« Mon smartphone est chiffré, totalement sécurisé : on ne peut pas y faire passer d’appli. C’est techniquement impossible. Et je ne possède qu’un seul portable. » Dans une interview pour Le Parisien publiée le 27 septembre, le ministre des Affaires étrangères Jean-Yves Le Drian justifie efficacement, en à peine trois phrases, pourquoi il n’a pas téléchargé StopCovid.
4 jours plus tôt, le Premier ministre Jean Castex avait concédé de manière bien plus maladroite qu’il n’avait pas installé l’application. Interrogé par la journaliste Léa Salamé sur le plateau de l’émission de France 2 Vous avez la parole, il bafouillait : « Vu les activités que sont les miennes… StopCovid c’est intéressant quand vous allez dans le métro, quand vous croisez du monde… »
Quelques clics suffisent pour installer StopCovid. // Source : Louise Audry pour Numerama
Les deux hommes ne sont pas les seuls membres du gouvernement à ne pas avoir téléchargé l’app de contact tracing, pourtant voulue… par le gouvernement lui-même, qui en fait encore la publicité récemment. Le ministre de la Justice Éric Dupont-Moretti et la ministre déléguée chargée de la Citoyenneté Marlène Schiappa, présents dans l’audience de Vous avez la parole, concédaient aussi ne pas l’avoir fait. Le garde des Sceaux s’est depuis rattrapé d’une pirouette dans le Parisien : « Je ne l’ai pas téléchargée, mais un collaborateur me l’a téléchargée, un jeune geek. »
Pour rappel, StopCovid est très facile à utiliser : il suffit de le télécharger depuis le Google Play Store ou l’App Start, d’appuyer sur le bouton d’activation, et d’accepter les autorisations qu’il demande (comme l’utilisation du Bluetooth). Quant aux autres ministres, ils affirment bien l’avoir téléchargée, le ministre de la Santé Olivier Véran en tête, mais l’activent-ils à chaque sortie ?
Les membres du gouvernement sont donc partagés entre la nécessité de montrer l’exemple pour certains, et des questions de sécurité liées à leurs fonctions de ministre pour d’autres.
La justification de Jean-Yves Le Drian est logique
Le Drian dirige les Affaires étrangères depuis 3 ans, et il avait auparavant passé 5 ans à la Défense, deux postes particulièrement exposés, notamment aux cyberattaques. Nul doute que les informations dont dispose le représentant de la diplomatie française et ses équipes en font une cible privilégiée pour les hackers au service des renseignements étrangers.
Son « modèle de menace », c’est-à-dire sa façon d’envisager les attaques potentielles, doit donc prendre en compte des dangers qui ne pèsent pas sur la très grande majorité des Français. Lui et ses équipes doivent pouvoir résister et répondre aux scénarios d’attaques les plus sophistiqués, lancés par des hackers d’élite qui disposent de moyens conséquents. C’est pourquoi le smartphone de Le Drian a une couche de chiffrement supplémentaire. Si quelqu’un veut extraire les informations de son smartphone, il doit disposer de la clé de déchiffrement pour pouvoir les lire, ce qui compliquerait la tâche d’un éventuel espion.
Utiliser StopCovid augmente la surface d’attaque du smartphone
Le ministre breton explique d’ailleurs que son modèle de menace est tel qu’il ne peut pas télécharger d’app sur son smartphone. La plupart des applications communiquent avec des appareils extérieurs, ce qui expose, même de façon limitée à des tentatives d’infiltration. Chaque application est une porte de plus sur le smartphone de l’utilisateur, ce qui élargit la surface d’attaque pour un attaquant, et donc la surface à protéger pour les équipes de sécurité.
Par exemple, si le ministre télécharge StopCovid et que demain, des pirates parvenaient à trouver une importante vulnérabilité de l’app, ils pourraient s’en servir pour tenter de pénétrer sur son smartphone. Et ce n’est pas tout : le bon fonctionnement de StopCovid implique d’avoir le Bluetooth activé en permanence sur son smartphone. Ce standard de communication n’est pas dépourvu de vulnérabilités, exploitables dans des scénarios d’attaques complexes.
L’excuse de Le Drian ne s’applique pas à tout le monde
Jean-Yves Le Drian précise qu’il n’a qu’un seul smartphone, sous-entendant qu’il pourrait, s’il le souhaitait, avoir son smartphone ultra-sécurisé pour les conversations sensibles et un autre pour son usage personnel, où il aurait l’autorisation d’installer certaines applications.
Comme nous le détaillions au moment de la sortie de StopCovid en juin, les garanties de sécurité avancées par l’application sont largement suffisantes par rapport aux informations auxquelles elle donne accès. Le logiciel a passé plusieurs contrôles, menés par des experts du service public, mais aussi par des hackers extérieurs, qui avaient tout intérêt à trouver des vulnérabilités sur l’app.
Relativement monotâche, StopCovid est un logiciel qui n’offre que très peu d’angles d’attaque. Si l’éventualité qu’une vulnérabilité importante soit un jour découverte ne peut pas être balayée, elle s’avère extrêmement faible.
Au-delà des questions de sécurité, on peut se demander si ces non-téléchargements signifient que même certains membres du gouvernement doutent de l’efficacité et du bon fonctionnement de l’application. Avec un bilan famélique de 200 notifications envoyées 3 mois par StopCovid, l’app n’a clairement pas encore prouvé son utilité.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
