L'application StopCovid est censée enregistrer les contacts à moins d'un mètre pendant au moins quinze minutes, des informations qui sont envoyées à un serveur central dès lors que l'utilisateur déclare un diagnostic positif au coronavirus. Mais dans les faits, l'app française de traçage des contacts va beaucoup plus loin : c'est l'ensemble des contacts rencontrés durant les 14 derniers jours qui sont enregistrés et transférés au serveur le cas échéant, peu importe la distance avec les personnes et le temps passé ensemble.
La découverte, relatée dans Mediapart, est le fruit des travaux de Gaëtan Leurent, chercheur français de l’Institut national de recherche en informatique et en automatique — l'Inria, qui a supervisé le développement de StopCovid — et également coauteur du site risques-tracage.fr. Dans le GitLab du projet, il décrit la manière dont il s'y est pris pour déterminer le volume des informations enregistrées et partagées.
J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique (je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).
Comme il l'écrit lui-même, ce comportement semble bel et bien en contradiction avec le décret et l'arrêté encadrant l'utilisation de l'application. Les textes gravent dans le marbre les critères de distance et de durée : « moins d'un mètre pendant au moins 15 minutes entre les utilisateurs de l'application ». Difficile de faire plus clair.
StopCovid ne devrait donc envoyer au serveur central que les identifiants des smartphones répondant à ces critères. Mais comme l'a démontré Gaëtan Leurent, ce n'est pas le cas. Le secrétaire d'État au numérique, Cédric O, défend son bébé auprès de Mediapart : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». En substance, il reconnait que l'app stocke et partage tous les contacts, pas uniquement ceux qui respectent les conditions du décret.
C'est le serveur qui fait le tri entre les contacts : « Le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur », poursuit Cédric O. Une opération qui pourrait être traitée directement en local, sur le smartphone. Malgré tout, « il n’y a pas de possibilité de reconstitution de graphe social par le serveur puisqu’il ne conserve que les données relatives à la personne exposée (et non à la personne positive) », ajoute le secrétariat d'État.
Une difficulté technique mise en avant par le gouvernement est qu'un nouvel identifiant est généré toutes les quinze minutes pour un même appareil. Un contact ne durant que 5 minutes avec un identifiant pourrait se poursuivre pendant 12 minutes supplémentaires avec un nouvel identifiant, soit 17 minutes en tout. Ce qui en ferait un contact potentiellement à risque. Gaëtan Leurent pense toutefois que le smartphone pourrait filtrer les données pour conserver les contacts courts quand ils sont « juste avant ou juste après un changement d’identifiant. Ça éliminerait déjà la majorité des contacts courts ».
La Cnil, interpellée par Mediapart, a affirmé que des contrôles étaient en cours sur le fonctionnement de l'application.
