Lancée début juin, l'application StopCovid continue de faire l'objet de nombreuses critiques. Son fonctionnement fait aussi l'objet de controverses : la dernière en date porte sur les adresses IP des utilisateurs, qui seraient collectées en secret. La réalité est plus complexe.

C’est une controverse qui a éclaté sur Twitter dans la matinée du 11 juin, à la faveur d’une série de messages publiés par Julien Dubois, un informaticien spécialisé dans le langage Java. Selon ses observations, le projet StopCovid stockerait l’adresse IP des personnes utilisant l’application française de traçage des contacts, contrairement aux multiples promesses faites sur son « anonymat ».

L’affaire n’a pas manqué de faire réagir.

Baptiste Robert, un chercheur en cybersécurité qui s’intéresse de près à l’actualité de StopCovid, a donné de la voix, en considérant, sur la base des propos de Julien Dubois, que l’application «  stocke l’adresse IP des utilisateurs du côté serveur. Pendant ce temps, nos politiciens continuent de prétendre que c’est totalement anonyme ». Ce serait donc une  infraction du RGPD. Et d’interpeller le secrétaire d’État au numérique, qui supervise politiquement le projet, et la CNIL, en charge de la protection des données personnelles.

L’origine de ce tumulte provient en fait d’une discussion sur GitLab, au sujet de la collecte de données autour de l’application serveur. L’auteur de la discussion, François Lesueur, qui est maître de conférences en informatique, faisait observer le 29 mai, quatre jours avant la sortie de StopCovid, l’absence d’informations sur les données collectées hors de l’application, pour des raisons annexes.

« La journalisation est une pratique de sécurité basique et je serais surpris qu’il n’y ait aucune journalisation du tout », écrivait-il, en citant l’adresse IP et le port utilisé parmi certaines données techniques pertinentes. « S’il y a une certaine journalisation, là, les détails doivent être révélés, car ils pourraient être en contradiction avec les propriétés de confidentialité annoncées », prévenait-il.

StopCovid GitLab
StopCovid est un projet open source, c’est-à-dire que son code informatique est accessible à tout le monde. Ces informations sont hébergées sur GitLab, ce qui permet notamment de tenir ce type de discussion.

Dès la présentation du projet StopCovid, fin avril, le gouvernement décrivait un projet fondé sur l’utilisation de « données anonymisées ». Par la suite, Cédric O a régulièrement évoqué le caractère anonyme du projet. En réalité, il s’agit d’un abus de langage, sans doute employé par commodité, car le terme est plus courant dans l’esprit du public que la notion de pseudonymat, qui correspond plus à StopCovid.

Ce n’est pourtant pas du tout la même chose. Pour la CNIL toutefois, le pseudonymat offre déjà une bonne couche de protection. C’est « un élément important pour préserver la vie privée des personnes qui utiliseront ce dispositif », écrivait l’instance dans une délibération fin mai. En utilisant des alias, StopCovid « minimise les possibilités d’identification des personnes concernées ».

Voilà pour les identifiants. Mais pour l’IP alors ? Comme le mentionne François Lesueur, « l’enregistrement de l’IP […] ne préserve pas la vie privée, comme l’ont montré de nombreux travaux antérieurs de la communauté scientifique de la protection de la vie privée. Les détails doivent donc être publiés pour la transparence globale du processus entourant la petite partie de l’application serveur ».

Pendant près de deux semaines, cette interrogation est restée sans réponse, jusqu’à ce qu’un responsable de StopCovid prenne la parole, le 10 juin.

Une collecte d’adresse IP ?

Il s’avère effectivement qu’une manipulation d’adresse IP a bien lieu, a-t-il reconnu, mais il y a un désaccord notable sur la place qu’occupe cette utilisation dans StopCovid : en gros, fait-elle partie de l’application et du traitement de traçage des contacts ou bien porte-t-elle sur un système complètement différent, qui n’a pas de rôle concret dans la détection et le signalement des personnes contaminées ?

