{"id":5685,"date":"2020-06-20T02:20:10","date_gmt":"2020-06-20T00:20:10","guid":{"rendered":"https:\/\/collectif-accad.fr\/site\/?p=5685"},"modified":"2020-06-18T11:22:04","modified_gmt":"2020-06-18T09:22:04","slug":"stopcovid","status":"publish","type":"post","link":"https:\/\/collectif-accad.fr\/site\/stopcovid\/","title":{"rendered":"StopCovid"},"content":{"rendered":"

L\u2019appli qui en savait trop<\/span> <\/strong><\/p>\n

<\/p>\n

Loin de se limiter au recensement des contacts \u00ab\u00a0\u00e0 moins d\u2019un m\u00e8tre pendant au moins quinze minutes\u00a0\u00bb<\/em>, l\u2019application mise en place par le gouvernement collecte, et transf\u00e8re le cas \u00e9ch\u00e9ant au serveur central, les identifiants\u00a0de\u00a0toutes les personnes qui se sont \u00ab\u00a0crois\u00e9es\u00a0\u00bb via<\/em> l\u2019appli. De pr\u00e8s ou de loin.<\/p>\n

Sur le papier, c\u2019est tr\u00e8s clair. Si vous avez t\u00e9l\u00e9charg\u00e9 l\u2019application StopCovid, que vous \u00eates atteint par le virus et que vous le d\u00e9clarez dans l\u2019appli, alors les donn\u00e9es transmises au serveur central seront celles des personnes avec lesquelles vous avez \u00e9t\u00e9 en contact \u00ab\u00a0\u00e0 moins d’un m\u00e8tre pendant au moins 15 minutes\u00a0\u00bb<\/em>, et qui disposent aussi de l\u2019application. Les personnes seront alors pr\u00e9venues qu\u2019elles ont rencontr\u00e9 quelqu\u2019un susceptible de leur avoir transmis le virus.<\/p>\n

Ce crit\u00e8re de distance et de dur\u00e9e, moins d\u2019un m\u00e8tre pendant plus d\u2019un quart d\u2019heure, est l\u2019objet unique d\u2019un arr\u00eat\u00e9<\/a><\/u> du 30 mai\u00a02020, qui lui-m\u00eame pr\u00e9cise le d\u00e9cret<\/a><\/u> du 29 mai relatif \u00e0 l\u2019application. Le d\u00e9cret encadre le \u00ab\u00a0traitement de donn\u00e9es\u00a0\u00bb effectu\u00e9 par l\u2019application. En clair, il constitue l\u2019assise l\u00e9gale de son fonctionnement.<\/p>\n

Sans \u00eatre aussi pr\u00e9cis, c\u2019est ce principe qu\u2019avait expliqu\u00e9 C\u00e9dric O au mois d\u2019avril, dans un entretien<\/a><\/u> au journal Le Monde\u00a0<\/em>: \u00ab\u00a0Lorsque deux personnes se croisent pendant une certaine dur\u00e9e, et \u00e0 une distance rapproch\u00e9e, le t\u00e9l\u00e9phone portable de l\u2019un enregistre les r\u00e9f\u00e9rences de l\u2019autre dans son historique\u00a0\u00bb<\/em>, historique qui sera transmis au serveur central si la personne se d\u00e9clare porteuse du virus.<\/p>\n

C\u2019est ce qu\u2019indique aussi la foire aux questions StopCovid<\/a><\/u> mise en ligne par Bercy (minist\u00e8re de tutelle du secr\u00e9tariat d\u2019\u00c9tat au num\u00e9rique)\u00a0:\u00a0\u00ab\u00a0Lorsque deux t\u00e9l\u00e9phones se croisent pendant au moins 15 minutes \u00e0 moins d\u2019un m\u00e8tre, chacun enregistre l\u2019autre dans l\u2019historique de son application de mani\u00e8re crypt\u00e9e.\u00a0\u00bb<\/em><\/p>\n

Le probl\u00e8me, c\u2019est que les choses ne se passent pas vraiment comme \u00e7a.<\/p>\n

Comme l\u2019ont d\u00e9couvert<\/a><\/u> des informaticiens un peu curieux, et comme le secr\u00e9tariat d\u2019\u00c9tat au num\u00e9rique l\u2019a confirm\u00e9 \u00e0 Mediapart, la collecte des donn\u00e9es est beaucoup plus large que ce que pr\u00e9voit l\u2019arr\u00eat\u00e9.\u00a0Beaucoup plus large, aussi, que ce que tout le monde avait donc cru comprendre au vu de la campagne de communication du gouvernement, campagne dont t\u00e9moigne encore ce tweet de C\u00e9dric O<\/a><\/u>, qui relaie \u00ab\u00a0les explications p\u00e9dagogiques du JT de @France2tv\u00a0\u00bb<\/em>.\u00a0Le sujet du 20\u00a0heures explique tr\u00e8s clairement, images \u00e0 l\u2019appui, que l\u2019appli va enregistrer les contacts rapproch\u00e9s, selon le crit\u00e8re \u00ab\u00a0une distance de moins d\u2019un m\u00e8tre pendant plus de quinze minutes\u00a0\u00bb<\/em>.<\/p>\n

