Le baptême du feu approche pour StopCovid. Initialement prévue le 2 juin 2020, l'application de traçabilité, de suivi et de partage des données entre malades Covid-19 et les personnes saines pour informer ces dernières d'avoir croisé le chemin des premiers, pourrait débarquer sur les téléphones Android et iOS dès ce week-end. Le secrétaire d'Etat chargé du Numérique, Cédric O, a indiqué cette possibilité, sous réserve d'un vote par le Parlement qui doit se dérouler ces mercredi et jeudi. « Cette application permet de vous prévenir immédiatement si vous avez été en contact rapproché dans les derniers jours avec une personne que vous ne connaissez pas et qui vient d’être testée positive au Covid19. Dans le cadre de l’application, les contacts pris en compte seront les suivants : moins d’1 mètre pendant au moins 15 mn », peut-on lire dans le dossier de presse présentant StopCovid.
Développée par l'Inria sous la supervision du ministère des Solidarités et de la Santé et du secrétariat d’État chargé du Numérique, StopCovid a fait l'objet de travaux croisés avec d'autres partenaires européens comme Fraunhofer Heinrich Hertz Institut et le Fraunhofer AISEC (Allemagne), le NHSX (Grande-Bretagne), Team Digitale (Italie) et BSC (Espagne). « Une partie de ces échanges a eu lieu au sein d’une plate-forme d’interactions européenne qui a donné lieu à la naissance d’un groupe de travail spécifique au sein de l’ETSI, l’institut européen de standardisation des télécommunications. Ces collaborations permettent de travailler sur l’interopérabilité des solutions développées dans chacun des pays, c’est-à-dire leur capacité à communiquer de l’information entre elles, en respectant le cadre européen de respect de la vie privée et de protection des données », indique le dossier de presse.
La CNIL souhaiterait permettre aux personnes plus exposées que d'autres à des malades Covid-19 mais protégées de par la nature de leur activité puisse activer dans des périodes de temps définis l'application StopCovid. (crédit : Gouvernement)
Des cryptoidentifiants éphémères non associés à des personnes
Basé sur le principe du volontariat, StopCovid nécessite pour fonctionner plusieurs paramétrages comme l'activation du Bluetooth, le partage de l'historique de proximité ainsi que la déclaration de diagnostic positif comme on peut le voir dans les dernières captures d'écran de l'application partagées par le gouvernement. Pour rassurer la population quant à l'usage fait en termes de traçabilité et de suivi des personnes, ce dernier se veut rassurant : « StopCovid utilise le signal Bluetooth pour détecter un smartphone à proximité. L’application n’utilise donc à aucun moment la localisation des personnes par les données GPS des téléphones portables. C’est pourquoi, l’application ne pourra pas permettre de savoir où une personne s’est rendu [...] Il n’est pas possible de connaitre l’identité de l’utilisateur de l’application. Il n’y a pas de système d’authentification au moment de l’installation de StopCovid. L’application génèrera seulement des pseudonymes (cryptoidentifiants éphémères) qui ne seront pas associés à une personne. Seuls ces pseudonymes éphémères sont stockés sur un smartphone et, le cas échéant, partagés vers un serveur central. Personne, pas même l’État, n’aura accès à une liste de personnes diagnostiquées positives ou à une liste des interactions sociales entre les utilisateurs. »
Un code confidentiel fourni par le personnel hospitalier permet à un utilisateur de déclarer son état de malade Covid-19 et d'activer automatiquement la chaîne de notification aux personnes croisées susceptibles d'avoir à leur tour été contaminé. (crédit : Gouvernement)
Pour garantir le respect de la vie privée et l'anonymat des personnes partageant leurs informations avec StopCovid - qui n'a officiellement pas vocation à perdurer plus de 6 mois après la fin de la crise sanitaire -, le Gouvernement assure que tous les cryptoidentifiants n’ayant plus de pertinence d’un point de vue épidémiologique seront supprimés au bout de 15 jours. Une telle application - inédite par l'ampleur des données personnelles manipulées à grande échelle - n'aurait pas en tout cas pu sortir de l'oeuf sans l'aval de la CNIL. A ce titre, la Commission nationale de l'informatique et des libertés a expliqué dans une dernière délibération que « l’utilité de l’application et la nécessité du traitement projeté pour accomplir la mission d’intérêt public ainsi confiée à l’autorité publique, au sens des règles de protection des données, sont suffisamment démontrées en amont de la mise en œuvre du traitement. » Toutefois : « certaines données évoquées dans l'AIPD [analyse d'impact relative à la protection des données] ne sont pas mentionnées à l'article 2 du projet de décret. La Commission prend acte de l’engagement du ministère de modifier le projet afin de mentionner la collecte des périodes d'exposition des utilisateurs à des personnes contaminées ainsi que les codes pays. Par ailleurs, eu égard aux particularités du traitement, elle recommande que la collecte des dates de dernière interrogation du serveur soit également mentionnée. »
