StopCovid, l’application de traçage mise en place par le gouvernement pour lutter contre le coronavirus, récolterait plus de données que ce qu’on nous disait jusqu’à présent. En effet, selon un chercheur, l’application collecterait les données de toutes les personnes croisées par un utilisateur, au lieu de celles croisées pendant 15 min à moins d’un mètre.
L’application StopCovid n’a pas fini de faire couler de l’encre. Déjà fortement décriée quand elle était à l’état de projet pour son intrusion dans la vie privée, et la collecte de données des utilisateurs qu’elle provoque, un chercheur, révélé par Mediapart, affirme que l’application collecte et stocke beaucoup plus de données que ce pour quoi elle est destinée. En effet, selon Mediapart, l’application « collecte, et transfère le cas échéant au serveur central, les identifiants de toutes les personnes qui se sont croisées via l’appli« . Or, ce qui était dit jusqu’à présent, c’est que seules les personnes qui se sont croisées pendant plus de 15 min à moins d’un mètre via l’application voyaient leurs données collectées.
C’est Gaëtan Leurent, chercheur français en cryptographie à l’Institut national de recherche en informatique et en automatique (Inria), qui a fait cette découverte. Il a fait un test, qu’il explique : « J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique. »
I just realized that #StopCovid seems to send all contacts to the server, even passing on the other side of the street. This would contradict the official decree (contacts of 15min at 1m), and violate data minimization principle required by @CNIL and #GDPRhttps://t.co/tV7yj0AuSZ
— Gaëtan Leurent (@cryptosaurus6) June 12, 2020
Cédric O, secrétaire d’État au numérique, contacté par Mediapart, reconnait les faits et les justifie : il affirme qu’un identifiant est attribué à un appareil « tous les quarts d’heures ». « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. »
La Commission nationale de l’informatique et des libertés (CNIL) a affirmé à Mediapart que des enquêtes étaient « en cours ». L’application de traçage a peu convaincu les Français qui, le 16 juin, n’étaient que 1,4 million à l’avoir téléchargée en une semaine, soit seulement 2 % de la population.