Un tweet de C\u00e9dric O relaie un extrait du JT de France 2. \u00a9 Mediapart<\/p>\n

Ga\u00ebtan Leurent est chercheur en cryptographie \u00e0 l\u2019Inria, l\u2019Institut national de recherche en informatique auquel le gouvernement a\u00a0confi\u00e9 le pilotage du projet StopCovid. Il est aussi l\u2019un des coauteurs du site\u00a0risques-tra\u00e7age.fr,<\/a><\/u> qui a tr\u00e8s t\u00f4t expos\u00e9 un \u00e0 un les dangers d\u2019une application de contact tracing<\/em> telle que StopCovid sous le titre \u00ab\u00a0Le tra\u00e7age anonyme, dangereux oxymore\u00a0\u00bb. \u00ab\u00a0Depuis<\/em>, explique-t-il \u00e0 Mediapart, on a suivi ce qui se passe avec le d\u00e9ploiement.\u00a0\u00bb<\/em><\/p>\n

Deux points connexes l\u2019ont intrigu\u00e9 particuli\u00e8rement\u00a0: comment la distance entre deux appareils est-elle calcul\u00e9e, et quelles sont les informations envoy\u00e9es quand on se d\u00e9clare malade. Il a donc men\u00e9 des exp\u00e9riences. En pla\u00e7ant deux t\u00e9l\u00e9phones \u00e0 une distance de cinq m\u00e8tres l\u2019un de l\u2019autre, s\u00e9par\u00e9s par un mur et pendant seulement quelques secondes, il s\u2019est aper\u00e7u que ce \u00ab\u00a0contact\u00a0\u00bb entre les deux appareils, sans int\u00e9r\u00eat \u00e9pid\u00e9miologique, \u00e9tait pourtant envoy\u00e9 au serveur central s\u2019il se d\u00e9clarait porteur du virus.<\/p>\n

Et c\u2019est bien l\u00e0 le hic. Interrog\u00e9 par Mediapart, le secr\u00e9tariat d\u2019\u00c9tat au num\u00e9rique confirme que \u00ab\u00a0StopCovid repose sur la remont\u00e9e de l\u2019historique de proximit\u00e9 d’un utilisateur diagnostiqu\u00e9 positif\u00a0: cet historique de proximit\u00e9 est constitu\u00e9 des contacts rencontr\u00e9s par l\u2019utilisateur positif\u00a0\u00bb<\/em>. Sous-entendu\u00a0: tous les contacts, et non pas seulement les plus proches. \u00ab\u00a0Le calcul de l\u2019exposition au risque d\u2019un des contacts de cet historique de proximit\u00e9 est effectu\u00e9 sur le serveur\u00a0\u00bb<\/em>, poursuit le minist\u00e8re. C\u2019est le serveur qui va d\u00e9terminer, entre tous les contacts de la personne positive, ceux qui auront \u00e9t\u00e9 expos\u00e9s suffisamment pr\u00e8s et suffisamment longtemps.<\/p>\n

\u00ab\u00a0Ce qui serait plus respectueux de la vie priv\u00e9e, c\u2019est que le t\u00e9l\u00e9phone calcule\u00a0\u00bb<\/em>\u00a0lui-m\u00eame la distance qui le s\u00e9pare d\u2019un autre rep\u00e9r\u00e9 par Bluetooth, puis envoie au serveur, le cas \u00e9ch\u00e9ant, seulement ceux qui seront rest\u00e9s assez pr\u00e8s, assez longtemps, estime Ga\u00ebtan Leurent.\u00a0\u00ab\u00a0Ce qui est dommage, c\u2019est que si on envoie tous les contacts, c\u2019est beaucoup plus d\u2019infos que ce qui est utile. Il y a un risque sur la vie priv\u00e9e en cas de r\u00e9identification ou de recyclage des infos par malveillance.\u00a0\u00bb<\/em><\/p>\n

