Semaine tout à fait déprimante pour le dernier fleuron technologique de notre grand pays, aka StopCovid, l’appli de contact tracing censée permettre de prévenir l’apparition de nouveaux foyers épidémiques hors de contrôle. Lundi, on apprenait dans Mediapart que la collecte de données promise par le gouvernement, à savoir un enregistrement jusqu’au serveur central des identifiants des téléphones seulement pour les personnes qui se croisent 15 minutes à distance rapprochée, connaissait quelques failles de sécurité.

Une trouvaille toute bête signée Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique, l’Inria, qui s’est pourtant occupé de la programmation de l’application. Comme quoi, on n’est jamais mieux trahi que par ses amis.

« « J’ai fait un test en installant StopCovid sur deux téléphones, et en l’activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu’il n’a aucun intérêt épidémiologique ». »

Une application qui ne marche pas hors de France

Mardi, on enchaînait avec l’audition par l’Assemblée nationale de la vice-présidente de la Commission européenne, Margrethe Vestager, laquelle a confirmé ce que tout le monde craignait, à savoir que StopCovid n’était pas compatible avec l’immense majorité des applications voisines développées par les autres pays de l’Union Européenne. Et ce alors même que dès le mois d’avril, la même Commission européenne rappelait à ses ouailles que « les citoyens européens doivent pouvoir être alertés d’une possible infection d’une façon sécurisée et protégée, où qu’ils se trouvent dans l’Union européenne (UE), et quelle que soit l’application qu’ils utilisent ». Oups. Mercredi, enfin, parce que chaque jour apporte un peu de bonheur, on découvrait la dernière mise à jour du nombre d’utilisateurs. 1,7 million seulement, moins de 2 % de la population française, quand l’Allemagne annonçait 6,5 millions de téléchargements rien que sur le premier jour.

Bien sûr, l’Université d’Oxford, qui tablait dans sa première étude, début mars, sur une estimation de 60 % de téléchargements pour une appli efficace, a depuis revu ses ambitions à la baisse. Mais toutes ses simulations démarrent avec un taux minimal d’utilisateurs à 14 %, un objectif pour le moins lointain en l’état. Et encore, des Géo Trouvetou ont réussi à démontrer que le nombre d’utilisateurs réels plafonnait plutôt aux alentours de 350.000 la semaine passée. Sollicité par 20 Minutes pour nous détailler leur méthode, l’un de ces experts nous a répondu, pince-sans-rire : « Je vous remercie, mais comme personne ne semble plus utiliser cette application, je ne m’y intéresse plus depuis plusieurs jours ». Lolilol.

« Le bris de sécurité était prévisible »

Bref, une bien belle séquence de win qui ne surprend mais alors PAS DU TOUT Olivier Blazy, maître de conférences en informatique et responsable du master de cybersécurité à l’université de Limoges. : « On constate ce qu’on sait depuis le début, à savoir qu’il y a un problème au niveau de la collecte de données, contrairement à ce qui a été répété publiquement par les autorités. Le bris de sécurité était prévisible puisque les identifiants des téléphones changent toutes les 15 minutes et qu’on peut être à côté d’une personne longtemps mais que son identifiant change au milieu. Si votre téléphone est capable de faire ça, alors il est possible en théorie de se mettre à pister les personnes ».

Mais ce qui étonne surtout le spécialiste, qui avait signé la lettre ouverture publiée par 450 chercheurs français au mois d’avril, dans l’Humanité, sur les risques potentiels du système Stopcovid, c’est la décision de la France de faire cavalier seul par rapport au reste de l’Europe. Comprendre : opter pour un système centralisé bien de chez nous, où les données recueillies par les utilisateurs de l’application sont envoyées à un seul serveur qui gère l’identification des contacts et leur envoie une alerte si besoin. Même l’Angleterre, la seule à avoir mené un projet similaire au nôtre, vient de changer de camp, c’est dire.

Un choix qui s’explique par une volonté assumée du gouvernement de ne pas passer par les logiciels proposés par Google et Apple pour permettre des applications compatibles entre elles. Lire à ce sujet un éditorial du Monde assez caustique qui compare StopCovid à l’illumination française pour l’aventure du Minitel, « parce que bon, cette histoire d’Internet, mouais j’y crois pas, ça marchera jamais ». Olivier Blazy :

« « La France a refusé de passer par Apple et Google, et pourtant le premier truc qu’on doit faire quand on installe l’application, c’est de remplir un captcha Google [pour prouver que vous n’êtes pas un robot]. Alors même si on voulait envoyer un message à ce niveau-là, on est complètement ridicules. Ça ressemble à une sorte de péché d’orgueil, "Regardez, on est la France on va développer un truc national", mais pas assumé jusqu’au bout. Si l’application n’a pas réussi à engager la population, c’est bien qu’elle a des défauts ». »

Un bashing pas toujours justifié ?

