Une erreur dans le texte ?

On a reçu une des premières alertes « cas contact » issues des QR Codes TousAntiCovid

On ouvre l'app, on place l'objectif de son téléphone correctement, et le tour est joué. Mercredi 9 juin, vous verrez des QR Codes affichés à l'entrée des lieux qui pourront recevoir des clients en intérieur, comme les restaurants ou les salles de sport.

Ce nouveau dispositif de traçage des contacts garantit un certain niveau de confidentialité, et s'appuie sur une mise à jour de l'application TousAntiCovid. Numerama a déjà détaillé son fonctionnement : concrètement, vous n'aurez qu'à prendre quelques secondes pour scanner le QR code lors de votre entrée sur le lieu pour que votre application enregistre votre présence pendant 2 heures. Si vous ne pouvez pas ou ne souhaitez pas utiliser TousAntiCovid, les restaurants et autres vous proposeront de remplir un cahier de rappel version papier en alternative, comme lors du précédent confinement.

Deux semaines avant ce déploiement massif de QR Code, nous avons testé la nouvelle fonctionnalité, comme de nombreux journalistes et gérants d'établissements. Surprise : après seulement quelques manipulations, et une poignée d'articles, 4 de nos journalistes en télétravail avaient déjà reçu une notification de cas contact. Si l'incident peut être expliqué étape par étape, ces explications n'en restent pas moins étranges, et elles laissent entrevoir des problèmes que pourrait rencontrer le dispositif.

Bienvenue dans la discothèque Numerama

Le gouvernement a déployé son générateur de QR code dès le 25 mai. Le jour même, Numerama a créé son propre QR Code pour tester le nouveau dispositif. Nous n'avons eu qu'à sélectionner un type d'établissement dans un menu déroulant [ce menu a été réduit depuis, ndlr], puis à indiquer la capacité d'accueil. Numerama serait ainsi une discothèque disposée à recevoir « 1501 à 2000 »  personnes.

Un clic plus tard, le site génère un document PDF de 15 pages. À l'intérieur, plusieurs exemples de QR Codes accompagnés de slogans comme « Entrer. Scanner. Profiter. », ainsi qu'une ébauche de cahier de rappel à imprimer. Le processus s'avère facile, clair et rapide, et à aucun moment le gérant des lieux ne doit communiquer de données personnelles ou d'information sur son établissement.

Pour tester cette nouvelle fonctionnalité de TousAntiCovid, 4 journalistes de la rédaction (en télétravail, qui n'étaient donc pas au même endroit au même moment) ont scanné le QR Code, entre 14h56 et 15h49, toujours le 25 mai. Se faisant, ils ont créé une entrée dans le journal du cahier de rappel de leur app. Elle indique la date, l'heure du scan, et l'identifiant du lieu -- une suite de 32 lettres et chiffres.

4 journalistes signalés cas contacts après une fausse visite

Le lendemain, dès 8h30, surprise : ces 4 journalistes ont reçu une notification orange dans leur app. « Vous avez fréquenté un lieu avec risque de contamination modéré. Faites-vous tester et respectez les mesures barrières », avertissent-elles.

Une des alertes indique que la « date de contact approximative » était « entre le 23 et le 25 mai ». Les 3 autres indiquent quant à elles que le contact s'est produit « entre le 24 et le 26 mai ». Plutôt cohérent pour l'instant, vu que nous avons scanné le code le 25 mai.

En affichant des tranches de 3 jours plutôt que la date exacte, les développeurs de l'app veulent empêcher les utilisateurs de pouvoir facilement le lieu où ils ont été exposés au covid. Dans notre cas, cette mesure de prévention s'est avérée inutile, puisque nous avions tous scanné le code d'un seul lieu, le même jour (notre fameuse fausse discothèque).

Un cas très rare, ou un bug ?

Comment est-il possible que nos 4 journalistes, qui ont scanné un même code inventé de toute pièce par Numerama, et dont aucun ne s'est signalé positif dans l'application, aient pu recevoir une notification orange dès le lendemain ?

Attention, c'est ici que l'histoire se complique.

Une alerte signifie que :

Une personne (qui n'est pas nos journalistes) s'est déclarée positive au Covid-19 dans TousAntiCovid. Autrement dit, elle a en principe scanné un QR Code envoyé par l'Assurance Maladie après qu'elle avait été testée positive.

Elle s'est fait tester positive au covid dans les 14 jours avant la publication de notre article. Fin 2020, une majorité de personnes positives au covid peinaient à se procurer le précieux code, qui arrivait souvent trop tard, voire jamais. Puisque nous avons reçu l'alerte le lendemain de la publication, la personne positive devait déjà s'être signalée dans l'app avant le 25 mai.

