Recevez chaque jour toute l'actualité du numérique

x

Visuels, bug bounty, vote…Derrière ligne droite pour l'application StopCovid

L'application de pistage StopCovid sera disponible à partir de ce week-end si les parlementaires l'approuvent. Son objectif est de détecter les chaînes de transmission du Covid-19 grâce à l'utilisation du Bluetooth, aspect que la Cnil a souligné à maintes reprises pour finalement donner son feu vert à son déploiement. Un audit de type bug bounty doit encore avoir lieu pour sécuriser l'application.
Twitter Facebook Linkedin Flipboard Email
×

Visuels, bug bounty, vote…Derrière ligne droite pour l'application StopCovid
Visuels, bug bounty, vote…Derrière ligne droite pour l'application StopCovid © Brian McGowan-Unsplash

L'application StopCovid pourrait être prête dès ce week-end, a déclaré le 26 mai 2020 au Figaro le secrétaire d'Etat au Numérique Cédric O. L'objectif de ce dispositif est de casser les chaînes de transmission du virus grâce à une stratégie de suivi de l'historique de contact des personnes malades.

Une collaboration européenne

C'est dans une interview accordée au Monde le 8 avril que Cédric O et Olivier Véran, le nouveau ministre de la Santé et des Solidarités, avaient présenté StopCovid. Bien qu’à ce stade le déploiement de l’application était encore incertain, ils affirmaient déjà que le projet serait fondé sur le volontariat, le respect de la vie privée et la transparence. StopCovid a d'ailleurs été développé sous la supervision du ministère de la Santé et du secrétariat d’État chargé du Numérique. L'aspect technique a été géré par l'Institut national de recherche en sciences et technologies du numérique (Inria) qui a collaboré avec des partenaires académiques allemands comme le Fraunhofer Heinrich Hertz Institut et le Fraunhofer AISEC.

Quelques jours avant son déploiement, le gouvernement a également décidé de dévoiler quelques visuels de StopCovid qui illustrent son fonctionnement. L'application repose sur un protocole baptisé ROBERT (Robust and Privacy Preserving Proximity Tracing) qui permet, grâce aux signaux Bluetooth émis par un smartphone, de mémoriser l'historique des contacts qui ont été à moins d'un mètre pendant 15 minutes au moins. Si une personne est testée positive par la suite, ses contacts seront prévenus pour qu'ils puissent s'isoler le plus rapidement possible et se faire tester si des symptômes apparaissent.

 

La Cnil donne son feu vert

Le recours au Bluetooth n'est pas un hasard. Il a été préféré à la récolte de données de géolocalisation, beaucoup plus attentatoire à la vie privée des utilisateurs. C'est d'ailleurs l'un des points retenu par la Commission nationale de l'informatique et des libertés (Cnil) pour justifier la légalité de StopCovid. Dans un avis rendu le 25 mai 2020, l'autorité protectrice de la vie privée donne son feu vert au déploiement de l'application. Elle déclare que les principales recommandations émises dans son avis du 24 avril ont été suivies par le gouvernement.

A ce titre, elle estime que "l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus". Elle émet néanmoins une série de recommandations parmi lesquelles l'amélioration de l'information fournie aux utilisateurs, la délivrance d'une information spécifique pour les mineurs, la confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement et le libre accès à l’intégralité du code source de l'application.

La Cnil n'a pas été la seule autorité à rendre un avis sur StopCovid. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié un ensemble de conseils dont la tenue d'un audit de "type bug bounty". C'est l'entreprise parisienne Yes We Hack qui a été choisie pour vérifier la robustesse du dispositif. L'Anssi annonce le 26 mai qu'"une vingtaine d'experts répartis dans toute l'Europe vont commencer à tester la sécurité de l'application, ce mercredi 27 mai. Ils seront suivis dès le 2 juin par l’ensemble des hackers de la communauté YesWeHack qui le souhaiteront. En cas de découverte d’une vulnérabilité par la communauté, l’équipe projet StopCovid sera ainsi en mesure de procéder à la correction des bugs critiques pour le bon fonctionnement et la sécurité de l'application". Le 27 mai sera également le jour du vote à l'Assemblée nationale. Les sénateurs seront invités à se prononcer le lendemain.

Un débat parlementaire attendu

Retardé à plusieurs reprises, un débat parlementaire était réclamé par plusieurs députés qui estimaient que les enjeux en matière de libertés fondamentales étaient très importants. Certains d'entre eux se sont même montrés très réticents à cette application. La députée Paula Forteza (anciennement LREM) a cosigné, avec le chercheur en cybersécurité Baptiste Robert, un billet de blog dans lequel ils notent que le caractère "libre" et "éclairé" du consentement ne semble pas si évident même si l'utilisation du dispositif repose sur le volontariat. "Nous devrions éviter de faire porter à nos concitoyens un dilemme moral : serions-nous fautifs si nous ne téléchargeons pas cette application ? La pression sociale ou le sentiment de culpabilité pourrait faire naître un consentement induit, indirectement contraint", écrivaient-ils.

Interrogé à ce sujet, le secrétaire d'Etat au Numérique Cédric O s'est dit plutôt confiant sur le résultat du vote. "Il y a eu beaucoup de questions légitimes, mais plus nous donnons d’explications, plus les réticences diminuent. Je suis donc raisonnablement confiant et ne crains pas une division de la majorité, mais il convient que chacun s’exprime selon sa conviction", a-t-il affirmé dans une interview accordée au Figaro.

Encore beaucoup de questions

Notons que le téléchargement et l'utilisation de StopCovid reposent entièrement sur le volontariat. Conséquence de quoi, pour que le contact tracing fonctionne réellement, il faut qu'un grand nombre de personnes accepte d'utiliser l'application. D'après un sondage Odoxa réalisé en partenariat avec L'Usine Digitale, 62% des Français seraient prêt à télécharger et utiliser une application du type StopCovid. Reste à gérer la question des personnes dépourvues de smartphone et des "zones blanches".

Environ 5% des Français n'ont pas de smartphone. Un chiffre qui grimpe à 44% chez les plus de 70 ans, personnes pourtant les plus fragiles. Dans un billet publié le 3 mai sur Medium, Cédric O propose de recourir à des boîtiers ou des bracelets pour pallier au manque d'équipements. Il ajoute néanmoins que "la faisabilité d’un tel dispositif reste toutefois très incertaine et nécessitera a minima des semaines supplémentaires de développement".

Difficile de se prononcer tout de suite sur l'utilité de StopCovid. Plusieurs pays asiatiques, comme Taïwan, ont réussi à endiguer la première vague de Covid-19 en combinant pistage et dépistage massif de la population. Preuve que le contact tracing n'est qu'un des pans d'une stratégie plus globale pour lutter contre le Covid-19. "L'utilisation d'applications de suivi des contacts ne saurait être une mesure autonome et appelle, sur ce point, à une vigilance particulière contre la tentation du solutionnisme technologique", alertait la Cnil.

Autre interrogation : l'articulation de StopCovid avec des applications de pistage concurrentes. Orange, Capgemini, Dassault Systèmes, Sopra Steria et SIA Partners ont développé StopC19, une application de contact tracing qui fonctionne via le Bluetooth. L'Ile-de-France a accepté d'expérimenter cet outil. Du côté du gouvernement, l'expérimentation est très mal passée. "Si certaines régions veulent utiliser des projets déjà prêts, c'est leur responsabilité", a-t-on dit au secrétaire d'Etat au Numérique, propos rapportés par Les Echos. Est-ce que les industriels accepteront de partager les données récoltées avec l'Etat français ?

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media