Coronavirus: télécharger l’application StopCovid, une bonne idée ?

Alors que le déconfinement se poursuit progressivement en région parisienne, l'appli StopCovid est désormais disponible. Si le téléchargement se fait sur la base du volontariat, l’outil fait toujours l’objet de critiques sur son utilité même.

Le lancement de StopCovid, l’outil de traçage numérique du gouvernement face à l’épidémie de coronavirus, était initialement prévu lundi midi via l’App Store pour les utilisateurs d’iPhone et via le Play Store pour ceux d’Android.
Le lancement de StopCovid, l’outil de traçage numérique du gouvernement face à l’épidémie de coronavirus, était initialement prévu lundi midi via l’App Store pour les utilisateurs d’iPhone et via le Play Store pour ceux d’Android. © MAXPPP
Même si le lancement prévu ce lundi midi a au final été retardé de plusieurs heures, installer StopCovid ne demande à l'utilisateur que quelques minutes sur son smartphone. Téléchargeable via l’App Store (Apple) et le Play Store (Google), l’application demande un accès au Bluetooth, et de confirmer une mention "activée" affichée sur l’écran. Pour le reste, le principe est assez simple, sur le papier : lorsqu’une personne est testée positive au coronavirus, elle reçoit un code avec ses résultats, qu’elle est invitée à rentrer sur l’appli afin de déclarer son statut. Ainsi, les autres utilisateurs avec qui la personne malade est restée en présence plus de 15 minutes et à moins d’un mètre, et ce au cours des 14 derniers jours, sont censés être avertis par une notification.

D’après le gouvernement, l’idée est de permettre de lutter contre l’épidémie en alertant sur les "cas contacts", pour casser de possibles chaînes de contamination. L’outil doit servir "à prévenir des risques de contamination des personnes croisées que je ne connais pas, dans les magasins, les restaurants qui sont ouverts, ou les transports en commun", explique Laurence Devillers, chercheuse au CNRS, et spécialiste des interactions homme-machine. "C’est la seule manière en fait pour moi si je suis contaminée, de pouvoir leur dire d’aller se faire tester, d’essayer de s’isoler et de se soigner", affirme la chercheuse, qui recommande pour sa part de télécharger l’application.

C’est un outil de plus qui rassure

A noter que, selon le gouvernement, StopCovid – qui n’accède pas au répertoire de contacts du téléphone et ne repose pas sur la géolocalisation – est censé protéger l’identité des utilisateurs, en se basant sur des données chiffrées. Un argument partagé par Laurence Devillers : "On est devant un dilemme liberté - responsabilité, mais protéger les autres fait aussi partie de ma liberté, il y a un droit à protéger… Ça sera toujours un outil d’accompagnement pour les équipes sanitaires sur le terrain, qui vont faire des enquêtes auprès des personnes en téléphonant. Et là, c’est complètement anonymisé, "pseudonymisé", c’est-à-dire que vous êtes repérés par un pseudonyme sur un serveur. Et donc il n’y a pas du tout d’échange de vos données privées. On ne connaît pas vos noms, prénoms… On recueille le moins de données possibles sur les personnes."
durée de la vidéo: 01 min 27
StopCovid
Nicolas, un cadre de 39 ans, fait partie de ces Parisiens convaincus par les principes de l’application. "On ne sait pas s'il y aura une deuxième vague, on ne sait pas si les personnes infectées restent vraiment confinées chez elles... Je trouve qu'en dehors de la situation dans les hôpitaux, on ne sait pas grand-chose de la circulation du virus, avance ce père de deux enfants. Télécharger cette application me rassure. Ça me permet de me dire que je suis un peu plus informé, que j'en sais un peu plus des comportements des autres. Après il n'empêche que je vais continuer à porter mon masque, respecter les gestes barrières et la distanciation physique, mais c'est un outil de plus qui rassure."