Cette personne a « visité » la discothèque Numerama, c'est-à-dire qu'elle a enregistré le QR Code que nous avons généré dans son app. Ce cas de figure est possible : nous avions affiché des captures d'écran du QR code (même s'il était quand même assez peu lisible) dans un de nos articles publiés le 25 mai. Les lecteurs n'ont qu'à le scanner pour « rentrer » dans la discothèque sur un créneau de deux heures.

Pour que soyons alertés de sa positivité au Covid-19, la personne devait tout de même avoir « visité » la discothèque sur un créneau horaire de 2 heures qui coïncidait avec les nôtres. Concrètement, cela signifie qu'elle aurait scanné le code entre 15h43 (heure de publication de l'article) et 16h55 le jour même. Autrement dit, elle ferait partie des 1 109 personnes qui ont lu l'article avant 17h...

Pas de bug, d'après les responsables du dispositif

Sur le papier, la situation, bien que possible, parait tenir d'un alignement de planètes invraisemblable. Numerama a donc signalé son aventure au secrétariat d'État au numérique, une des branches du gouvernement en charge du projet. Après avoir sollicité les équipes de l'Inria, l'institut de recherche qui travaille sur l'application, un porte-parole nous a répondu avoir bien retrouvé le QR code que nous avions créé, et que quelqu'un se serait bien déclaré positif après l'avoir scanné.

L'Inria a d'abord écarté la piste d'un bug, puis a présenté au porte-parole le scénario « le plus probable », très proche de celui que nous venons de décrire plus haut. Il faut prendre en compte que le fonctionnement du dispositif est construit de sorte que même le pouvoir central ne puisse pas enquêter avec précision sur une situation. Ces précautions protègent la vie privée des utilisateurs, mais en contre-partie, même le gouvernement ne peut qu'émettre des hypothèses lors d'un incident : « Une personne s'est fait tester positive la veille de la publication de l'article, puis a cliqué sur le SMS Si-Dep [l'outil qui rassemble les résultats de tests, ndlr] pour se déclarer dans l'application le soir de la publication. Elle a aussi scanné dans un créneau de 2 heures autour de vos scans à vous ».

Problème : l'histoire ne s'arrête pas là. Le 27 mai, au lendemain de la première alerte, un de nos journalistes a reçu une seconde alerte orange, cette fois pour un cas contact « entre le 25 et le 27 mai ». Contrairement à ses trois collègues, il avait scanné le QR Code de la discothèque deux fois : la première fois à 15h00, la seconde à 18h10. Pour cette seconde alerte, le secrétariat d'État au numérique n'a pas trouvé d'explication.

De notre côté, deux hypothèses demeurent :

Le journaliste a reçu 2 alertes pour un même signalement à cause de ses 2 scans. Par exemple, si la personne positive a scanné le QR Code à 16h30, son passage virtuel de 2 heures dans la discothèque chevauche les deux créneaux de 2 heures (15h-17h et 18h10-20h10) où l'app considère que le journaliste était sur les lieux. Il aurait ainsi été alerté 2 fois pour le même cas contact.

Une seconde personne positive au Covid-19 a suivi le même procédé que la première, mais plus tard, de sorte que seul le journaliste qui a scanné à 18h a été averti.

Attention, notre mésaventure ne suffit pas à remettre en question l'intégralité du dispositif des QR Code, qui présente toujours de nombreux avantages. Par exemple, le système n'expose pas les données personnelles, au contraire des cahiers de rappel. Ou encore, il donne le contrôle du traçage des contacts à l'utilisateur, puisqu'il peut supprimer à tout moment les traces de son passage dans un lieu. Pour finir, une fausse alerte -- tant qu'elle reste un cas exceptionnel -- ne serait pas catastrophique, puisqu'il suffirait aux personnes concernées de faire un test pour s'assurer être négatives.

Mais notre incident expose tout de même certaines limites. Déjà, elle fait planer des doutes sur le fonctionnement correct des alertes, et notamment sur l'éventualité de l'envoi de double alertes. Surtout, elle expose un scénario catastrophe : celui de la mise en ligne de certains QR Codes, par exemple s'ils étaient publié sur les réseaux sociaux. Il suffirait d'une personne malveillante munie d'un test positif pour créer des milliers de faux cas contacts, en scannant un maximum de QR Codes.

Vous êtes à l'origine des alertes que nous avons reçues ?  N'hésitez pas à contacter l'auteur de l'article à [email protected] 

https://www.youtube.com/watch?v=ir2uugyok6I