BFM Business

StopCovid: ce qui bloque entre le gouvernement et le duo Apple/Google

Cédric O

Cédric O - ERIC BARADAT / AFP

Info BFMTV - Le secrétaire d’Etat au numérique Cédric O a annoncé que l’application StopCovid n’utilisera pas le protocole développé par Apple et Google, avec pour conséquence de rendre le système incompatible avec l’iPhone. Une décision qui n’est pas uniquement politique.

L’application StopCovid non fonctionnelle sur iPhone? C’est le scénario qui semble se dessiner, à 24h du vote au sujet du système de traçage numérique, à l’Assemblée nationale. Dans une interview accordée ce dimanche 26 avril au JDD, le secrétaire d’Etat au numérique Cédric O a déclaré que l’application visant à détecter si un utilisateur a été en contact avec un malade du Covid-19 ne se basera pas sur la plateforme “clé en main” développée conjointement par Apple et Google. Leur solution logicielle propose de contourner des barrières techniques risquant de nuire à l’efficacité de StopCovid.

Selon des sources proches de l’équipe de développement, le principal frein est la protection des données personnelles. Le gouvernement souhaiterait notamment éviter un système aboutissant à traiter - même de façon chiffrée - une liste d'identifiants liés à des malades du Covid-19, tel que celui prévu par le duo Apple/Google.

Le cas de l’iPhone

Pour comprendre ce désaccord, il faut revenir sur le fonctionnement de l’application StopCovid. Cette dernière utilise le Bluetooth du smartphone pour détecter d’autres appareils à proximité. Chaque appareil détecté est lié à un identifiant anonyme, enregistré pendant 14 jours. Lorsqu’un utilisateur est testé positif, il le signale à l’application, qui envoie une alerte aux utilisateurs ayant son identifiant en mémoire.

Pour fonctionner correctement, l’application StopCovid doit donc activer le Bluetooth en permanence. Mais afin de protéger la vie privée de ses utilisateurs et d’éviter de les exposer à des programmes malveillants, iOS - le système d’exploitation mobile d'Apple - empêche les applications téléchargées sur l’App Store de solliciter le Bluetooth tout au long de la journée. Ce qui empêche l’application StopCovid de fonctionner.

Afin d’accorder une “dérogation” aux gouvernements dans la lutte contre le Covid-19, Apple a développé aux côtés de Google une plateforme pouvant servir de base à toute application de traçage numérique mobilisant le Bluetooth. Cette “brique” logicielle assure le bon fonctionnement de ces applications et leur bonne compatibilité entre tous les mobiles en circulation. 

Liste d’identifiants “contaminés”

Mais la solution d’Apple et Google est un produit “deux-en-un”. En plus de la gestion des “relations” Bluetooth entre les smartphones, elle intègre le système de correspondances entre les identifiants, indispensable pour envoyer les alertes aux bonnes personnes. Ce système de correspondances gère donc de fait les identifiants des machines, la donnée la plus sensible de ce système.

Selon les informations recueillies par BFM Tech, des experts français, allemands, italiens et espagnols sont particulièrement réservés sur un point précis: lorsqu’un utilisateur est testé positif au Covid-19, son identifiant remonte vers un serveur chiffré, géré par Apple et Google. Chaque utilisateur télécharge quotidiennement la base de données d’identifiants “contaminés”, afin que l’application détermine si l’un d’entre eux est également enregistré dans son historique des 14 derniers jours. 

D’après le protocole prévu par Apple et Google, cette base de données est hautement protégée. Eux-mêmes assurent n’avoir aucun accès à la liste des identifiants liés à des personnes contaminées. Mais pour les spécialistes européens consultés par le gouvernement, l’existence même de cette liste d’identifiants “contaminés”, et téléchargée par chaque appareil, est à risque, notamment en cas de piratage du serveur central comme des mobiles des utilisateurs. 

Pour l’heure, les chercheurs travaillant à l’élaboration de l’application StopCovid ont opté pour une autre solution, via un protocole baptisé “Robert”: lorsqu’un utilisateur est testé positif au Covid-19, ce n’est pas son propre identifiant qui est partagé mais les identifiants des machines enregistrées dans son historique, dont les propriétaires doivent être alertés. Un système qui a pour avantage de ne jamais établir de liste d’identifiants liés à des personnes “officiellement” infectées.

Ces différences de fonctionnement constituent pour le moment un important point de désaccord entre les équipes en charge de StopCovid et le duo Apple/Google. En l’état, le scénario d’une incompatibilité avec l’iPhone pourrait donc l’emporter face à l’hypothèse de l’utilisation du protocole américain. 

Une tendance qui pourrait s’inverser si Apple accorde une dérogation à l’application française pour accéder à l’ensemble des paramètres Bluetooth, ou si Apple et Google font évoluer leur dispositif, proposé à l’ensemble des pays touchés par l’épidémie, pour le faire converger vers le protocole “Robert”.

Autant d’incertitudes qui font de la sortie de l’application dès le 11 mai un véritable défi technique et politique. Faute de compatibilité avec l’iPhone, StopCovid ne pourra être utilisée que par les Français équipés d’un mobile Android, sont environ deux tiers de la population. D’après Cédric O, il n’existe pas de seuil minimal d’utilisation pour que cette dernière puisse s’avérer efficace.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech