Vidéo : pourquoi l’application StopCovid ne marche pas

Vidéo : pourquoi l'application StopCovid ne marche pas

StopCovid a connu une gestation difficile, émaillée de débats houleux et de critiques sur les choix technologiques à l’origine du projet. On aurait pu croire qu’avec la sortie officielle de l’application le 2 juin, l’affaire allait se tasser mais le projet d’application de contact tracing n’est pas au bout de ses peines. Comme le révèle France Info, le nombre d’utilisateurs de l’application peine sérieusement à décoller : deux semaines après son lancement, celui ci avoisine difficilement les 1,7 millions, ce qui représente 2 % de la population française. L’application ne serait efficace seulement si 80% de la population s’en munit.

Le premier jour de son lancement, l’application totalisait 600 000 téléchargement et peine depuis à faire de meilleurs scores. Et ce faible taux d’adoption fait pale figure, alors que son équivalent allemand clame avoir totalisé 6,5 millions de téléchargement dés son premier jour de disponibilité.

Le flot de critiques à l’égard de l’application StopCovid ne tarit d’ailleurs pas : un chercheur en sécurité a ainsi remis sur le devant de la scène les critiques portant sur la quantité de données remontées par l’application au serveur central. Dans un post sur le gitlab de l’application, le cryptographe Gaetan Leurent (connu notamment pour son travail sur la faille Sweet32) interroge le fonctionnement de l’application lorsqu’un utilisateur se déclare infecté. Selon le chercheur, le fonctionnement effectif de l’application va à l’encontre des décrets d’applications encadrant son usage et sa politique en matière de données personnelles : les tests conduits par le chercheur montrent que l’application fait remonter au serveur l’ensemble des contacts croisés pendant les 14 derniers jours, et non les contacts avec un risque de transmission.

publicité

La critique est aisée, le contact tracing est difficile

Cela aurait pu rester une simple entrée supplémentaire dans le bug tracker de StopCovid. Mais Mediapart a repris les constatations du chercheur et a interrogé le secrétariat d’état au numérique à ce sujet. La réponse du ministère rappelle ainsi qu’un nouvel identifiant est attribué « tous les quart d’heure » à l’utilisateur de l’application.

« Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. » Seule solution conçue pour pallier ce problème : faire remonter l’ensemble des contact sur le serveur afin de pouvoir y effectuer les traitement de données nécessaires permettant d’isoler les contacts à risques.

Les détracteurs de l’application rappellent que ces problèmes ont déjà été soulignés par le passé et sont ici inhérent au choix du protocole (ROBERT, protocole développé pour l’occasion par l’Inria), un protocole centralisé « maison ». Un choix assez critiqué par les homologues européens, qui se sont pour la plupart rangés derrière les protocoles décentralisés favorisés par Google et Apple. Lors d’une audition au Sénat de Margrethe Vestager, vice‑présidente de la Commission européenne en charge du numérique, celle ci a rappelé que le choix d’une approche centralisée « mettait la France dans une situation spécifique » face à ses homologues européens. L’Europe souhaite mettre en commun les données de contact tracing des différentes applications proposées par les États membres, mais les choix technologiques du projet StopCovid placent l’application à part.

Leave a Reply

Your email address will not be published. Required fields are marked *