Pas d'envoi de données de contact de moins d'1 mètre et de moins de 15 minutes entre deux téléphones munis de StopCovid. C'était la condition de respect de la vie privée imposée à l'application StopCovid qui vole aujourd'hui en éclat. Cette application de traçage a pour but de faciliter la prise de contact avec toutes personnes potentiellement contaminée par la Covid-19. Son installation est volontaire, le 9 juin dernier StopCovid a été activé sur 1,4 millions de téléphone soit un couverture estimée de 2% de la population.

Or, le 12 juin, Gaëtan Leurent - chercheur à l'Institut national de recherche en sciences et technologies du numérique (Inria) - a déposé un message sur une plate-forme de détection des bugs relevant une anomalie. Selon ce spécialiste informatique, lorsqu'un utilisateur se déclare malade, l'application StopCovid recueille tous les contacts croisés pendant les 14 derniers jours sans aucun filtre de durée du contact ou de distance entre les téléphones. "Elle envoie donc une grande quantité de données au serveur qui ne présentent pas d'intérêt pour tracer la propagation du virus, mais qui représentent un vrai danger pour la vie privée" alerte-il. 

Il est parvenu à ce constat en activant l'application une dizaine de seconde sur deux téléphones munis de cette application et disposés dans deux pièces différentes à environ 5 m de distance. "Quand je me déclare comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique, relate-t-il. Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé." Une expérience qui démontre que l'application ne respecte pas les conditions de durée et de distance mentionnées par l'arrêté en vigueur depuis le 17 juin dernier.

La CNIL interrogée

StopCovid nous surveille-t-il ? Contacté par Mediapart, le secrétariat d'État au numérique justifie cette "indiscrétion": "Tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil; ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes et seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul contact de 17 minutes, donc à risques." Mais ces explications ne convainquent, cependant, pas Gaëtan Leurent, qui pense "qu’il y aurait des moyens assez simples de limiter le problème". "Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant," explique-t-il. 

Mediapart a également questionné la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle notamment de cette application. La CNIL a fait état de contrôles "en cours". Le cabinet du secrétaire d'État en charge du numérique assure que la CNIL connait parfaitement le fonctionnement de l'application et rappelle qu'elle a autorisé son déploiement en connaissance de cause.

Par ailleurs, dans son rapport d'erreur, le chercheur note également la présence dans le code d'un algorithme de distance "apparemment pas utilisé par le reste de l'application" mais qui, selon lui, "présente un vrai risque pour le serveur d'apprendre le graphe social des utilisateurs." Une crainte de surveillance numérique souvent mise en avant par la Quadrature du Net qui déconseille l'utilisation de cette application.

"Tous les contacts à portée de bluetooth sont remontés"

Sur la toile, certains codeurs comme Yoann Gini, président d'une société de conseil numérique, profitent de cette actualité pour démonter la structure de l'application. Dans un long fil de message sur les réseaux sociaux, il analyse le code de l'application et souligne les nombreuses opportunités où un filtre peut-être programmé dans le code. "On a donc bien la confirmation que StopCovid envoie trop d'informations en cas de déclaration d'une personne malade, bien trop de contacts sont remontés, tous ceux à porté de bluetooth en réalité et non ceux à moins d'un mètre", affirme-t-il après sa démonstration avant d'enfoncer le clou: "Ma relecture de code fut franchement rapide, et montre à quel point cette application n'est ni faite ni à faire."

Or ce code pose également problème à... Margrethe Vestager, la commissaire européenne en charge du numérique et de la concurrence. La politicienne danoise, connue pour son bras de fer contre les géants numériques américains. Elle a critiqué durant la Commission des Affaires Européennes et des Affaires Économiques du Sénat, le 16 juin, le choix français. "Les États-membres se sont mis d’accord sur des spécifications techniques et sur une décentralisation des données de ces téléphones. Cela met la France dans une situation spécifique car il faut un système décentralisé, cela pose la question de l’interopérabilité [entre les différents systèmes de traçage européens]", a-t-elle expliqué.

Absence d'appel d'offre

À ces problèmes de coopération dans l'espace Schengen, s'ajoute une efficience réelle mais limitée au regard de l'étude des chercheurs d'Oxford publiée dans Science qui estiment qu'il faut une couverture de 60% de la population pour qu'une application de traçage puisse avoir un 'impact significatif'. Enfin, Anticor - association de lutte contre la corruption - a déposé un signalement auprès du Parquet national financier à la suite des révélations de l'Obs. Selon l'hebdomadaire, la maintenance et l'hébergement de l'application - gratuite - est assurée par la société Outscale, filiale de Dassault Systèmes, pour un coût d’exploitation estimé à un montant de 200.000€ à 300.000€, par mois. Or Anticor assure qu'aucun appel d'offre n'a été fait pour ce contrat engageant de l'argent public. "Anticor rappelle que le gouvernement est tenu de procéder à un appel d’offres à partir de 139 000 euros HT pour les marchés de fourniture et de services, selon les règles de la commande publique. Les manquements aux règles relatives à la commande publique ont un impact sur la vie démocratique mais également sur les comptes publics et le coût d’exploitation est ici bien supérieur aux pratiques du secteur". L'association s’interroge donc sur les conditions dans lesquelles la décision de confier à cette société la maintenance de l’application a été prise.