Coronavirus : n’utilisez pas CoronApp pour géolocaliser les malades en France
La CoronApp promet de vous envoyer une notification si vous avez croisé une personne contaminée par le Covid-19, avec la date à laquelle vous auriez été exposé.
Mais l'application -- développée en 3 jours -- est pour l'instant bancale, et ne présente que trop peu de garanties éthiques et de sécurité dans son fonctionnement. Le chercheur en cybersécurité Baptiste Robert, connu sous l'alias @fs0c131y sur Twitter, a exprimé ses réserves sur l'application : « N’utilisez pas ce type d’app pour le moment. Le développement d’une app, c’est comme le développement d’un vaccin, il prend du temps, de la méthode, et il doit être revu par des tiers », écrit-il.
Si nous écrivons sur la CoronApp, c'est notamment parce qu'elle a fait l'objet d'une campagne de communication auprès des médias. Chez Numerama, nous avons reçu deux emails sur le sujet, datés du 20 et du 25 mars.« Même depuis le confinement, le virus Covid-19 continue sa propagation, faisant toujours plus de contaminés. Christophe Mollet, Fondateur de l'agence web ITSS, pense qu'en plus des solutions citées précédemment, la contre-attaque doit être technologique. Entouré d'une équipe d'informaticiens chevronnés, il a lancé un pari fou : créer en 72h une application géolocalisée pour lutter contre la prolifération du Covid-19 nommée 'CoronApp ' », lit-on sur le communiqué de presse. L'application a été présentée dans le Parisien, Stratégies, L'Obs et même au journal télévisé de France 2, entre autres.
Nous avons gratté un peu sous ce vernis pour vous exposer le peu de garanties de l'application, qui collecte pourtant toutes sortes de données personnelles.
Une application mobile ? Pas vraiment
CoronApp se présente comme une application pour smartphone. Mais pour l'instant, il ne s'agit que d'un site web encapsulé : quand vous l'ouvrez, elle ne fait qu'afficher la page d'un site dans un navigateur web (webview).
Ensuite, l'application n'est téléchargeable que sur Android. Pour l'utiliser sur iOS, il faudra se connecter à coronapp.eu depuis son smartphone, et garder la page du navigateur web ouverte pour que la géolocalisation reste active.
Dans différents médias, Christophe Mollet, créateur de l'app, avance qu'une version pour l'App Store et le Google Play Store est prête, mais qu'il ne peut les soumettre sans l'aval du gouvernement. Baptiste Robert, que Numerama a interrogé, se montre beaucoup plus sceptique : « Ce n'est pas du tout une application mobile. Il n'est pas possible de mettre ce genre d'app dans les stores ». Elles doivent en effet apporter plus qu'un site mobile pour être validées.
L'éditeur de l'application, ITSS, est une petite agence web de cinq employés, spécialisée dans le développement de sites web Drupal, un outil open source de création et de gestion de sites. Le développement d'application, qui requiert d'autres expertises, semble sortir du cœur de métier de cette entreprise.
Mais Christophe Mollet explique à Numerama que son entreprise dispose des compétences techniques suffisantes : « nous avons déjà fait des projets mobiles, par exemple pour Orange. Nous utilisons Drupal pour le back-office [le centre de contrôle de l'application, ndlr], puis d'autres technologies, comme Angular, pour le front [la partie visible par l'utilisateur, ndlr] ». Au cours de sa rapide observation de l'application, Baptiste Robert a correctement identifié la technologie utilisée, et il n'hésite pas à tacler : « Cette application, c'est le tutoriel Angular, avec une petite couche de personnalisation par-dessus. »
Quand nous lui pointons certains défauts techniques, Christophe Mollet rappelle que l'app a été développée en 72 heures. Mais il défend également qu'une « petite équipe de dix personnes environ travaille sur cette application jour et nuit ». Sur ce projet, les développeurs d'ITSS reçoivent l'aide de bénévoles extérieurs à l'entreprise.
L'application, gratuite et sans publicité, propose à ses utilisateurs de faire un don aux développeurs, via Paypal.
En l'état, la CoronApp est extrêmement rudimentaire
Nous avons décidé de créer de notre propre compte, à partir de la page d'accueil du site, truffée de fautes et dont les champs ne s'affichent pas tous correctement. Le formulaire d'inscription requiert : le nom, le prénom, la date de naissance -- nous avons indiqué que nous étions nés le 5 janvier 2029, c'est passé sans problème -- et l'adresse email de l'utilisateur. Il est également possible d'entrer son adresse et son numéro de téléphone. Nous choisissons un mot de passe en trois lettres, que le système accepte aussi sans broncher. L'application n'a donc pas d'exigence quant au mot de passe, qui est pourtant la première barrière de protection du compte. Mineurs et gens pas encore nés (comme nous) ne sont pas non plus filtrés et la collecte de ces données précises est donc possible.
