J'ai testé l'application StopCovid
Published on
Mardi 2 juin 2020 le gouvernement français rendait accessible l’application StopCovid après avoir reçu l’aval de l’Assemblée Nationale et du Sénat quelques semaines auparavant. Le projet est censé retracer les chaînes de transmission entre individus, afin d’isoler les nouveaux cas et limiter la propagation du virus. Deux mois après sa mise en service, l’application s’est elle montrée utile ?
Si les porteurs du projet au sein du gouvernement Cédric O et Olivier Véran, respectivement secrétaire d’État chargé du numérique et ministre de la santé, n’ont cessé de communiquer sur les bien-fondés de la démarche, l’application n’a, dès le départ, pas fait l’unanimité lors des premiers débats à l’assemblée. Une partie de l’opposition accusait StopCovid de fournir des données non-confidentielles, voire de récupérer frauduleusement les contacts téléphoniques des utilisateurs. Cette dernière information, depuis démentie, n’a pour autant pas calmé certains esprits. Dès l’annonce du projet, le gouvernement ne voyait pas l’intérêt de le soumettre au débat. Gilles Legendre, actuel chef de fil du groupe LREM, s’était en effet opposé au vote parlementaire le 20 Avril 2020. Dans le même temps et après de multiples échanges, l’application a reçu un premier avis favorable de la CNIL (Commission Nationale de l’informatique et des Libertés). Sollicitée lors de la phase de conception, cette dernière observait au début quelques réserves sur la confidentialité des données. Dans son rapport du 25 mai toutefois, elle s'est voulue rassurante : « l’application StopCovid ne conduira pas à créer une liste des personnes contaminées, mais simplement une liste de contacts entre pseudonymes, respectant ainsi le concept de protection des données dès la conception ».
Smartphone en main, qu'en est-il de l'application ? Tout d'abord, l’interface se veut rassurante et joue la transparence. Avant activation, différents rappels m'énoncent le respect du règlement européen sur la protection des données personnelles (RGPD). On m'indique de manière détaillée le fonctionnement de l’application, la méthode d’échange des données ainsi que les lieux de stockage de ces dernières (téléphone et serveur du ministère de la santé). À aucun moment je ne dois donner mon nom, fournir mon numéro de téléphone, date de naissance ou autre information médicale. Les utilisateurs reçoivent chaque jour un pseudonyme aléatoire et temporaire qui constitue leur « historique de proximité ». En réalité, le seul moment qui nécessite une action active de ma part est quand je dois certifier ne pas être un robot, et remplir la « captcha », système permettant de différencier un utilisateur humain d'un ordinateur. J'active ensuite ma connexion Bluetooth nécessaire au transfert de données et me voilà parti. En route avec mon téléphone dans la poche, prêt à arpenter les rues toulousaines.
Et si je suis diagnostiqué malade ? Il faudra me déclarer officiellement infecté. Pour ce faire, il suffit de scanner un QR code délivré après un test positif officiel. Fort heureusement pour moi, l’expérience n’a pas permis d’utiliser cette fonction jusque là.
Un outil boudé
L’application totalise actuellement autour de 2 millions de téléchargements, plateformes Apple et Android confondues, soit environ 3% de la population (l’équivalent allemand fait un peu mieux et oscille aux alentours de 15 millions de téléchargements). Les différents experts jugent l’application « efficace » si au moins 60% de la population l'active. Au niveau de l'impact cette fois, le secrétaire d’État chargé du numérique déclarait il y a peu au journal Libération que 68 personnes s'étaient déclarées « atteintes du Covid-19 par QR code dans l’application. Ces 68 personnes ont remonté dans le serveur central, un total de 205 autres utilisateurs. Ce qui veut dire que dans les deux jours qui ont précédé leur déclaration, ces 68 personnes ont été en contact avec 205 personnes qui avaient eux aussi l’application. Sur ces 205, 14 ont donné lieu à notifications, car jugés contacts à risque. » Des premiers retours d’expérience plutôt en deçà des espérances gouvernementales, mais il ne faut pas non plus négliger la portée de ces chiffres. Le gouvernement insiste en effet sur le fait que « dès les premiers téléchargements, [l’application] évite des malades, des hospitalisés et des morts », surtout à l'heure où l'on observe sur le territoire national des exemples de mariages ou de retrouvailles familiales qui dégénèrent en cluster épidémique suffisants pour provoquer des recrudescences dans certains départements.
Si l’application bénéficie d’une interface aisée et rassurante, certains spécialistes du numérique se veulent plus nuancés sur l’application. La Quadrature du net, l’association de défense des droits et libertés de la population sur Internet, révélait l’utilisation d’un outil Google suite à la publication du code source de l’application. Il s’agit de la fameuse « captcha » évoquée plus haut, nécessaire avant activation. La présence de ce « corps étranger » au sein même de StopCovid signifierait l’envoi de données vers les serveurs Google, venant compromettre les allégations de Cédric O sur la récolte et le stockage sur des serveurs informatiques tricolores. Qualifié de « mouchard » par les spécialistes, cela vient ternir la campagne de communication du gouvernement sur sa complète souveraineté numérique. La CNIL, au départ plutôt favorable au projet, a depuis mis en demeure le gouvernement après des contrôles fin juin suite à l’utilisation de ce mode d’identification du géant Google.
