Une app StopCovid très curieuse au final
Attendue au tournant, l'application gouvernementale StopCovid envoie des données d'identification de tous les contacts croisés par une personne et non seulement celles de malades du Covid-19 cotoyés à moins d'un mètre pendant 15 minutes. Dans le même temps, l'Ordre des Médecins s'inquiète à propos de la conservation des données patients atteints du Covid-19.
Lorsque l'application StopCovid avait été annoncée par le gouvernement, seules les données d'identifiants des téléphones en contact pendant quinze minutes à moins d'un mètre d'une personne malade du Covid-19 devaient être remontées. Or, d'après Gaetan Leurent, chercheur en chiffrement à l'INRIA - qui a participé à la conception de StopCovid - il apparait que les données remontées aux serveurs du gouvernement soient loin de se limiter au fameux historique de proximité promis par le ministère de la Santé et le secrétariat d'Etat au Numérique. Alors que seuls les contacts avec un risque de transmission (moins d'un mètre pendant plus de 15 mn) étaient censés être pris en compte, ce sont en fait tous les contacts croisés pendant 14 jours qui sont considérés.
« J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de seconde avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé). Ce comportement est aussi confirmé par les administrateurs StopCovid », prévient Gaetan Leurent.
Une solution de contournement non choisie
Contacté par Mediapart concernant ce constat gênant, un porte-parole du secrétariat d'Etat chargé du Numérique a tenté d'expliquer la situation : « tous les quarts d'heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d'un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu'il s'agit en réalité d'un seul, de 17 minutes, donc à risques. » Pour éviter tout souci, Gaetan Leurent pense quant à lui que des moyens simples auraient pu être mis en oeuvre pour limiter le problème : « Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d'identifiant ».
Cette découverte arrive au plus mal : alors que le nombre de téléchargements de StopCovid est loin de crever les plafonds (1,5 million en une quinzaine de jours), jusqu'à présent seule « une poignée » de signalements de malades du Covid-19 ont été remontés d'après les dernières données gouvernementales alors que parallèlement le nombre de clusters s'est multiplié, sans heureusement toutefois faire repartir l'épidémie à ce stade. Mais le pire pourrait venir : le 15 juin, l'Ordre des médecins a alerté sur la conservation des données des patients atteints du Covid-19 par l'Etat dans les fichiers SIDEP et AmeliPro. « L'Ordre des Médecins s'inquiète du revirement du gouvernement dans le cadre de l'article 2 du projet de loi 3 077 organisant la fin de l'urgence sanitaire. Cet article 2 prévoit une durée de conservation supérieure à trois mois pour certaines données collectées aux fins de lutter contre l'épidémie de Covid‑19 sans débat parlementaire alors que la situation sanitaire est en voie d'extinction », indique l'institution dans un communiqué ».