Car cette collecte d’IP se situe sur le système de protection utilisé pour éviter à StopCovid d’éventuelles attaques informatiques. «  Le système de protection doit en fait savoir s’il y a une véritable attaque et nous devons en apporter la preuve pour engager des poursuites », écrit le responsable. Cela passe par un enregistrement, mais qui « n’est pas utilisé dans le but du traitement » StopCovid, ou connu de lui.

C’est ce que fait remarquer un intervenant sur Twitter : « le système de protection n’est pas relié à l’applicatif », dit-il. Une discussion technique s’est toutefois engagée avec un autre informaticien concernant les cas de figure où cette liaison serait possible, en recoupant les journaux d’activité du système de protection avec ceux de StopCovid. Plausible en théorie, cette éventualité n’est toutefois pas démontrée.

L’application StopCovid se retrouve dans une nouvelle polémique, cette fois sur l’adresse IP. // Source : Louise Audry pour Numerama

Si l’adresse IP est une donnée personnelle, elle ne permet pas de savoir immédiatement qui se trouve derrière. Elle nécessite la coopération des opérateurs et une éventuelle intervention d’un juge judiciaire pour autoriser la transmission de l’identité d’une personne — sauf s’il existe une disposition juridique ad hoc. C’est pour cela que François Lesueur parle de « ré-identification  » dans un de ses messages.

L’intéressé admet qu’il est certes très difficile de faire autrement. « Je reconnais que c’est une hypothèse très difficile pour sécuriser le système » de faire un dispositif sans aucun log, écrit-il. Cependant, si ce n’est pas le cas, ces journaux d’activité « devraient au moins être documentés et intégrés dans l’analyse globale de la vie privée », ajoute-t-il. Et ils devraient aussi être publics.

« Le système ne stocke pas les adresses IP »

Existe-t-il donc des ponts pour croiser les informations entre le système de protection et StopCovid ou pour les transmettre d’un système à l’autre ? Non, répond un autre membre du projet : « le système ne stocke pas les adresses IP ». Autrement dit,  le fait qu’il y ait un besoin technique et momentané de l’IP pour faire ce qu’il y a à faire pour sécuriser le projet ne serait pas la preuve d’une faute de StopCovid.

L’adresse IP, même si elle est momentanément captée pour les besoins de la protection du StopCovid, par exemple face à une attaque par déni de service distribuée (DDOS), n’a, à les lire, rien à voir avec l’application de traçage des contacts. Mais tout l’enjeu est de savoir à quel niveau l’on porte le débat : sur le traçage des contacts et l’application StopCovid ? Ou bien sur tout ce qui peut tourner autour ?

Un manque de clarté

La discussion sur le bon niveau de réflexion est ouverte, d ‘autant que le RGPD, justement, prévoit des dérogations exceptionnelles, comme une crise sanitaire. Ainsi, le traitement des données personnelles peut être autorisé — et même nécessaire — « pour des motifs d’intérêt public dans le domaine de la santé publique ». Cela, sans forcément recueillir le consentement.

Concernant l’emploi de ces journaux d’activité, la CNIL a déjà eu l’occasion d’en parler. Elle comprend par exemple le besoin de sauvegarder et suivre l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage. Toutefois, ajoute la CNIL, il convient d’informer les utilisateurs de la mise en place d’un tel système, et la durée de stockage doit être provisoire.

Pour Baptiste Robert, il y a là un problème de visibilité et de communication, car il souligne que les deux intervenants se contredisent en public. À ses yeux, le second commentaire ne permet pas d’éclaircir la première réaction sur ce qui est stocké ou pas. Même constat pour Julien Dubois : « les développeurs de StopCovid ne semblent pas tous d’accord sur le fait qu’ils stockent ou non les IP ».

Partager sur les réseaux sociaux

La suite en vidéo