Faible proportion d’utilisateurs, non-interopérabilité à l’étranger… L’efficacité et l’utilité de l’application critiquées

Du côté des critiques, la Quadrature du net, qui avait déjà alerté sur les risques potentiels que représente le projet du point de vue des libertés individuelles, pointe du doigt l’"inefficacité" du dispositif d’un point de vue technique et sanitaire.  "L’application ne sera utilisée que par une proportion assez minime de la population, explique Philippe Aigrain, cofondateur de l’association. Elle n’est pas obligatoire – un engagement que le gouvernement a pris auprès de la Commission nationale de l'informatique et des libertés [CNIL]. Si vous prenez les taux d’usage dans les pays avec des outils similaires, sur la base du volontariat, un objectif de 30% de la population serait déjà un énorme succès. Et même avec ce taux, la probabilité que deux personnes en contact aient tous l’application activée est inférieure à 10%." Pour prendre l’exemple de l’Australie, le Guardian rapporte qu’en un mois, l’appli COVIDSafe n'a permis d'identifier qu'un seul cas positif, malgré six millions de téléchargements. En France, Cédric O, le secrétaire d'État chargé du Numérique, se refuse en tout cas à communiquer un objectif chiffré. Autre inquiétude exprimée par Philippe Aigrain : même si le gouvernement met en avant un instrument complémentaire, StopCovid "risque de générer une coordination difficile avec les équipes de suivi sanitaire" selon lui. "Ça peut représenter une concurrence face au système basé sur les personnes de confiance, c’est-à-dire par exemple quand un médecin généraliste va aider un patient à se remémorer des différents contacts pour retracer la contamination. Alors que ces dispositifs apportent de vrais succès, eux, comme en Vénétie en Italie, ou dans le Massachusetts aux Etats-Unis – où des bénévoles ont été formés. Il y a aussi le problème de la distance de détection et de l’imprécision du Bluetooth, dans le métro notamment."

StopCovid a un important problème de sécurité

Les critiques contre l’efficacité de StopCovid portent aussi sur le choix fait par ses concepteurs de ne pas passer par la technologie mise à disposition par Apple et Google, basée sur une architecture décentralisée avec des données stockées sur chaque téléphone, et utilisée par des pays comme l’Allemagne, l’Italie, la Suisse ou les Pays-Bas. De quoi poser, entre autres, un problème de compatibilité avec les applications de nos voisins européens, dans un contexte de crise sanitaire mondiale. Au contraire, évoquant une question de "souveraineté numérique" pourtant dans les faits toute relative, la France a opté pour un système centralisé, impliquant l’utilisation d’un serveur central. Le spécialiste de cybersécurité Baptiste Robert, qui fait partie des personnes qui ont testé l’appli depuis le 27 mai dernier, pointe d’ailleurs sur Twitter un "important problème de sécurité" lié au système centralisé. Quand une personne testée positive rentre le code fourni avec les résultats, "tous les identifiants Bluetooth temporaires des personnes que vous avez croisées seront envoyés sur un serveur central", précise le hacker, connu sous le pseudo d'Elliot Alderson. "Le problème est que le serveur ne peut que vous croire, il ne peut pas vérifier la donnée, poursuit-il. Ainsi, si un attaquant possède un code, il pourra injecter les identifiants Bluetooth temporaires de sa cible dans les contacts qu'il est censé avoir croisé. Sa cible recevra une notification sur son téléphone pour lui dire qu'il a croisé un Covid+, ce qui est faux. Ceci est un problème de design dans le protocole. Il ne peut pas être réparé. Pour lutter contre ça, l'Inria [NdR. l'Institut national de recherche en sciences et technologies du numérique, qui pilote le projet, entouré par ailleurs d’acteurs privés] a ajouté une durée d'expiration d'1h au code, pariant sur le fait que la plupart des gens rentreront le code dans le bureau du médecin. C'est une contre mesure mais ça ne suffit pas. Le médecin ne va pas obliger le patient à rentrer le code, ça n'est pas son job et il n'en a pas l'autorité. Les gens ne vont pas tendre leur téléphone au médecin. Pour un attaquant déterminé, 1h c'est largement suffisant pour injecter des contacts. Cette limitation est connue depuis des semaines et inquiète beaucoup d'experts." Le spécialiste nuance tout de même en indiquant que "les protocoles décentralisés ne sont pas parfaits non plus et possèdent des limitations".

A long terme, Philippe Aigrain s’inquiète, lui, du symbole en termes de surveillance numérique que représente StopCovid, l’outil poussant selon lui à "être équipé en permanence d’un ange gardien", "avec en plus une forte pression sociale, parce qu’il est question du bien de tiers". Le gouvernement, de son côté, affirme que l’application sera retirée à la fin de la crise sanitaire.

 
Poursuivre votre lecture sur ces sujets
technologies économie coronavirus santé société déconfinement
l’actualité de votre région, dans votre boîte mail
Recevez tous les jours les principales informations de votre région, en vous inscrivant à notre newsletter