Depuis plusieurs mois, j’ai installé sur mon téléphone StopCovid, devenu depuis TousAntiCovid, afin de contribuer, autant que faire se peut, à la limitation de la propagation du virus. À l’heure de l’écriture de cet article (vendredi 30/10 13h), 5 956 051 utilisateurs ont activé l’application, et ça monte en permanence, car une heure plus tard, le score est passé à 6 045 655, soit ~90 000 de plus.

Comme on entend beaucoup de critiques, dont certaines ont du sens, je vais tenter quelques explications en espérant vous convaincre de l’installer à votre tour.

Je rappelle tout d’abord qu’en tant que RSSI, je suis particulièrement attaché au respect des dispositifs de sécurité ainsi qu’aux règles de protection de la vie privée. On pourra difficilement m’accuser de collusion.

Tout d’abord, comment ça marche ?

Le principe est simple, chaque téléphone mémorise la liste des téléphones équipés de l’application qu’il a croisé. Voici une présentation simplifiée du fonctionnement.

Via leur connexion BlueTooth, deux téléphones, Tél-A et Tél-B, équipés de l’application et qui restent à proximité (moins de 1m) durant au moins 15 minutes, vont réciproquement enregistrer le pseudo de l’autre téléphone dans leur propre base de données. Ainsi :

  • Tél-A enregistre pseudo-B, le pseudo de Tél-B ;

  • réciproquement, Tél-B enregistre pseudo-A, le pseudo de Tél-A.

Il n’y a aucune géolocalisation, aucune datation. Ces informations sont exclusivement conservées en local, dans chacun des téléphones, durant deux semaines.

Si un utilisateur de l’application, par exemple sur Tél-C, est testé positif, il peut se déclarer, s’il le souhaite, via son application. À ce moment là, et uniquement là, les pseudos de tous les contacts croisés par Tél-C, par exemple pseudo-B, sont remontés vers la base de données centrale.

Plusieurs fois par jour, chaque téléphone contacte la base de données centrale. Par exemple, Tél-A demande à cette base de données s’il y a eu un contact avec un cas positif pour pseudo-A, Tél-B demande la même chose pour pseudo-B.

Puisque Tél-C, notre cas positif, a remonté — entre autres — un contact avec pseudo-B, la base de données centrale répondra à Tél-B qu’il a été en contact avec un cas positif au cours des 2 dernières semaines.

Y-a-t’il un traçage, une observation de la vie privée ?

Tout d’abord, le pseudo d’un téléphone est totalement décorrélé du numéro du téléphone, de son adresse IP, d’une géolocalisation, etc. Autrement dit, le pseudo ne permet d’identifier ni le propriétaire du téléphone, ni le lieu d’un contact.

Ensuite, chaque téléphone n’a pas un pseudo unique, mais une grande quantité. En fait, un nouveau pseudo est calculé par le téléphone toutes les 15 minutes. Ainsi, il est devient impossible de suivre une évolution attachée à un pseudo, et plusieurs contacts avec le même téléphone à des moments différents ne pourront pas être reliés ensemble. Puisqu’il y a plusieurs pseudos différents et qu’il n’y a ni géolocalisation, ni datation, il n’est même pas possible de dire que deux téléphones se sont trouvés à proximité à plusieurs reprises à tel moment et tel endroit.

La déclaration de positivité se fait sur son téléphone par la saisie d’un code fourni par le laboratoire ayant réalisé l’analyse, ce qui garantit la réalité de la positivité et évite donc des fausses déclarations massives ayant pour but de noyer le système.

Vous pouvez lire une description simple du protocole, conçu par l’INRIA, ici : https://www.inria.fr/sites/default/files/2020-04/Pr%C3%A9sentation%20du%20protocole%20Robert.pdf

Mais d’autres chercheurs ont eux-aussi publié certaines critiques (voir par exemple https://risques-tracage.fr/docs/risques-tracage.pdf). Ce document, plus technique, met en évidence plusieurs problèmes réels.

Mon avis personnel

Certaines des critiques évoquées dans ce dernier document sont à la limite du réellement réalisable et restent très théoriques, d’autres correspondent à des problèmes qui ont été corrigés depuis (voir par exemple l’avis de la CNIL https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles).

En tous les cas, on peut constater qu’aucune de ces critiques ne met en cause une utilisation détournée par l’État. Il est garanti que la base de données centrale ne mémorise pas d’informations personnelles lorsqu’elle attribue les pseudonymes à une application, ou lors de la remontée et de la diffusion d’alerte. Peut-on le croire ? Si ce n’était pas le cas, il s’agirait d’un gigantesque complot d’État, impliquant alors des dizaines de milliers de personnes telles que vous ou moi, fonctionnaires d’État. Réaliste ? À chacun de se positionner, mais, en ce qui me concerne, il n’y aucune ambiguïté, la France est un état de droit.

Ensuite, la plupart des personnes qui craignent que l’État ne s’introduise dans leur vie privée, sont largement utilisatrices de services, sur Internet ou non, qui, à leur dépens, tracent largement leur comportement :

  • moteur de recherche Google : chaque recherche est analysée par Google, et encore plus chaque clic sur l’un des liens proposés, pour construire des profils de consommation, de comportement, avec géolocalisation, afin d’être revendus à d‘autres entreprises ;

  • il en est de même lors de chaque utilisation des cartes de fidélité dans un magasin, pour lesquelles on a généralement communiqué son adresse mail, son adresse géographique, sa date de naissance, etc ;

  • et pire encore si on participe aux réseaux sociaux.

Alors, en comparaison de ces derniers risques, ceux avancés par les détracteurs de TousAntiCovid sont à mon sens anecdotiques et perdent même leur sens lorsque que l’on considère l’enjeu de la participation à la non propagation du virus.

Giles Carré