Car la port\u00e9e du Bluetooth peut aller, selon la puissance des appareils, \u00e9metteurs et r\u00e9cepteurs, jusqu\u2019\u00e0 une\u00a0vingtaine de m\u00e8tres\u2026 La quantit\u00e9 de gens crois\u00e9s \u00e0 moins de\u00a0vingt m\u00e8tres dans une journ\u00e9e, \u00e9ventuellement pendant seulement quelques secondes, comme quelqu\u2019un sur le trottoir d\u2019en face, est \u00e9videmment sans comparaison avec le nombre de personnes vues un quart d\u2019heure \u00e0 moins d\u2019un m\u00e8tre.<\/p>\n

Pour Baptiste Robert, hacker et chercheur en s\u00e9curit\u00e9 informatique qui a particip\u00e9 \u00e0 la recherche de bugs dans l\u2019application, l\u2019envoi de tous les contacts permet \u00ab\u00a0de voir des r\u00e9currences\u00a0\u00bb\u00a0<\/em>: chaque jour,\u00a0\u00ab\u00a0on croise les m\u00eames personnes, on bosse avec les m\u00eames personnes\u00a0\u00bb<\/em>. Ainsi, des acteurs mal intentionn\u00e9s pourraient \u00ab\u00a0r\u00e9identifier la donn\u00e9e assez rapidement\u00a0\u00bb<\/em>. Il regrette le choix qui a \u00e9t\u00e9 fait, car selon lui, \u00ab\u00a0l\u2019appli pourrait trier ce qu\u2019elle envoie\u00a0\u00bb<\/em>.<\/p>\n

Le math\u00e9maticien Paul-Olivier Dehaye, sp\u00e9cialiste des donn\u00e9es personnelles, coauteur d\u2019une tribune titr\u00e9e\u00a0\u00ab\u00a0StopCovid est un projet d\u00e9sastreux pilot\u00e9 par des apprentis sorciers\u00a0\u00bb<\/a><\/u>, se dit aupr\u00e8s de Mediapart \u00ab\u00a0surpris\u00a0\u00bb<\/em>\u00a0puis \u00ab\u00a0sid\u00e9r\u00e9\u00a0\u00bb<\/em> du choix qui a \u00e9t\u00e9 fait par la France. \u00ab\u00a0\u00c7a fait beaucoup de contacts\u00a0\u00bb<\/em>, souligne-t-il, et m\u00eame s\u2019il \u00ab\u00a0ne s\u2019agit que de pseudos, l\u2019\u00c9tat et beaucoup d\u2019autres ont tout pour passer au-del\u00e0 de ces pseudos\u00a0\u00bb<\/em>.<\/p>\n

Au contraire, proteste le secr\u00e9tariat d\u2019\u00c9tat, \u00ab\u00a0il n\u2019y a pas de possibilit\u00e9 de reconstitution de graphe social par le serveur puisqu\u2019il ne conserve que les donn\u00e9es relatives \u00e0 la personne expos\u00e9e (et non \u00e0 la personne positive)\u00a0\u00bb<\/em>.<\/p>\n

Le stockage et le transfert des contacts brefs est justifi\u00e9, selon le secr\u00e9tariat au num\u00e9rique, par le fait que tous les quarts d\u2019heure, un nouvel identifiant est attribu\u00e9 \u00e0 chaque appareil. Ainsi, un contact qui ne durerait que 5 minutes pourrait \u00eatre la suite d\u2019un contact de douze minutes\u00a0: deux contacts que seul le serveur est capable de relier pour comprendre qu\u2019il s\u2019agit en r\u00e9alit\u00e9 d\u2019un seul, de 17 minutes, donc \u00e0 risques.<\/p>\n

Pour rem\u00e9dier \u00e0 cette difficult\u00e9, le chercheur en cryptographie\u00a0Ga\u00ebtan Leurent pense \u00ab\u00a0qu\u2019il y aurait des moyens assez simples de limiter le probl\u00e8me\u00a0\u00bb<\/em>. Par exemple, \u00ab\u00a0le t\u00e9l\u00e9phone pourrait filtrer les donn\u00e9es pour ne garder les contacts courts que quand ils sont juste avant ou juste apr\u00e8s un changement d\u2019identifiant. \u00c7a \u00e9liminerait d\u00e9j\u00e0 la majorit\u00e9 des contact courts\u00a0\u00bb.<\/em><\/p>\n

