Un chercheur a montré que le fonctionnement technique de StopCovid n'était pas similaire à ce qui était annoncé par le gouvernement, ce qui est écrit dans le décret d'application et même ce qui a été validé par la Cnil.

C’est le dernier « scandale » en date autour de StopCovid, l’application française pour smartphone, censée servir à tracer le chemin de potentielles contaminations à travers les citoyens.

Médiapart a relayé le 15 juin 2020 les observations de Gaëtan Leurent, un chercheur en cryptographie à l’Inria, qui a mis en lumière le fait que l’application envoyait plus de données à un serveur que ce que l’on pensait. Ou plutôt, que ce que la version « officielle » disait, celle qui a été non seulement portée par le secrétaire d’État au numérique Cédric O (ici notamment ou ici), utilisée dans le décret d’application officiel, mais aussi, comme Numerama a pu le vérifier, telle qu’elle a été validée par la Cnil, le gendarme français des libertés individuelles.

Qu’avait annoncé le gouvernement ? En résumé simplifié : que si deux personnes se croisent avec StopCovid allumé, leurs informations remonteront au serveur central seulement si elles restent en contact à moins d’un mètre pendant plus de 15 minutes.

Ce qu’il se passe dans les faits est différent : si deux personnes se croisent à plusieurs mètres et pendant moins de  15 minutes, leurs informations remontent également au serveur central qui, ensuite, fait le tri.

Visuel officiel de StopCovid // Source : Gouvernement

Un décalage entre les discours et les faits

Cette différence met en lumière quatre erreurs dans le lancement de StopCovid.

  • La première est d’ordre politique ; le ministre partage un message qui est faux (en ayant conscience ou non), ce qui ne permet pas aux Français de se faire une opinion en ayant toutes les bonnes informations en main.
  • La deuxième est d’ordre juridique ; le décret tel qu’il existe aujourd’hui ne correspond pas à la réalité technologique de l’application, il est donc mensonger.
  • La troisième est d’ordre administratif : on a demandé a des organes de contrôle de se prononcer sur la validité d’une application sans que son fonctionnement technique n’ait été finalisé.
  • La quatrième est d’ordre technique : dans les faits, les serveurs centraux disposent de bien plus d’informations sur les contacts des utilisateurs que ce qui était annoncé.

Cela ne veut pas dire qu’il y a plus de risques que ces serveurs aient des failles ou soient vulnérables aux attaques, mais cela veut dire que si ces faiblesses existaient, la quantité de données potentiellement vulnérables serait beaucoup plus grande.

Ce que Gaëtan Leurent montre très bien, c’est la dichotomie entre le discours officiel et la réalité des faits. Car en théorie, le fonctionnement d’un serveur centralisé tel qu’on le connaît aurait très bien pu laisser penser que le tri entre les durées et les distances s’effectuerait au niveau central, et non par chaque téléphone. Mais les discours officiels et techniques sont venus dire l’inverse, tout en restant volontairement flous, laissant ainsi notamment de nombreux médias mal détailler son fonctionnement.

France 2 par exemple, comme le rappelle Médiapart, a diffusé le 31 mai 2020 un reportage qui affirme que «  votre téléphone enregistre les autres appareils à proximité, ceux près desquels vous êtes restés au moins 15 minutes, à moins d’un mètre de distance. » Or nous savons désormais que c’est faux : le téléphone enregistre tous les autres appareils à proximité, qu’importe la durée et la distance, et le tri s’effectue ensuite, sur le serveur central. Cédric O a pourtant partagé ce reportage sur Twitter et parlé d’«  explications pédagogiques ».

L’avis de la Cnil s’est basé sur un autre dispositif

C’est également sur cette base que, comme on peut le lire dans l’avis du 25 mai de la Cnil et comme la Commission nous l’a confirmé par mail, «  la CNIL a validé un dispositif où ne remontent au serveur central que les identifiants des personnes exposées, sur déclaration de la personne malade ; ces identifiants correspondent à un contact susceptible d’être ‘à risque’. Les contacts à risque correspondent à une exposition de 15 minutes à moins d’un mètre ». 

En résumé, la Cnil a validé un dispositif qui n’est pas celui qui est utilisé aujourd’hui dans l’application que tous les Français et Françaises sont fortement invités à utiliser, par le gouvernement et à grands coups de campagnes de communication. Comme on peut le voir au point numéro 37 qui était abordé dans l’avis du 25 mai, la Commission avait d’ailleurs elle-même « [pris] acte de ce que l’algorithme permettant de déterminer la distance entre les utilisateurs de l’application reste à ce stade en développement et pourra subir des évolutions futures ».

Délibération de la Cnil sur StopCovid du 25 mai 2020 // Source : Cnil

Au vu de la manière dont le gouvernement a régulièrement mis en avant l’approbation de la Cnil (« la Cnil est informée des choix techniques et de spécifications qui sont faits par l’équipe projet », écrit même le gouvernement dans son mode d’emploi officiel) pour justifier le bien fondé de StopCovid, un tel angle mort est assez édifiant, vu qu’il touche à la compréhension d’un de ses principes de base : quelles données sont récupérées.

Ministère de l’Économie

Il semblerait que pour l’instant, l’application n’ait pas été largement adoptée par les Françaises et Français : selon France Info, il n’y aurait eu que 1,7 million de téléchargements depuis le lancement début juin (et encore beaucoup moins d’utilisateurs uniques quotidiens).

Partager sur les réseaux sociaux