StopCovid : une collecte plus large qu'annoncé ? (StopData...)

Depuis peu, l'application StopCovid du Gouvernement français vise à lutter contre le coronavirus-19, en aidant de manière complémentaire à renseigner l'utilisateur s'il est entré ou non en contact avec une personne positive au virus pandémique (et qui est, pour rappel, toujours actif, de même que les recommandations d'hygiène comme le PORT du masque vivement recommandé en extérieur, dès lors que l'on sort de chez soi pour aller dans un lieu public ou fréquenté par d'autres personne, hors cercle du foyer familial). Gaëtan Leurent, de l’Institut National de Recherche en Informatique et en Automatique (INRIA), enfonce le clou déjà amorcé ces dernières semaines concernant le sujet délicat de la collecte de données : StopCovid aurait un champ d'action, à ce niveau, bien plus large que ce qui a été annoncé à ses débuts.

 

 

"StopCovid enregistre beaucoup plus de données que ce qui est nécessaire pour identifier les contacts à risque (y compris les contacts de 10 secondes à 10 mètres de distance). Toutes ces données sont envoyées au serveur si vous vous déclarez comme malade...", tweet le chercheur et analyste en cryptographie en date du 15 Juin. Selon ses conclusions, l'ensemble des "contacts croisés pendant 14 jours" seraient enregistrés sous la coupe de l'application : "j'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de seconde avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé)".

"Tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que 5 minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques", explique le Gouvernement en réponse à MediaPart et l'article dédié cité par le chercheur dans son billet. En aparté, la CNIL entame depuis début Juin dernier ses investigations sur le sujet... A suivre !

 

Source : Gaëtan Leurent (Twitter) - 15 Juin 2020 - StopCovid : un champ d'action plus large en terme de collecte de données.