plans souligne les itinéraires les plus écologiques

12/12/2024 à 15:15

• 40