Construite sur la base du volontariat, StopCovid ne pourra réellement se montrer efficace si un grand nombre d'utilisateurs acceptent de l'utiliser et de partager leurs données, le cas échéant elle ne pourra se montrer vraiment utile. (crédit : Gouvernement)
La CNIL veut limiter les faux-positifs en désactivant temporairement StopCovid
« Le transfert de l’historique des identifiants pseudonymes des cas contacts d’une personne infectée, depuis une application mobile vers le serveur central, requiert l’utilisation d’un code à usage unique remis par un professionnel de santé suite à un diagnostic clinique positif ou un examen de dépistage positif à la COVID-19. Par conséquent, un utilisateur ne pourra pas fausser la base de données du serveur central de l’application en se déclarant positif sans avoir été dépisté. En outre, la Commission prend acte de ce que la vérification du code à usage unique se limitera à sa validité, et ne fera pas intervenir de vérification de l'identité de la personne à laquelle il a été délivré. La Commission relève également que cette transmission se fera sans que l'historique de contacts transmis au serveur puisse être rattaché à la personne infectée », relève la CNIL.
Citant en exemple un professionnel de santé ou un agent d'accueil particulièrement susceptibles d'être notifiés par l'application comme étant à risque d'avoir été contaminés par le SARS-CoV-2 alors même qu'ils étaient protégés (port d’un masque, paroi séparatrice, etc.) au moment où le contact a été enregistré, l'institution pointe en outre « l’absence de prise en compte par l'application du contexte des contacts est susceptible d’entraîner la génération de nombreux faux positifs. » Et de préciser : « En conséquence, la Commission s'interroge sur l'opportunité de prévoir à terme dans l'application la possibilité pour l'utilisateur de définir des plages de temps pendant lesquelles des contacts ne devraient pas être considérés comme potentiellement à risque [...] La présence d’un bouton de désactivation temporaire, aisément accessible, sur l’écran principal de l’application pourrait être de nature à réduire le nombre de fausses alertes correspondant à des moments où l’utilisateur n’est pas réellement exposé. »
Ecran d'accueil de l'application StopCovid à l'installation. (crédit : Gouvernement)
Une telle application ne peut bien entendu être déployée sans un minimum de garantie en termes de cybersécurité et de protection de l'intégrité du code source. Conscient de l'enjeu, le gouvernement a missionné l'agence nationale de la sécurité des systèmes d'information (ANSSI) pour cette tâche qui passe notamment par la mise en place d'un programme de chasse aux bugs et vulnérabilités. « L'ANSSI a conseillé à Inria, un audit de type Bug Bounty pour l’application StopCovid, actuellement développée sous forme d'un prototype en amont de toute décision politique, en parallèle des audits et contrôles de sécurité réalisés par l’agence et ses partenaires, tout au long de la conception », indique un communiqué. « Pour l’ANSSI, la sécurité de l’application doit être assurée par le cumul de plusieurs procédés. L’aide à la conception sécurisée puis l'audit de l’application réalisé par nos experts, doivent être complétés par le contrôle du code publié en open-source par la communauté numérique et par l’organisation de recherches de failles informatiques, de types bug bounty », a fait savoir Guillaume Poupard, directeur général de l’ANSSI.
Pour effectuer cette chasse aux bugs, l'équipe-projet StopCovid a fait appel à YesWeHack pour solliciter sa communauté de hackers éthiques. « Dans le cadre du projet StopCovid, une vingtaine d'experts répartis dans toute l'Europe vont commencer à tester la sécurité de l'application, ce mercredi 27 mai. Ils seront suivis dès le 2 juin par l’ensemble des hackers de la communauté YesWeHack qui le souhaiteront. » Les primes versées pour la découverte de failles pourront atteindre 2 000 euros pour les plus critiques.
Déroulé de la procédure et explication de texte de l'utilité de l'application StopCovid destinée aux utilisateurs. (crédit : Gouvernement)
Aucun commentateur, pas un seul expert informatique, absolument personne n'a décrit quelles données du téléphone seraient transmises au serveur, telle que IP, adresse Mac, n° téléphone, S/N du smartphone en plus des données de « santé ».
Signaler un abusOn a un problème avec l'information.