Coronavirus : L'application StopCovid récolte plus de données qu'annoncé

Par Manon de Sortiraparis · Publié le 17 juin 2020 à 19h09
Comme craint par un grand nombre d'élus avant le lancement de l'application, Mediapart révèle que Stop-Covid récolte plus de données que ce qui avait été annoncé par le gouvernement.

Est-ce vraiment étonnant ? Avant le lancement de l'application Stop-Covid au début du mois de juin, plusieurs élus et groupes politiques avaient fait part de leurs craintes quant au respect des libertés individuelles et de la vie privée. La Commission Nationale de l'Informatique et des Libertés avait, par la suite, donné son feu vert à la mise en place de l'application Stop-Covid, estimant que "l’application 'StopCovid' ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées" et que "l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus".

Pourtant, apprend-t'on aujourd'hui, par Mediapart, que l'application Stop-Covid récolte plus de données que ce qui avait été annoncé par le gouvernement et le secrétaire d'Etat chargé du Numérique, Cédric O. C'est Gaëtan Leurent, chercheur français en cryptographie à l'Institut national de recherche en informatique et en automatique (Inria), qui a fait cette découverte. 

Il explique ainsi que sur la plateforme de développement de Stop-Covid, il a découvert que "tous les contacts croisés pendant les quatorze derniers jours" ont été envoyés au serveur central, hébergeant les données liées à l'application, contrairement à ce qu'annonçait le gouvernement qui assurait que seuls les identifiants des téléphones des utilisateurs ayant été en contact pendant 15 minutes à moins d'un mètre de distance d'une personne testée positive au Coronavirus seraient conservés. 

"StopCovid envoie donc une grande quantité de données au serveur qui n'a pas d'intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée", écrit Gaëtan Leurent. "J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique." 

Contacté par Médiapart, Cédric O n'a pas nié les faits mais a tenté de les justifier, en indiquant qu'un nouvel identifiant était attribué à chaque appareil "tous les quarts d'heure". "Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d'un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu'il s'agit, en réalité, d'un seul, de 17 minutes, donc à risques", explique-t-il à Mediapart.

Mais Gaëtan Leurent estime qu'il existe pourtant d'autres "moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d'identifiant." La Cnil s'est saisie du sujet et des contrôles sont actuellement "en cours" d'après Mediapart. 

Informations pratiques
Commentaires
Affinez votre recherche
Affinez votre recherche
Affinez votre recherche
Affinez votre recherche