Censée se limiter aux identifiants de personnes croisées à moins d’un mètre pendant quinze minutes, l’application de traçage numérique française collecte les données de tous les détenteurs de smartphones croisés à la ronde, d’après un chercheur en cryptographie.
StopCovid était déjà largement critiquée, notamment pour son manque d’efficacité et pour son nombre d’activations moins important qu’espéré – 1,4 million de fois, soit 2% de la population française. Elle l’est désormais sur un terrain tout autre: sa propension à récolter plus de données personnelles qu’annoncé selon un expert.
D’après Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et automatique (Inria), l’application de traçage numérique ne se restreindrait pas à la seule collecte d’identifiants de personnes croisées à moins d’un mètre et durant quinze minutes, loin de là.
Des identifiants collectés à cinq mètres
Sollicité par Mediapart, il indique que l’application collecte, et transfère le cas échéant au serveur central, les identifiants de toutes les personnes qui se sont croisées via le service, sur les quatorze derniers jours.
“J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique. (Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé.)”, écrit-il ainsi sur plateforme de développement de l’application, en précisant que cela pose “un vrai danger pour la vie privée”.
Des contrôles “en cours”
Le problème en l’occurrence? La distance de cinq mètres, plus large que celle prévue à l’origine. Les critères de filtrage des données – moins d’un mètre pendant au moins quinze minutes – ne viennent s’appliquer au serveur central qu’une fois ces informations collectées, pas avant.
La Commission nationale informatique et libertés (Cnil) a fait savoir à Mediapart que des contrôles étaient “en cours” à ce propos. Auprès de Mediapart, le Secrétariat d’Etat au Numérique indique pour sa part qu’un nouvel identifiant est attribué à chaque appareil tous les quarts d’heure.
“Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes: deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques”, justifie-t-il. Pour Gaëtan Leurent, le problème pourrait néanmoins être limité par le biais de “moyens assez simples”… et éviter ainsi une collecte indue de données.