Retard à l’allumage, choix du modèle, efficacité sanitaire inconnue, il y a de quoi faire. Mais ce bashing de StopCovid commence à sérieusement asticoter le secrétariat d’État au numérique, qui promet une grande opération de transparence dans les jours qui viennent, du nombre d’alertes remontées - Cédric O en a évoqué « une poignée » au Figaro - au coût de l’application elle-même. « Nous, on considère qu’on a une application qui est prête et qu’on pourra mobiliser en cas de départ de deuxième vague. Quand on voit qu’il y a 30 personnes testées positives par jour à Paris, 1,7 million d’utilisateurs, c’est bien. Après, on peut tout comparer. On nous parle de l’Allemagne, mais l’Allemagne, ça leur coûte 45 millions d’euros. ».

Entre les lignes ? 45 plaques pour une appli qui ne sert à rien, ça fait cher le gadget, au moins, nous, on fait ça gratos. Les expériences remontées des pays ayant activé une application équivalente montrent, il est vrai, une forme de scepticisme généralisé sur son efficacité, quel que soit le niveau d’adhésion de la population. Prenons l’Islande, qui enregistre le plus haut taux de téléchargement du monde avec 38 % des 365.000 habitants qui ont joué le jeu, selon le MIT. Bilan de Gastur Palmason, le patron du StopCovid (sson) local ? « L’application est plus ou moins…. Je n’ose pas dire inutile. Disons que l’intégration avec le tracing humain donne des résultats ». Il faut dire qu’avec à peine 1.800 dépistages positifs, l’île des écrivains à la mode s’est montrée presque imperméable à la maladie jusque-là.

Les pays précurseurs en reviennent aussi

Autre cas intéressant, celui de l’Australie, où Covid-Safe, pourtant installée par 5 millions d’habitants, n’avait contribué qu’à l’identification d’un seul cas positif au bout d’un mois à tourner. Enfin, à Singapour, souvent cité en exemple pour sa gestion de l’épidémie, le directeur de l’agence gouvernementale numérique à l’origine de la première application de contact-tracing worldwide a fait ce constat amer : « Si vous me demandez si n’importe quelle application de traçage, existante ou en développement, n’importe où dans le monde, va remplacer le traçage manuel, je dirais sans hésitation que la réponse est non. Le traçage devrait rester un processus effectué par des humains ». Diantre.

Si le désenchantement n’est pas tout à fait général, l’incapacité de StopCovid et de ses cousins plus ou moins lointains à produire des résultats concrets peut-il conduire, à terme, à son retrait pur et simple ? C’est en tout cas le souhait d’Olivier Balzy et de nombre d’experts du secteur : « Le gouvernement n’est pas capable de justifier que l’application a le moindre intérêt. Si en plus, elle a des failles de sécurité, autant la supprimer. J’ose espérer que la CNIL pointera les manques de StopCovid et appellera à arrêter les frais ».

Dans son deuxième avis sur le dispositif, la commission indépendante réclame en effet que « l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci [limitée par décret à six mois maximum après la fin de l’état d’urgence sanitaire], afin de s’assurer de son utilité au cours du temps ». Autrement dit, la CNIL peut siffler la fin de la récré à tout moment. Elle a d’ailleurs ouvert une enquête début juin sur le « recueil et la gestion des données » de StopCovid, sans livrer encore ses conclusions.

« Si l’épidémie revient, elle va servir »

« La CNIL peut faire tous les contrôles qu’elle souhaite, rétorque le secrétariat d’État au numérique. On a toujours dit que l’application ne survivrait pas à l’épidémie. Mais je ne suis pas sûr qu’il faille tout de suite l’enterrer quand on voit ce qui se passe ailleurs. Si l’épidémie revient, elle sera là et elle va servir ». La menace est pourtant réelle. L’application norvégienne, beaucoup plus invasive que la française puisqu’elle enregistre les coordonnées GPS des utilisateurs, vient d’être suspendue par Oslo après un rapport salé d’Amnesty International sur l’absence de garantie en ce qui concerne la protection des données personnelles.

Profitons-en d’ailleurs pour lancer un petit Cocorico avant de se quitter. L’ONG n’a pas pointé StopCovid parmi les applications les moins respectueuses de la vie privée des citoyens. A la différence du Bahreïn, champion olympique du grand n’importe quoi. L’application (obligatoire) y est liée à une émission de télévision qui appelait chaque jour, pendant le ramadan, 10 citoyens au hasard pour vérifier que ces derniers se trouvaient bien chez eux. True story.