Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

StopCovid : l'application collecte bien plus de données que ce que le gouvernement avait annoncé
Le secrétariat d'État au numérique s'explique

Le , par Stéphane le calme

622PARTAGES

22  0 
Dans un décret relatif au traitement de données dénommé « StopCovid » qui a été publié le 29 mai 2020, le gouvernement a identifié les données qui seraient traitées. Il est par exemple expliqué que, pour les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent, l’historique de proximité des contacts à risque de contamination par le virus du covid-19 est transmis au serveur central.

Cet historique correspond aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l'historique de proximité.

En clair, sur le papier, si vous avez téléchargé l’application StopCovid, que vous êtes atteint par le virus et que vous le déclarez dans l’application, alors les données transmises au serveur central seront celles des personnes avec lesquelles vous avez été en contact « à moins d'un mètre pendant au moins 15 minutes », et qui disposent aussi de l’application.

La collecte d’informations liées à un utilisateur de StopCovid devait donc se limiter à ces contacts-là : et non à la totalité des personnes croisées. Selon Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria, qui s’occupe du projet StopCovid), en pratique ce n’est pas le cas.

Sur la plateforme, il explique que trop de données sont envoyées au serveur :

« Quelles sont exactement les données envoyées au serveur quand un utilisateur se déclare malade?
  • Tous les contacts croisés pendant les 14 derniers jours, ou
  • Uniquement les contacts avec un risque de transmission, c'est-à-dire à moins d’un mètre pendent plus de 15 minutes

« Le décret relatif à StopCovid indique la deuxième option, qui suit le principe de minimisation des données demandé par la CNIL et le RGPD. Cependant, à ma connaissance, la version actuelle de StopCovid utilise la première option. Elle envoie donc une grande quantité de données au serveur qui n'a pas d'intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée.

« Est-ce que vous travaillez sur une mise en place de la deuxième option?

« Le principe de minimisation des données du RGPD, mentionné aussi dans l'avis de CNIL voudrait qu'on utilise la deuxième option ».

Selon lui, les textes (notamment l’arrêté et le décret qui encadre le déploiement de StopCovid) indiquent clairement la situation 2 : l'application ne traite et stocke que les contacts « à risque de contamination » et en cas de déclaration du malade, ne transmet que les contacts « à risque de contamination ». D'après l'arrêté, cela signifie à moins d'un mètre pendant plus de 15 minutes.


« Malheureusement, l'application StopCovid utilise apparemment la première option. J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).

« Ce comportement est aussi confirmé par les Administrateurs StopCovid

« Bizarrement, il y a du code dans l'application qui a l'air d'implémenter un algorithme de mesure de distance de Gorce, Egan et Gribonval, mais ce code n'est apparemment pas utilisé par le reste de l'application. Si ce comportement est confirmé, je pense que c'est en contradiction avec le décret qui encadre l'utilisation de StopCovid, et cela présente un vrai risque pour le serveur d'apprendre le graphe social des utilisateurs ».

Le secrétariat d’État au numérique s'explique

Contacté par Mediapart, le secrétariat d’État au numérique n’a pas remis en cause ces révélations : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». Sous-entendu : tous les contacts, et non pas seulement les plus proches.

Cependant il a tenu à les justifier. Il explique que « tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil » : « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. »

Raison pour laquelle « le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur ». C’est donc le serveur qui va déterminer, entre tous les contacts de la personne positive, ceux qui auront été exposés suffisamment près et suffisamment longtemps.

Ces explications ne convainquent, cependant, pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. »

Le chercheur estime que « Ce qui serait plus respectueux de la vie privée, c’est que le téléphone calcule » lui-même la distance qui le sépare d’un autre repéré par Bluetooth, puis envoie au serveur, le cas échéant, seulement ceux qui seront restés assez près, assez longtemps. « Ce qui est dommage, c’est que si on envoie tous les contacts, c’est beaucoup plus d’infos que ce qui est utile. Il y a un risque sur la vie privée en cas de réidentification ou de recyclage des infos par malveillance. » Car la portée du Bluetooth peut aller, selon la puissance des appareils, émetteurs et récepteurs, jusqu’à une vingtaine de mètres.

