Ind1ju
Un chercheur a montré que le fonctionnement technique de StopCovid n'était pas similaire à ce qui était annoncé par le gouvernement, ce qui est écrit dans le décret d'application et même ce qui a été validé par la Cnil.
C’est le dernier « scandale » en date autour de StopCovid, l’application française pour smartphone, censée servir à tracer le chemin de potentielles contaminations à travers les citoyens.
Médiapart a relayé le 15 juin 2020 les observations de Gaëtan Leurent, un chercheur en cryptographie à l’Inria, qui a mis en lumière le fait que l’application envoyait plus de données à un serveur que ce que l’on pensait. Ou plutôt, que ce que la version « officielle » disait, celle qui a été non seulement portée par le secrétaire d’État au numérique Cédric O (ici notamment ou ici), utilisée dans le décret d’application officiel, mais aussi, comme Numerama a pu le vérifier, telle qu’elle a été validée par la Cnil, le gendarme français des libertés individuelles.
Qu’avait annoncé le gouvernement ? En résumé simplifié : que si deux personnes se croisent avec StopCovid allumé, leurs informations remonteront au serveur central seulement si elles restent en contact à moins d’un mètre pendant plus de 15 minutes.
Ce qu’il se passe dans les faits est différent : si deux personnes se croisent à plusieurs mètres et pendant moins de 15 minutes, leurs informations remontent également au serveur central qui, ensuite, fait le tri.
...
Un décalage entre les discours et les faits
Cette différence met en lumière quatre erreurs dans le lancement de StopCovid.
- La première est d’ordre politique ; le ministre partage un message qui est faux (en ayant conscience ou non), ce qui ne permet pas aux Français de se faire une opinion en ayant toutes les bonnes informations en main.
- La deuxième est d’ordre juridique ; le décret tel qu’il existe aujourd’hui ne correspond pas à la réalité technologique de l’application, il est donc mensonger.
- La troisième est d’ordre administratif : on a demandé a des organes de contrôle de se prononcer sur la validité d’une application sans que son fonctionnement technique n’ait été finalisé.
- La quatrième est d’ordre technique : dans les faits, les serveurs centraux disposent de bien plus d’informations sur les contacts des utilisateurs que ce qui était annoncé.
Cela ne veut pas dire qu’il y a plus de risques que ces serveurs aient des failles ou soient vulnérables aux attaques, mais cela veut dire que si ces faiblesses existaient, la quantité de données potentiellement vulnérables serait beaucoup plus grande.
...
