En une semaine, 1,4 million d’activations ont été dénombrées, précisait au Monde, mardi 9 juin, le cabinet de Cédric O, le secrétaire d’État chargé du numérique. Ce chiffre, qui représente environ 2 % de la population française. Le gouvernement a fait savoir que ce chiffre ne correspond pas simplement à des téléchargements, mais bel et bien à l'activation de l'application qui a par ailleurs recours au Bluetooth ; en clair, mardi 9 juin, 1,4 million d’utilisateurs ont téléchargé StopCovid, ouvert l’application, puis ont cliqué sur le bouton « J’active StopCovid » après l’avoir autorisé à utiliser le Bluetooth du smartphone qui est la technologie servant à enregistrer les téléphones à proximité.
Un pourcentage somme toute bien faible. S’il fallait mettre des statistiques en perspective, nous pourrions noter que CovidSAFE, l’application australienne de contact tracing, a été téléchargée par 8% de sa population en un peu plus de 24 heures, bien sûr sur la base du volontariat. À ce propos, le ministre australien de la Santé a déclaré « plus de 2 millions d'Australiens ont volontairement téléchargé et se sont inscrits sur la nouvelle application de coronavirus, COVIDSafe. C'est une grande réussite pour les Australiens qui jouent leur rôle en se protégeant eux-mêmes, leur famille et la communauté de la propagation du coronavirus. Surtout, cela protégera nos travailleurs de la santé, qui ont également été à l'avant-garde pour encourager les gens à télécharger et à s'inscrire. Nous remercions tous ceux qui ont téléchargé l'application et se sont inscrits et nous encourageons ceux qui ne l'ont pas encore fait à le faire. Nous avons franchi cette étape en un peu plus de 24 heures depuis que l'application était disponible pour inscription ».
Plus tôt dans la semaine, sur le plateau de France 2, Cédric O avait déclaré : « Évidemment, il faudra que plusieurs millions de Français téléchargent l'application, mais c'est un très bon démarrage. [...] Tout le monde doit télécharger l'application, mais c'est d'autant plus important pour les personnes qui croisent des gens qu'elles ne connaissent pas, pour ceux qui prennent les transports en commun, ceux qui vont dans les restaurants, les bars, les magasins, parce que c'est là que le virus circule. »
Si Cédric O n'a jamais voulu se donner d'objectif d'utilisateurs, il avait, lors de son plaidoyer devant les députés, assuré que l'application serait efficace dès lors qu'elle serait adoptée par au moins 10 % de la population, soit 6 à 7 millions de Français. Cet écart entre les attentes et la réalité n'est toutefois pas suffisant pour inquiéter le secrétariat d’État au numérique qui assure au Monde qu'il est trop tôt pour tirer des conclusions. D’ailleurs, pour encourager les mobinautes à télécharger l’application, le gouvernement veut miser sur une large campagne de communication qui va cibler « les lieux à forte densité dans les transports en commun ». Elle comportera notamment des panneaux numériques dans les transports en commun, des spots diffusés à la radio et des publicités sur les réseaux sociaux.
Une autre métrique intéressante : le nombre d’utilisateurs actifs, soit le nombre d’applications qui, quotidiennement, sont actives et peuvent enregistrer les contacts rapprochés. Le secrétariat d’État au numérique ne dispose pas de cette donnée pour le moment.
Plusieurs experts indépendants sont cependant parvenus à une estimation de ce nombre. Ils ont profité du fait que, lorsqu’elle est activée, StopCovid dialogue régulièrement avec plusieurs serveurs centraux. Ces chiffres, accessibles dans un premier temps librement, ont ainsi permis de déterminer le nombre d’applications dialoguant, chaque minute, avec le serveur. La valeur obtenue, qui varie selon les calculs effectués, plaçait en fin de semaine dernière le nombre d’utilisateurs actifs aux alentours de 350 000 (soit environ 0,5 % de la population française), selon trois experts ayant réalisé ces calculs et interrogés par Le Monde.
Une polémique autour de la collecte des adresses IP
C’est un élément qui pourrait représenter (ou non) une épine dans le pied de l’adoption de l’application. Tout est parti d’une discussion sur GitLab, au sujet de la collecte de données autour de l’application serveur. L’auteur de la discussion, François Lesueur, qui est maître de conférences en informatique, faisait observer le 29 mai :
« À ma connaissance, il n'y a aucune information concernant les données qui seront collectées en dehors de l'application : journaux du serveur, journaux du réseau, proxys, etc. Ces informations incluent l'IP source et le port, mais peuvent également inclure certains détails techniques de l'appareil demandé.
« La journalisation est une pratique de sécurité basique et je serais surpris qu’il n’y ait aucune journalisation du tout. S’il y a une certaine journalisation, là, les détails doivent être révélés, car ils pourraient être en contradiction avec les propriétés de confidentialité annoncées ».
Julien Dubois, spécialisé en Java, qui avait expliqué le 28 mai que tout centraliser n’était pas une bonne idée et que les adresses IP allaient probablement figurer dans la journalisation a reçu une réponse le lendemain lui confirmant que cela ne serait pas le cas. Aussi, lorsqu’il a eu un échange avec Le Monde, il a dit qu’il ne pensait pas que les adresses IP étaient tracées : « C'était techniquement possible, mais je ne voulais pas être paranoïaque et j’avais confiance en la réponse de ces gens. Même s'il est moins efficace, il est en effet parfaitement possible de configurer votre passerelle API et vos logs, de ne stocker aucune information IP. C'est ce que proposent de nombreux fournisseurs de cloud et éditeurs de logiciels. »
Pourtant, il y a quelques heures, il est tombé sur le billet de François Lesueur : « Alors imaginez ma surprise quand j'ai vu ce billet de François Lesueur ce matin : ils prétendent désormais stocker votre adresse IP comme si c'était quelque chose de parfaitement normal ! »
Et de continuer en disant « Les développeurs de StopCovid ne semblent pas tous d'accord sur la question de savoir s'ils stockent les IP ou non. L'ensemble du système semble cassé depuis le début (mon premier fil était correct). Le protocole ROBERT est bon en théorie, pas en pratique. Je n'utiliserais pas cette application si j'étais toi ».
Baptiste Robert, un chercheur en cybersécurité, a réagi en ce tweet en disant :
« L'application française de contact tracing StopCovid stocke l'adresse IP des utilisateurs côté serveur. Pendant ce temps, nos politiciens affirment toujours que c'est totalement anonyme... Cédric O je peux sentir une violation du RGPD ici, l'application ne demande pas la permission à l'utilisateur de stocker son IP. »
Sources : Le Monde, ministère australien de la santé, Julien Dubois, François Lesueur, Baptiste Robert