De son côté, le chercheur français en cryptographie de l’INRIA (l’Institut National de Recherche en Informatique et en Automatique) Gaëtan Leurent démontrait il y a peu que l’application envoyait des données à plusieurs mètres de distance, contre un mètre annoncé officiellement. Suite à ses tests, il ajoutait également : « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée ». Il apparaît pour le moment difficile de dire quelles d’informations sont réellement ou non communiquées. L'appli me permet en tout cas, en un clic d'effacer ces données. Elles sont également supprimées automatiquement au bout de 14 jours.
D'obstacles en obstacles
Si des doutes subsistent sur la technique, une énième explication réside peut-être dans son utilisation à proprement parler. Pour détecter une possible contamination, un nombre important d’étapes doivent se succéder. Tout d’abord, il faut que deux personnes aient un smartphone (environ 77% de la population, 44% chez les plus de 70 ans). Le téléchargement seul ne suffit pas, il faut avoir activé StopCovid et autorisé les communications Bluetooth. Par la suite, nous explique le gouvernement, les personnes doivent se tenir à proximité l’une de l’autre pendant au moins 15 minutes pour être enregistrées comme potentielles contaminées. Il faut également que la technologie Bluetooth fonctionne correctement, soit entre 70 et 80% des cas, nous assure Cédric O.
Au-delà de ces considérations techniques, une personne malade doit préalablement s’être faite dépister à l’aide d’un test PCR (Polymerase Chain Reaction), et que le test ne soit pas un faux négatif pour obtenir l’autorisation de se déclarer « malade » via l’application. Mis bout à bout, le nombre d’exigences requises alliées aux probabilités énoncées amenuisent les chances de détections. L’expérience réalisée pour cet article n’a permis pour le moment aucune remontée d’alerte. Elle a pourtant été menée dans des environnements et contextes variés. Trois semaines durant, je me suis baladé sur des terrasses de café, restaurants, fait des promenades en milieu urbain, fait les magasins, etc. Difficile de dire à ce stade si les contacts ont été trop brefs, trop lointains ou tout simplement qu’aucune personne affectée déclarée sur l’application ne se trouvait à proximité. L’expérience a été réalisée à Toulouse, quatrième ville de France en terme de démographie mais cependant loin des clusters historiques français comme Paris ou l’est du pays.
Autre piste plausible : après plusieurs semaines de confinement, la France n’a-t-elle pas éprouvé un profond besoin de combattre un sentiment anxiogène ? La réouverture des bars et restaurants associée à une météo plus qu’estivale a favorisé un sentiment d’insouciance face au virus. Loin d’être dans une hausse massive de nouveaux cas, la réalité des chiffres fin juin semblait tout de même plus nuancée. Les départements de Meurthe-et-Moselle et Meuse dans l’est du pays indiquaient une recrudescence de cas dépassant même les seuils de vigilance (10 cas pour 100 000 habitants) sans toutefois atteindre le niveau d’alerte fixé à 50 cas pour 100 000 habitants. Début juillet l’exception française semble s’effriter toujours un peu plus avec la constitution d’un peu plus de 200 clusters. En dehors du Grand-Est, les régions actuellement les plus touchées se situent autour de la côte aquitaine et méditerranéenne victimes des départs en vacances massifs. L’épidémie au niveau mondial semble observer une tendance similaire, l’Espagne et l’Allemagne côté européen remettant même certaines régions en quarantaine. Des indicateurs qui pour le moment ne poussent pas la population française à télécharger frénétiquement l’application.
« Tel projet aurait normalement nécessité un temps de développement d’un à deux ans »
Au final, StopCovid bénéficie à l’heure actuelle d’un bilan en demi-teinte. D’un point de vue strictement utilisateur, elle semble parfaitement opérationnelle. Coté performance téléphonique, utiliser de manière permanente le Bluetooth affecte évidemment les performances du téléphone et la batterie s’épuise légèrement plus vite. De l'autre côté de la balance, aucun bug majeur n'a été réellement constaté durant l’expérience. Cédric O rappelait toujours au journal Libération qu’un « tel projet aurait normalement nécessité un temps de développement d’un à deux ans ». Malgré des acteurs importants sur le projet (Capgémini, Orange, Dassault), la France n'a que peu d’expérience sur des phénomènes similaires (épisode SRAS) à l’instar de pays comme la Chine ou la Corée, et sûrement une population plus réticente face à ces systèmes.
Mais la bataille n’est pas terminée pour autant, et le gouvernement semble apprendre de ses erreurs. Il a d’ailleurs récemment son application à une campagne de « bug bounty », sorte de chasse au trésor aux bugs réalisée par un nombre important de « hackeurs éthiques » de tous horizons. Cette pratique bien connue du monde de la cyber sécurité se révèle dans la majorité des cas extrêmement bénéfique car elle permet de remonter des problèmes persistants et autres failles, et donc de rendre l’application plus fonctionnelle mais aussi et surtout plus sûre.
Le viseur gouvernemental s'oriente vers une utilité sur le long terme. L'outil sera présent lors d’une hypothétique seconde vague. Mais la banalisation d'un tel outil n'est pas vue d'un bon oeil par certains. « Tout ce qui est techniquement possible est-il souhaitable ? », pose ainsi le député à l'assemblée nationale Jean-Luc Mélenchon. Les multiplications des formes d’ État d’exception ainsi que le rapprochement toujours plus important entre structure privée et gouvernementale favorisent l’émergence d’une économie de la « distanciation physique » par les acteurs qui, hier, disaient lutter contre le terrorisme. Les récentes expérimentations de détections de masques par la RATP ou de prise de température par caméra thermique sont autant d’exemples à surveiller de près dans nos démocraties.