La Commission nationale de l\u2019informatique et des libert\u00e9s (Cnil) avait\u00a0rappel\u00e9, dans sa d\u00e9lib\u00e9ration du 25\u00a0mai \u00ab\u00a0portant avis\u00a0\u00bb<\/em> sur le projet de d\u00e9cret, que les atteintes \u00ab\u00a0au respect de la vie prive\u0301e et a\u0300 la protection des donne\u0301es a\u0300 caracte\u0300re personnel<\/em>\u00a0\u00bb<\/em> devaient \u00eatre \u00ab\u00a0non seulement justifie\u0301es par un motif d<\/em>\u2019<\/em>inte\u0301re<\/em>\u0302<\/em>t ge\u0301ne\u0301ral<\/em>\u00a0\u00bb<\/em> mais aussi \u00ab\u00a0ne\u0301cessaires et proportionne\u0301es a\u0300 la re\u0301alisation de cet objectif\u00a0\u00bb<\/em>.\u00a0Par exemple, s\u2019agissant de la dur\u00e9e de l\u2019historique, les contacts transmis ne\u00a0doivent pas remonter au-del\u00e0 de 48 heures avant le d\u00e9but des sympt\u00f4mes de la personne qui se d\u00e9clare positive.<\/p>\n

La Cnil\u00a0prenait acte, toutefois, \u00ab\u00a0de ce que l\u2019algorithme permettant de de\u0301terminer la distance entre les utilisateurs de l<\/em>\u2019<\/em>application reste a\u0300 ce stade en de\u0301veloppement et pourra subir des e\u0301volutions futures<\/em>\u00a0\u00bb<\/em>. Ce calcul de distance est un point crucial pour toutes les applications de tracing<\/em>, et notamment celles qui s\u2019appuient sur le Bluetooth, lequel n\u2019est pas fait pour mesurer des distances mais pour \u00e9changer des informations.<\/p>\n

Afin de voir ce qu\u2019il se passe r\u00e9ellement dans l\u2019application, la Commission nationale de l\u2019informatique et des libert\u00e9s a ensuite annonc\u00e9 le 4\u00a0juin une campagne de contr\u00f4le<\/a><\/u> de StopCovid et des fichiers Sidep et Contact Covid mis en place par le gouvernement dans le cadre de la lutte contre la pand\u00e9mie de Covid-19. Parmi les points de contr\u00f4le, figurent notamment \u00ab\u00a0les flux de donn\u00e9es et les destinataires\u00a0\u00bb<\/em>.
\n\u00ab\u00a0Ces constatations pourront conduire, en cas de manquements graves ou r\u00e9p\u00e9t\u00e9s, \u00e0 l\u2019adoption de mesures correctrices, telles que des mises en demeure et\/ou des sanctions\u00a0\u00bb<\/em>, annon\u00e7ait l\u2019autorit\u00e9 ind\u00e9pendante de contr\u00f4le. En r\u00e9ponse \u00e0 nos questions, la Cnil s\u2019est retranch\u00e9e derri\u00e8re des contr\u00f4les \u00ab\u00a0en cours\u00a0\u00bb<\/em>, dont les r\u00e9sultats ne sont pas encore connus.<\/p>\n

Le secr\u00e9tariat d\u2019\u00c9tat au num\u00e9rique affirme quant \u00e0 lui que \u00ab\u00a0ces informations sur le fonctionnement de l\u2019application, et en particulier le fait que le calcul d\u2019exposition se fait sur le serveur, sont bien celles audit\u00e9es par la Cnil qui a jug\u00e9 sur cette base que l\u2019application respecte bien le principe de minimisation des donn\u00e9es\u00a0\u00bb<\/em>. La Direction g\u00e9n\u00e9rale de la sant\u00e9, responsable du traitement des donn\u00e9es, ne nous avait pas r\u00e9pondu au moment de la publication.<\/p>\n

\u00ab\u00a0En d\u00e9pit de l\u2019amoncellement des textes<\/em>, regrette l\u2019avocat Vincent Brengarth, on accuse en France, et en pratique, un retard consid\u00e9rable en mati\u00e8re de protection des donn\u00e9es personnelles\u00a0\u00bb<\/em>. Si la collecte des donn\u00e9es effectu\u00e9e par l\u2019application exc\u00e9dait ce qui est pr\u00e9vu par les r\u00e8glements qui l\u2019encadrent, elle pourrait selon lui constituer une atteinte aux droits de la personne, y compris par n\u00e9gligence, et tomber sous le coup des articles 226-16 et suivants du Code p\u00e9nal.<\/p>\n

Plus g\u00e9n\u00e9ralement, Vincent Brengarth regrette que le consentement \u2013sur lequel repose enti\u00e8rement cette application\u2013 soit de plus en plus souvent d\u00e9tourn\u00e9, et m\u00eame retourn\u00e9\u00a0: celui-ci \u00ab\u00a0devient un gage de protection\u00a0\u00bb<\/em> de ceux qui l\u2019ont recueilli, \u00ab\u00a0plut\u00f4t que des personnes qui l\u2019ont donn\u00e9\u00a0\u00bb<\/em>.<\/p>\n

Mediapart<\/strong><\/p>\n

Lire aussi<\/strong><\/p>\n