Pour Baptiste Robert, hacker et chercheur en sécurité informatique qui a participé à la recherche de bugs dans l’application, l’envoi de tous les contacts permet « de voir des récurrences » : chaque jour, « on croise les mêmes personnes, on bosse avec les mêmes personnes ». Ainsi, des acteurs mal intentionnés pourraient « réidentifier la donnée assez rapidement ». Il regrette le choix qui a été fait, car selon lui, « l’appli pourrait trier ce qu’elle envoie ».

La Commission nationale informatique et libertés (CNIL) a fait savoir à Mediapart que des contrôles étaient « en cours » sur le sujet. Au secrétariat d’État au numérique, on assure, ce mardi 16 juin, que la CNIL a été parfaitement informée du fonctionnement réel de StopCovid et que son avis sur le dispositif, largement positif et rendu mardi 26 mai, a été pris en toute connaissance de cause.

Sources : Gaëtan Leurent, Mediapart

Et vous ?

Que pensez-vous de ces explications ?
Que pensez-vous de la proposition de Gaëtan Leurent ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Cpt Anderson
Membre expérimenté https://www.developpez.com
Le 24/06/2020 à 8:41
Il y a au moins une chose qui reste certaine en ce bas monde : la France est nulle en terme d'anticipation mais reste championne du monde pour ce qui est des dépenses inutiles.
15  0 
Avatar de pierre-y
Membre expérimenté https://www.developpez.com
Le 17/06/2020 à 13:28
je ne sais pas pourquoi, je revois macron en train de piailler qu'il n'y a jamais eu de pénuris de masque et que donc les policiers, le personnels hospitalier, la population et les pompier n'en portaient juste pas ou alors des périmés car ça les amusaient de choper le virus. Et apres des affirmations a la con comme ça, il y en a encore pour croire que la macronie ne va pas les entuber.
12  2 
Avatar de axel584
Membre actif https://www.developpez.com
Le 24/06/2020 à 9:57
Tous les sites et les réseaux sociaux ont expliqués pendant plusieurs semaines que l'application était liberticide, intrusive etc. Il ne faut pas s'étonner que peu de personnes l'utilisent...

Alors que d'après moi, elle l'est beaucoup moins que d'autres applications, mais que les précautions présentées donnaient effectivement une impression d'atteintes aux libertés (à force de dire que ce n'est pas géolocalisé, c'est du bluetooth, les données sont anonymisées etc. les gens se méfient de toutes ces précautions présentées...)
A côté de ça, on a des applis comme Facebook qui nous géolocalise ("machin n'est pas très loin, faites lui coucou"... "Attention, un attentat à eu lieu à côté de chez vous, dites aux gens que vous allez bien"...) et cela semble moins poser de problème éthique...
Je rappelle juste que pour les entreprises, si c'est gratuit, c'est vous le produit...

Et pour nos gouvernements, nous sommes une majorité à les avoir choisi... (oui, on aurait pu mieux choisir, mais c'est un autre débat)
11  1 
Avatar de pierre-y
Membre expérimenté https://www.developpez.com
Le 26/08/2020 à 16:03
A si il y a eu les résultats voulu. La boite du bon copain qui a eu ça en charge c'est fait un max de blé dessus et si je ne me plante a même surfacturé les serveurs.
10  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 21/07/2020 à 10:22
Et je trouve ce genre d'article sur le COVID bien plus pertinent que ces soi-disant applis de suivi :

https://theconversation.com/covid-19...afrique-139943

les Africains ont l'expérience d'Ebola. Les asiatiques ont l'expérience de la grippe aviaire (et quelques autres). et on continue à ignorer leurs retours d'expérience. Pas étonnant qu'on en prenne plein la tronche. L'article est sans doute angéliste par bien des aspects, mais il point une faille réelle de l'occident : son complexe de supériorité.
8  0 
Avatar de Angelsafrania
Membre confirmé https://www.developpez.com
Le 24/06/2020 à 15:40
Citation Envoyé par axel584 Voir le message
Et pour nos gouvernements, nous sommes une majorité à les avoir choisi... (oui, on aurait pu mieux choisir, mais c'est un autre débat)
Majorité ?

20,7M de voix pour macron au second tour
=> 66,1 % des suffrages exprimés aka pas null/blanc (le chiffre qui est dans tous les journaux)
=> 43,6 % des inscrit sur les listes électorales (ça le fait moins déjà)
=> 30,9% de la population française (là y'a les jeunes aussi mais bon en quoi ceux qui avait 17 ans à l'époque et qui ont 20 ans maintenant l'on choisi ?)

On peut faire pareil pour l'ensemble des votes.

Mais c'est un autre débat.
8  1 
Avatar de Acheumeuneu
Membre habitué https://www.developpez.com
Le 18/07/2020 à 9:24
Je crois que c'est aussi le pourcentage de confiance envers ce gouvernement
7  0 
Avatar de walfrat
Membre éprouvé https://www.developpez.com
Le 24/06/2020 à 16:09
Citation Envoyé par Ryu2000 Voir le message
  1. Il n'y a pas de campagne massive de test donc l'application ne sert à rien
  2. Google et Apple développent une application, donc on n'a pas besoin de gaspiller des ressources pour développer une application Française


J’espère que la prochaine pandémie sera mieux gérée, parce que confiner tout le monde pour gagner du temps, c'est pas génial comme protocole (mais la France n'avait pas les moyens de faire mieux).
La prochaine fois il faudra cibler les personnes qui devront se confiner.
Désolé mais là je downvote. C'est à cause de cela qu'on a plein de service gratuit qui sont hébergés sur les serveur américains et que nos données sont dans la nature, et il me semble que tu râles régulièrement là dessus.

L'initiative a peut-être pas été mener le mieux du monde, mais pour moi l'intention étais bonne. Je préfère une application Covid gouvernement français que Google ou Facebook.
6  0 
Avatar de brulain
Membre régulier https://www.developpez.com
Le 26/08/2020 à 14:10
Dans le contexte actuel, la mission des managers qui nous gouvernent est triple :
  • Favoriser le business des entreprises pharmaceutiques (vaccin à venir).
  • Ralentir la grogne montante depuis de nombreux mois.
  • Se protéger au mieux d'éventuelles conséquences juridiques.


Leur bidule est un ingrédient du 3ème point qui, comme le reste, ne sert à rien, ce qui constitue un moindre mal.
6  1 
Avatar de watchinofoye
Membre averti https://www.developpez.com
Le 26/08/2020 à 16:00
Citation Envoyé par Patrick Ruiz Voir le message
Êtes-vous en accord avec l’avis selon lequel l’installation de StopCovid sur la base du volontariat est pour beaucoup dans l’explication de son échec ?
Suivi de la propagation du coronavirus par smartphones : qu’est-ce qui n’a pas marché selon vous ? Quels sont les facteurs qui expliquent cet échec
En admettant qu'il soit possible d'obliger les gens à installer l'application (quid des gens qui n'ont pas de smartphones, par choix ou par contrainte ?), ça n'aurait vraiment eu d'effet que si les gens se soumettaient au bon vouloir de l'Etat, ce qui est loin d'être le cas en Europe (heureusement, d'ailleurs). Une obligation aurait très probablement provoqué une réactance de la part des gens, qui auraient trouvé des combines (comme désactiver le Bluetooth, l'installer sur un vieux smartphone secondaire qui reste bien sagement à la maison).
De plus, l'application n'est pas vraiment fiable, soulève certaines questions sur son implémentation douteuse et choque par le coût de sa maintenance. Si on veut chercher des causes de son échec, je proposerais plutôt de chercher de ce côté-là.
5  0