Covid-19 (Coronavirus-2019nCoV)

Médiapart - StopCovid, la crise de confiance

il y a 1 semaine, par Info santé sécu social

23 JUIN 2020 PAR GÉRALDINE DELACROIX

Est-ce le déclin de l’épidémie ou le manque de confiance dans l’exécutif ?

Cédric O a confirmé ce mardi la faiblesse de l’usage de l’application, qui n’a permis de « prévenir » que 14 personnes d’un contact à risques. Alors qu’une nouvelle version doit réduire la quantité d’informations transmises, Mediapart revient sur les inquiétudes que StopCovid soulève pour la vie privée.

Disponible depuis le 2 juin, l’application StopCovid n’a cessé d’essuyer les critiques. L’association Anticor a saisi le parquet financier au sujet des dépenses qu’elle génère, Cédric O a reconnu lui-même que son utilité était « relative » et les opposant·e·s au principe même d’une telle application n’ont pas fait taire leurs inquiétudes, tandis qu’Amnesty International affichait quelques critiques.

Ce mardi matin, le secrétaire d’État au numérique a donc tenté sur tous les fronts une opération de sauvetage et tenu une conférence de presse, accompagné notamment de Bruno Sportisse, patron de l’Institut national de recherche en informatique (Inria), auquel le gouvernement a confié le pilotage du projet, de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), et de Vittoria Colizza, directrice de recherches à l’Inserm.

L’application sera mise à jour d’ici jeudi, ont-ils annoncé, avec deux changements majeurs détaillés par Bruno Sportisse. Le captcha fourni par Google, cet outil qui permet à l’application de vérifier qu’elle a bien affaire à un être humain, et non à un robot, sera remplacé par un captcha « autonome », comprendre développé en France, en l’occurrence « à partir d’un travail d’Orange ». Mais aussi, confirmant le problème souligné par Mediapart, un « filtre » sera mis en place au niveau de l’application « pour que ne soient partagés [c’est-à-dire remontés au serveur central – ndlr] que les contacts significatifs, en temps et en exposition ».

L’application transmet en effet au serveur, si l’on se déclare touché par le virus, les identifiants de toutes les personnes qu’elle a été capable de détecter, jusqu’à plusieurs mètres de distance, et brièvement. Bruno Sportisse et Cédric O ont expliqué que ce procédé figurait déjà dans le protocole Robert, qui dessine le cadre théorique du développement de l’application. Il n’en reste pas moins que ce fonctionnement n’est pas celui qui a été autorisé par l’arrêté du 30 mai 2020, comme nous l’expliquions.

Alors qu’un contrôle de la Cnil est imminent, ce n’est pas non plus ce que la Commission nationale de l’informatique et des libertés avait validé, c’est-à-dire, comme elle l’a confirmé au site Numerama, « un dispositif où ne remontent au serveur central que les identifiants des personnes exposées » pendant « 15 minutes à moins d’un mètre ».

Cette différence entre ce qui était prévu et ce qui a été fait courir à l’application le risque de se trouver hors de la légalité. Selon la Cour européenne des droits de l’homme (Cedh), nous explique le juriste Vincent Couronne, membre du collectif Les Surligneurs et chercheur associé au laboratoire Versailles Institutions publiques, « toute violation de la vie privée doit être prévue par la loi, or ici, si l’application prend plus de données que prévu par la loi ou le décret, la violation de la vie privée n’est plus justifiée ».

Sur ce fondement, un référé-liberté devant le Conseil d’État aurait pu compliquer la vie de StopCovid, comme cela vient d’arriver au Health Data Hub. Saisi par une quinzaine de personnalités et d’organisations, le Conseil d’État a demandé au gouvernement, jeudi 18 juin (lire notre article), de fournir à la Cnil, dans un délai de cinq jours, « tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier […] que les mesures prises en la matière […] assurent une protection suffisante des données de santé ».

