BFM Business

StopCovid: dix questions pour tout comprendre de l'application de traçage du gouvernement

Annoncée il y a deux mois par le gouvernement, l’application StopCovid est disponible depuis ce 2 juin. Mais son efficacité reste difficile à évaluer.

Le 8 avril, le gouvernement dévoilait les contours de l’application StopCovid, qui a vocation à effectuer un “traçage” numérique des utilisateurs, afin de les alerter s’ils ont cotoyé un malade du coronavirus. Près de deux mois plus tard, l'application arrive sur l'App Store (Apple) et le Google Play Store (Android). Voici ce qu'il faut savoir de son fonctionnement, et de ses limites.

Comment télécharger l'application?

Tous les utilisateurs souhaitant utiliser StopCovid peuvent y accéder en passant par les magasins d'applications officiels d'Apple et Google: l'App Store et le Google Play Store. Dès ce 2 juin à midi, l'application apparaîtra et pourra être téléchargée gratuitement.

Quelle est la technologie utilisée?

Pour le fonctionnement de StopCovid, le gouvernement a opté pour l’utilisation du Bluetooth, un protocole de communication qui permet de détecter des smartphones à proximité - quelques mètres environ. Si ceux-ci sont également équipés de l’application, alors ils seront détectés. Le principe étant que si un mobile est détecté par le Bluetooth de son smartphone, son propriétaire se situe à proximité et peut donc risquer de nous contaminer.

Qu’est-ce que l’application peut faire?

L’application peut établir une liste de tous les smartphones détectés par le Bluetooth, stockée uniquement sur le téléphone. Cette liste ne contiendra aucun nom, mais des identifiants numériques aléatoires, afin de protéger la vie privée des utilisateurs. Ces identifiants seront conservés pendant 14 jours, le temps estimé d’incubation lors d’une infection au Covid-19. Si un utilisateur est infecté, il le signalera à l’application, qui alertera tous ceux qui ont son identifiant en mémoire.

Qu’est-ce que l’application ne peut pas faire?

Étant basée sur le Bluetooth, l’application ne fait pas appel au GPS. L’application StopCovid ne peut donc pas géolocaliser l’utilisateur. Elle ne peut pas non plus enregistrer les noms des utilisateurs dont le téléphone a été détecté à proximité par le Bluetooth. Comme évoqué plus haut, elle ne peut pas non plus afficher le nom de la personne malade, en cas d’alerte. Plusieurs rumeurs ont par ailleurs évoqué l'enregistrement de la liste de contacts par StopCovid, ainsi qu'une installation automatique de celle-ci. Des informations erronées.

Peut-elle fonctionner sur tous les téléphones?

En théorie, l’application peut fonctionner sur iOS (Apple) et Android (Google). Mais pour détecter les smartphones à proximité, elle doit activer en permanence la recherche Bluetooth. Ce qu’empêchent en principe les iPhone et une partie des smartphones Android, afin de protéger les utilisateurs de programmes malveillants et/ou trop gourmands en énergie. Malgré tout, le gouvernement assure avoir trouvé un moyen de permettre à l'application de fonctionner correctement, sur tous les modèles de smartphones.

Que viennent faire Apple et Google là-dedans?

En charge du développement d’iOS et d’Android, Apple et Google sont les seuls à pouvoir accorder des “dérogations” aux applications, afin qu’elles puissent passer outre les limites fixées par leurs systèmes d’exploitation. Notamment pour utiliser le Bluetooth en continu, et pour “interdire” au système de les désactiver. Ils ont donc proposé de fournir une partie du code de l’application afin que celle-ci puisse fonctionner correctement sur tous les mobiles. Ce “moteur” de l’application est fourni gratuitement aux gouvernements, et peut s’adapter à toutes les interfaces choisies, dont celles de StopCovid. Une offre refusée par les autorités françaises, qui ont opté pour une solution indépendante.

Le gouvernement aura-t-il accès aux données?

Les données abritées par StopCovid sont essentiellement des listes d'identifiants anonymes. Ces informations sont conservées sur les smartphones des utilisateurs. Si l'un d'entre eux se signale positif au virus, alors la liste des contacts détectés est partagée sur un serveur central, afin que ces derniers puissent recevoir une alerte. Ce serveur, chiffré, ne sera pas accessible au gouvernement.

Comment pourra-t-on se signaler positif au Covid-19?

Pour se signaler positif, l'utilisateur doit entrer un code envoyé par le laboratoire d'analyses, ou par son médecin, après avoir réalisé un test. Une procédure de sécurité mise en place pour éviter tout signalement erroné, et ainsi des alertes inutiles.

StopCovid est-elle bien sécurisée?

Afin de s'assurer de la bonne sécurisation de StopCovid, le gouvernement a mis en place un "bug bounty", une récompense promise à tout spécialiste en cybersécurité capable de trouver des failles de sécurité. Au total, sept bugs, jugés non critiques, ont été identifiés et corrigés.

Est-on sûr que ça va fonctionner?

L’application StopCovid ne peut à elle seule accompagner le déconfinement de la population. Son usage implique de tester largement les cas suspects, et, éventuellement, de fournir des masques pour mettre en place des protections supplémentaires pour les personnes ayant reçu une alerte.

L’usage du Bluetooth est par ailleurs un défi de taille. Ce protocole n’est pas conçu pour mesurer une distance, mais uniquement pour détecter un appareil. Sa fiabilité sera essentielle pour que StopCovid puisse être efficace.

Enfin, cette application devra être largement adoptée pour porter ses fruits. Avec un téléchargement basé sur le volontariat, rien ne permet d’assurer que le succès sera au rendez-vous. Il faut aussi rappeler qu'à ce jour, plus de 20% des Français ne disposent pas de smartphone.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech