C’était pourtant une promesse de Cédric O, le secrétaire d’Etat au numérique :
« Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique ».
La collecte d’informations liées à un utilisateur de StopCovid devait se limiter à ces contacts-là : et non à la totalité des personnes croisées, comme c’est, en réalité, le cas.
Gaëtan Leurent, chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria, qui s’occupe du projet StopCovid), a découvert le pot aux roses.
Sur la plate-forme de développement de l’application, il raconte comment il a découvert que « tous les contacts croisés pendant les quatorze derniers jours » sont envoyés au serveur central hébergeant les données liées à StopCovid.
« StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée »
« J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique. (Je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé.) »
Cela alors que le décret et l’arrêté qui ont créé StopCovid prévoient pourtant clairement que « l’historique de proximité » de l’utilisateur est constitué des identifiants des téléphones s’étant trouvés pendant quinze minutes à moins d’un mètre d’une personne diagnostiquée positive.
Le secrétariat d’Etat au numérique n’a pas remis en cause ces révélations, mais a voulu les justifier :
« tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil » : « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. »
La Commission nationale informatique et libertés (CNIL) a fait savoir que des contrôles étaient « en cours » sur le sujet.
StopCovid n’a été activée qu’à 1,4 million de reprises, soit par environ 2 % de la population française.
Source : lesalonbeige