Une fois connecté, le site nous demande logiquement d'activer la géolocalisation lorsque l'application est active. Sur Android (mais pas sur iOS), il demande également d'autoriser l'envoi de notification.
Ensuite, deux options s'offrent à nous : « Je me protège » et « J'ai le coronavirus ». Dans le premier cas, le site nous renvoie vers une page qui distribue des conseils écrits, à l'orthographe incertaine. Elle intègre également une vidéo officielle de prévention du gouvernement, hébergée sur une chaîne YouTube non officielle, qui appartient vraisemblablement à une personne retraitée.
Dans le second cas, lorsque nous indiquons que nous avons le coronavirus, l'app nous demande de « prendre en photo un justificatif médical », avec nom et prénom apparents, pour vérifier nos propos. « Une fois le justificatif vérifié, l'ensemble des personnes que vous avez croisé recevront une notification sur leur téléphone », précise-t-elle.
Pour collecter les données de santé, ITSS doit se plier à des normes exigeantes
Les justificatifs médicaux entrent dans la catégorie des données de santé, particulièrement protégées par le règlement général européen sur la protection des données (RGPD). Pour manipuler ce genre de données, ITSS doit se plier à plusieurs normes et exigences. « Tous les acteurs du traitement des données de santé sont liés par une responsabilité », rappelle l'avocate Sabine Marcellin du cabinet Aurore Legal, contactée par Numerama. « S'il n'y a pas de nécessité légale à effectuer un contrôle de sécurité préalable, la Cnil va exiger en revanche le plus haut niveau de sécurité lors de ses contrôles. L'entreprise doit avoir des protocoles spécifiques, des exigences quant aux codes de stockages, ou encore un hébergement sur des serveurs particuliers », précise-t-elle.
ITSS répond-il à ces exigences ?« Nous sommes accompagnés par un cabinet d'avocat qui a rédigé rapidement, mais proprement, les conditions générales d'utilisations (CGU). Dans le cas des données de santés, puisqu'il y a le consentement de l'utilisateur, c'est moins critique », avance Christophe Mollet. Nous avons lu les CGU, qui ne font aucune mention des données médicales ou des données de santé.
En revanche, le texte précise que les données de géolocalisation sont conservées 14 jours (pour correspondre à la durée d'incubation de la maladie), avant d'être supprimées automatiquement. Pendant ces deux semaines, les données sont « susceptibles d'être transmises aux autres utilisateurs de l'application CoronApp », précise le contrat.
Les données personnelles (nom, prénom, email, téléphone...) sont quant à elles conservées pendant 6 mois minimum, « conformément aux prescriptions légales et règlementaires ». Enfin, les CGU précisent que ces données pourraient être communiquées au ministère de la Santé, mais qu’elles ne seront ni vendues ni utilisées pour de la publicité. Justement, ITSS espère bien convaincre le gouvernement avec sa campagne de communication.
Opération séduction de l'État
Mais pour l'instant, la CoronApp ne semble absolument pas aboutie. Cela n'empêche pas Christophe Mollet de nous confirmer ses ambitions : « Je pense que nous avons les capacités techniques et la motivation pour développer cette application. Mais est-ce que le gouvernement va nous aider ? Est-ce que les Français vont accepter de partager leurs données de géolocalisation ? » À défaut de convaincre le gouvernement d'emblée, ITSS espère s'imposer grâce à l'adoption par les utilisateurs.
Dans le Parisien, Christophe Mollet a avancé que si le nombre d'utilisateurs de l'app était confidentiel, il en comptait « plusieurs milliers ». De son côté, Baptiste Robert a trouvé l'interface de programmation qui sert de compteur à la CoronApp : le site n'avait que 893 inscrits à 15 heures le 25 mars. Quand nous le confrontons à cet écart entre ses déclarations et la réalité, Christophe Mollet élude : « Notre nombre d'utilisateurs explose ces dernières heures, après notre passage sur France 2 et France 3. »
Plusieurs pays réfléchissent ou ont déjà mis en place des applications de la sorte pour contenir la pandémie. En Israël par exemple, le ministère de la Santé a déployé une application officielle, nommée The Shield. Mais avant de la rendre accessible par les Israéliens, elle a effectué un audit de sécurité, et elle a avancé plusieurs preuves solides de son traitement respectueux de la vie privée.
En France, l'éventuel usage des données de géolocalisation pour endiguer la pandémie est encore débattu par le Comité analyse recherche et expertise.