« Nous n’avons pas de problèmes de confidentialité ni de vie privée, toutes les craintes de fuite de données, de réidentification des personnes malades ou de leurs contacts, ne sont pas arrivées », a balayé Cédric O, ajoutant : « Je touche du bois. »

Mais le problème, en réalité, ne concerne pas grand monde. L’appli n’a été activée que 1,816 million de fois, pour 1,9 million de téléchargements – à comparer aux près de 12 millions de téléchargements en Allemagne. Seules 190 000 personnes se sont enregistrées la dernière semaine, tandis que les désinstallations s’accéléraient, a précisé Cédric O, pour atteindre le chiffre de 460 000. Le secrétaire d’État y voit l’effet du recul de l’épidémie et des gestes barrières.

Surtout, seules 68 personnes se sont déclarées porteuses du coronavirus et ont rencontré 205 contacts. Parmi ces contacts, seuls 14 ont été notifiés du risque encouru. Un chiffre étonnant, a reconnu Cédric O, qu’il faudra « confirmer par des études de terrain » : « Nous ne pouvons pas savoir si le chiffre de 14 notifications est logique ou pas, car nous ne connaissons pas les gens. »

Vittoria Colizza, directrice de recherches à l’Inserm, veut voir le bon côté des choses : « C’est le moment idéal pour tester » l’application, vérifier ses « apports » et les hypothèses de transmission du virus. Le gouvernement encourage d’ailleurs le téléchargement de StopCovid en Guyane, où l’épidémie est plus vive. « L’expérience montre qu’il existe toujours un risque de reprise », a mis en garde l’épidémiologiste Simon Cauchemez, qui espère que le public verra « l’intérêt collectif et l’intérêt individuel ». « On a été débordés au début », a-t-il reconnu. StopCovid permet « d’identifier des contacts qui ne pourraient pas l’être autrement », a-t-il plaidé.

L’application a été téléchargée 1,9 million de fois. © AFP
L’application a été téléchargée 1,9 million de fois. © AFP
Contrairement à la plupart des pays européens, la France a choisi un dispositif dit « centralisé », dans lequel les informations de contact rejoignent un serveur central. Le Royaume-Uni, qui était lui aussi parti dans cette direction, y a renoncé, au profit d’une solution décentralisée appuyée sur les outils mis en place par Apple et Google.
Au niveau européen, la Commission a poussé, mi-juin, pour la compatibilité des applis entre les différents pays, et reproché à la France d’avoir choisi une autre voie. Cédric O a relativisé la critique, affirmant que les applications n’étaient pas compatibles entre elles – et que l’idée n’était pas aussi simple que de télécharger l’appli du pays où l’on se rend. « Il n’y a pas d’interopérabilité entre les applications italiennes et allemandes », par exemple, car cela nécessiterait, selon lui, « un travail juridique et technique ».

Une piste pour remettre les Européens d’accord pourrait être le protocole Desire, « suite logique » du protocole Robert et « bon candidat à l’interopérabilité », dit Bruno Sportisse. Un protocole sur lequel travaille l’Inria depuis déjà plusieurs semaines et qui propose un fonctionnement radicalement différent.

Le choix français de la centralisation a fait l’objet, dès le début, de nombreuses critiques. Dans un tel système, « le problème potentiel est celui de la désanonymisation », précise Étienne Maynier, technologiste pour Amnesty International, qui a étudié différentes applications mises en place à travers le monde, dont StopCovid. Le protocole Robert avait exposé « plusieurs façons de pallier ce problème, comme par exemple en ayant des serveurs intermédiaires dans les hôpitaux. Mais aucune de ces solutions n’a été implémentée », regrette-t-il.

En défense du serveur centralisé, l’Inria a plaidé que les attaques y seraient plus difficiles. Mais pour Étienne Maynier, « ce n’est pas clair, ni dans un sens ni dans l’autre. On est encore dans un débat de recherche scientifique, et on manque de recul sur les différentes solutions, et pourtant les applications sont déployées ».

Pour Olivier Blazy, enseignant chercheur en cryptographie à l’université de Limoges, « si on admet qu’un système centralisé est préférable, on peut faire quelque chose de moins dangereux que StopCovid, c’est un peu dommage [de ne pas l’avoir fait] ». Une fois l’appli disponible, « les points laissés sous le tapis sont apparus », regrette aussi François Lesueur, enseignant-chercheur de l’Institut national des sciences appliquées de Lyon et l’un des plus actifs dans la critique, qu’il aimerait constructive, de l’application.

