Le gouvernement l'avait assuré : StopCovid ne devait collecter que les données des personnes côtoyées par l'utilisateur pendant plus de 15 minutes et à moins d'un mètre de distance. Pourtant, aujourd'hui, un chercheur français en cryptographie affirme que l'application recueille et transfère les identifiants de tous les individus croisés via l'application.
Gaëtan Leurent travaille pour l'Institut national de recherche en informatique et en automatique, qui s'occupe du projet StopCovid. C'est lui qui a fait cette découverte, révélée par Mediapart.
Sur la plate-forme de développement de l'application, le chercheur explique comment il a «fait un test» en installant StopCovid sur deux téléphones. L'expert en cryptographie a activé l'application «une dizaine de secondes» sur les deux appareils, placés «dans deux pièces différentes (environ 5 mètres de distance, plus un mur)». Conclusion : «Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique», écrit Gaëtan Leurent.
StopCovid collecte donc des informations qui ne sont pas utiles pour tracer la propagation du virus «mais qui pose un vrai danger pour la vie privée», insiste le chercheur.
I just realized that #StopCovid seems to send all contacts to the server, even passing on the other side of the street. This would contradict the official decree (contacts of 15min at 1m), and violate data minimization principle required by @CNIL and #GDPRhttps://t.co/tV7yj0AuSZ
— Gaëtan Leurent (@cryptosaurus6) June 12, 2020
Contactée par Mediapart, la Commission nationale informatique et libertés (Cnil) a fait savoir que des contrôles étaient en cours. Par ailleurs, le secrétariat d'Etat au numérique a expliqué qu'«un nouvel identifiant est attribué à chaque appareil tous les quarts d'heure. Ainsi un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques.»
Une justification que Gaëtan Leurent juge insuffisante. Le chercheur estime «qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant».
Jeudi 11 juin Cédric O, secrétaire d'Etat au numérique, a indiqué que StopCovid a été téléchargée 1,5 million de fois, plus d'une semaine après son lancement. Pour l'instant, elle n'a donné lieu qu'à «une poignée» de notifications. Si le gouvernement l'estime utile «dès les premiers téléchargement», notamment en milieu urbain, il est certain que l'efficacité de cette application dépend largement du nombre de personnes qui l'utilisent.