Gaëtan Leurent, chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria), a découvert que « “tous les contacts croisés pendant les quatorze derniers jours” sont envoyés au serveur central hébergeant les données liées à StopCovid ». Alors que Cédric O, secrétaire d’Etat au numérique, avait indiqué que les données collectées ne concernaient que les cas où « deux personnes se croisent pendant une certaine durée, et à une distance rapprochée », « et non à la totalité des personnes croisées, comme c’est, en réalité, le cas ».
« StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée », estime Gaëtan Leurent qui explique : « J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique. »
Contacté par Mediapart qui a révélé ces informations, le secrétariat d’Etat au numérique ne les a pas remises en cause, « mais a voulu les justifier ». Il explique : « Tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil ». « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. » Des explications jugées peu convaincantes par le chercheur qui estime « qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant ».
La Commission nationale informatique et libertés (CNIL) a indiqué que « des contrôles étaient “en cours” sur le sujet ». Le secrétariat d’Etat au numérique certifie de son côté « que la CNIL a été parfaitement informée du fonctionnement réel de StopCovid et que son avis sur le dispositif, largement positif et rendu mardi 26 mai, a été pris en toute connaissance de cause » (cf. La CNIL donne son feu vert à l’application StopCovid mais des interrogations demeurent).
Pour aller plus loin :
Application de traçage : la Norvège jette l’éponge
StopCovid : peu d’utilisateurs, beaucoup de frais et quelques arnaques
StopCovid : faire « passer le pistage des êtres humains avant le dépistage de la maladie » ?
Le Monde (16/06/2020)