Un des autres grands problèmes du système centralisé est celui de la gestion des adresses IP, déjà évoquée dans Numerama. « Le protocole Robert, à la base, botte en touche sur le problème de l’adresse IP », regrette Étienne Maynier. Alors que sans adresse IP, dont la collecte est également nécessaire pour des raisons de sécurité, et obligatoire, il n’y a pas d’Internet du tout, pas de communication possible, souligne François Lesueur. « L’adresse IP arrive obligatoirement au serveur pour qu’il puisse vous répondre, et dire si oui ou non vous vous avez été en contact », détaille Oliver Blazy. « La question est : sont-elles stockées, où et comment ? », s’interroge Étienne Maynier. Contacté par Mediapart, l’Inria n’a pas apporté de réponse à cette question.

Pour Olivier Blazy, le problème de l’adresse IP se répète même « deux fois », puisque les fournisseurs d’accès vont eux aussi enregistrer la trace d’une communication avec le serveur StopCovid. Il souligne en outre que l’application est émettrice de données : on peut ainsi détecter sa présence dans le téléphone de n’importe qui et… il existe déjà (au moins) une application pour cela. Un utilisateur motivé peut donc savoir, par exemple, si quelqu’un est équipé autour de lui.

Mais il y a bien pire, affirme Oliver Blazy : « Quand on va communiquer avec le serveur, lui dire “je suis malade”, le serveur ne répond pas. Et cette absence de réponse permet à quelqu’un d’extérieur, comme un fournisseur d’accès, de voir que telle personne est positive : c’est le seul cas où la communication est à sens unique. »

Côté serveur, il existe également des points d’opacité. « C’est compliqué d’être transparent sur ce qu’il y a dans un serveur, reconnaît Étienne Maynier, d’Amnesty International. Le code du serveur est en partie open source, mais son architecture est un peu complexe, pour des raison de sécurité et de tenue de charge. Mais l’ensemble des composants et les données enregistrées par chacun pourraient être publics, ça amènerait beaucoup plus de transparence. »

« Le serveur peut évoluer dans son coin sans qu’on le sache », regrette ainsi François Lesueur. On ne peut pas non plus savoir ce qu’il fait des données, et si elles sont bien détruites au bout de deux semaines. L’Inria n’a pas non plus répondu à nos questions sur le sujet.

« Le concept est nouveau, et le fait que ce soit déployé par l’État soulève des questions en termes de vie privée, souligne Étienne Maynier. On a très peu de recul, on s’aperçoit souvent que dans une technologie comme ça, il est difficile de surveiller des scénarios d’abus. Que se passerait-il en cas de saisie de téléphones avec StopCovid par la police par exemple ? » « Les applis décentralisées, poursuit-il, apportent de ce point de vue une meilleure garantie en supprimant le serveur central. » Il relativise néanmoins les risques : « Dans le pire des cas, l’État ne pourrait accéder qu’aux interactions des personnes qui se déclarent positives. » Un risque qui existe aussi avec le recueil des adresses IP, redoute François Lesueur : « Le risque est que l’État tout à coup veuille demander cette information aux opérateurs. »

Après son lancement raté, tout l’enjeu pour le gouvernement est de rétablir la confiance avant une éventuelle deuxième vague épidémique. « On est loin de dire que c’est une appli de surveillance de masse, tient à affirmer Étienne Maynier (Amnesty International). Ce qui est dommage, c’est que des obstacles identifiés dans la création du protocole sont encore là. »
« La facilité aurait été de laisser faire les gafa » et d’adopter la méthode décentralisée proposée par Google et Apple, a plaidé ce mardi matin Guillaume Poupard. La France ne peut pas, selon lui, « se décharger sur des acteurs numériques privés non européens d’une question de santé publique ». Mais si elle veut que son application soit utile, elle doit encore convaincre non seulement de son efficacité sanitaire, mais aussi de son innocuité pour la vie privée.