Menu
nation
Santé
StopCovid : Au dessus de tout soupçon?

Lancée début juin par le gouvernement, l'application StopCovid est-elle vraiment utile et efficace en termes de santé publique ? Par ailleurs, qu’en est-il de la sécurité et de la protection des données ?

StopCovid : Au dessus de tout soupçon?
Alain SUPPINIMédecin (Abonné)
Publié le 28 juin 2020

Profitez de notre offre spéciale jusqu'au 31/07/2020

Un an d'abonnement 
papier + site 
54€ au lieu de 89€

soit une économie de 39%


Le secrétaire d’état au numérique Cédric O, en se fondant sur une étude menée par des chercheurs d'Oxford déclare que l'efficience de StopCovid nécessite son utilisation par 60 à 70% de la population. Le baromètre du numérique affiché chaque année par le CREDOC révèle d'emblée qu'il existe une fracture numérique pour 30% des Français qui ne possèdent pas de smartphone.

Ensuite, si l'étude d'Oxford révèle que 79% des Français seraient prêts à installer l'application (!), la réalité est bien différente : une semaine après sa mise à disposition, le nombre des téléchargements a tout juste franchi la barre du million, bien loin des dizaines de millions nécessaires. Enfin, selon les statistiques publiées par le ministère de l'économie en 2019, les personnes entre 65 et 69 ans ne sont que 62% à détenir un smartphone, et ce chiffre chute à 44% pour les 70 ans et plus. Si l'on confronte ces chiffres à ceux de la mortalité de ces mêmes classes d'âge (2% dès 60 ans, 5% à 70 ans et plus de 12% à partir de 80 ans), on comprend aisément que les populations les plus à risque seront aussi les moins "protégées".

Deux autres notions sont aussi discutables : la distance entre les 2 personnes et leur temps de contact.

La zone critique entre une personne infectante et une autre n'a cessé de varier tout au long de la vague épidémique qui nous a atteint, pour que finalement une "distance de sécurité" d'un mètre soit adoptée empiriquement. Si la simple fraction de seconde d'un éternuement suffit à contaminer, la propagation après plusieurs dizaines de minutes en atmosphère confinée et humide n'a jamais pu être ni confirmée ni infirmée.

Dès lors, quid de ces 15 minutes passées à 1,5 mètres qui sont retenues pour StopCovid ?

Au total, l'empirisme des notions réelles combinée aux approximations des données informatisées conduiront-elles à des résultats pertinents pour une utilisation de santé publique ? Rien de moins sûr…

Finalement, il reste à espérer que les capacités de tests virologiques soient suffisantes, comme l'affirme le gouvernement dont la crédibilité sur ces sujets a été souvent remise en question durant l'épidémie. La CNIL elle-même semble douter de la pérennité de ce projet, signifiant qu'elle sera prête à l'interdire si son utilité sanitaire n'est pas confirmée.

StopCovid est-elle sûre ?

Afin de prouver sa "bonne foi", l'Institut National de Recherche en Sciences et Technologies du Numérique (INRIA) qui pilote le développement de l'application a mis en ligne les codes source Android et IOS. Une vingtaine d'experts informatiques (hackers éthiques), répartis dans toute l'Europe, ont été chargés de rechercher les failles de sécurité.

L'application n’accède ni au GPS, ni aux données stockées sur le téléphone (répertoire en particulier), mais seulement à la caméra (pour scanner le QR code donné par le médecin afin se déclarer porteur du coronavirus) et au Bluetooth (pour connecter les smartphones).

A la différence de certains pays européens, dont l'Allemagne, le gouvernement français a refusé à Google et Apple l'interface de programmation qu'elles avaient développée en commun (API Exposure Notification) permettant un accès complet au Bluetooth en arrière-plan. Finalement, ils ne font donc "que" fournir les bases techniques Android et IOS.

Tout irait donc pour le mieux dans le meilleur des mondes… ? Pas si sûr !

S'agissant de la première version du logiciel, des mises à jour sont donc à prévoir. Dès lors, la tentation du gouvernement pourrait être grande de déléguer progressivement la résolution des problèmes techniques à Google et Apple qui en ont l'expertise depuis tant d'années. D'emblée, on peut noter que les CAPTCHA (système de vérification pour s’assurer que l’utilisateur est bien humain) sont fournis par Google. Cédric O a reconnu qu’il n’existait aucune solution française pour l’heure, mais qu’une solution développée par Orange serait disponible dans quelques semaines… A l'instar du TraceTogether de Singapour, StopCovid est en partie centralisée : lorsqu'une personne se déclare atteinte par le coronavirus, son identifiant chiffré est envoyé au serveur central, ce qui permet de constituer une base de données de personnes infectées.

Si l'on écoute Hubert Guillaud, chef de projet de la Fing, « rien ne nous dit que la police et les autorités de santé n’auront jamais accès aux données [et] rien ne nous dit non plus que les données collectées par de telles applications de contact tracing ne pourraient pas être désanonymisées ».

Cédric O le certifie : "il n'y aura pas de géolocalisation"… Pourtant, en utilisant les bornages proposés par Google et Apple pour surveiller le shopping, l'activité de rue ou encore le trafic de véhicules, puis en croisant les données de tous les utilisateurs, rien n'empêche de reconstituer les déplacements et habitudes de milliers de personnes "volontaires". Si l'on mixait ces données avec le bornage propre des opérateurs de téléphonie (ce qui est bien sûr interdit par la loi française), on pourrait monter un scénario imaginaire dans lequel chaque personne serait suivie à la trace dans le moindre de ses comportements.

Autre détail technique, le Bluetooth utilisé par StopCovid est dit "low energy" : comme il consomme 10 fois moins qu'un Bluetooth usuel, ceci le rend utilisable sur d'autres dispositifs que les smartphones (montres connectées, appareils médicaux, capteurs de sport, etc.). Cédric O a d'ailleurs révélé que ses équipes réfléchissaient à "porter le système sur des bracelets connectés ou des boîtiers". Il envisage également, afin de réduire la fracture numérique, la distribution massive et gratuite de "clés informatiques", actuellement à l'étude.

Il n'est pas nécessaire d'être féru d'informatique pour comprendre que plus le nombre et le type d'appareils augmente, plus on offre d'angles d'attaque à la cybermalveillance.

Enfin, lorsqu’une personne est testée positive au coronavirus, le médecin traitant ou le laboratoire lui remettent un code à entrer dans l'application. Ce code anonymisé et unique doit permettre d'éviter les fausses déclarations ; Il s'agit d'une suite de chiffres et de lettres ou bien d'un QR code à scanner. "Anonymisé et unique", certes, mais au minimum relié aux données de la Carte Vitale de la personne, et donc demain, au Dossier Patient Informatisé (DPI) des hôpitaux et au Dossier Médical Partagé (DMP) de la CPAM ( Caisse primaire d’assurance maladie )

A quand un QR code couleur comme celui des Chinois ?

Finalement, si je devais résumer mon sentiment vis-à-vis de l'application StopCovid, je citerais la mise en garde récente d'Edward Snowden : "Les états de surveillance que nous créons maintenant survivront au coronavirus".

0 commentaireCommenter

Vous aimerez aussi