Privacy #5 - StopCovid

Privacy #5 - StopCovid

Depuis le 2 Juin, l’Etat a mis en place l’application mobile Stop Covid. Cette application a pour objectif de traquer la progression de l’épidémie grâce à la technologie, en analysant les données de nos téléphones et de nos trajets.

Cependant, les nombreuses consignes de la RGPD rendent la traque de données complexe, surtout quand il s’agit d’expliquer ce que l’on traque exactement.

Voyons ensemble ce que fait concrètement l’application, les problèmes techniques que l’on peut constater et les conséquences que cela a sur vos données personnelles.

Il n’est pas question ici de remettre en question l’existence d’une telle application ou d’émettre une opinion sur ce moyen utilisé par le gouvernement pour lutter contre la propagation du virus.

Notre objectif n’est que de mettre en évidence les moyens employés et les différents usages qui pourraient être faits sur lesquels le gouvernement n’a pas pleinement communiqué officiellement.

Que fait StopCovid ?

L’objectif de l’application est simple : soutenir la lutte contre la pandémie de Covid-19 toujours présente sur notre territoire à l’aide d’un système de contrôle de proximité.

Ce que ça veut dire : L’application est censée vous avertir quand vous rentrez en contact avec une personne ayant contractée le Covid-19, pour que vous puissiez ensuite vous faire prendre en charge par le système de soins.
Ainsi quand une personne a été à proximité du virus à une date donnée, on sait également qui serait susceptible de l’avoir contracté grâce à la liste de personnes à proximité entre cette date et le moment actuel. Ces différents utilisateurs concernés sont alors alertés et peuvent alors se rapprocher de leur médecin traitant pour se faire tester.

Tout se fait sur la base du volontariat. Vous n’êtes ni obligé de télécharger l’application ni obligé de signaler que vous avez contracté le virus.

Comment ça marche ?

Le concept est relativement basique : StopCovid se base sur votre Bluetooth pour interagir avec les autres usagers autour de vous. Si un usager est à proximité pendant une durée de 15 minutes et à une distance d’1 mètre, elle est considérée comme “en contact” avec vous et devient donc une personne à contacter si vous déclarez avoir été testé positif.

La technologie du Bluetooth existe depuis 1994 et est disponible sur quasiment tous les appareils. C’est un moyen de communication à courte portée, utilisant les ondes radio sur une fréquence de 2.4Ghz pour transmettre des informations.

Deux appareils utilisant le Bluetooth doivent se trouver pour pouvoir communiquer ensemble. Tout comme le Wi-Fi, vous pouvez activer ou désactiver le Bluetooth de votre smartphone. Si vous avez déjà utiliser des écouteurs sans fil, vous savez que pour fonctionner, il faut pairer les appareils. Cela se passe en trois temps :

  1. L’appareil A détecte l’appareil B à portée
  2. Vous envoyez une demande de pairage
  3. Selon la configuration, un code doit être saisi et les appareils sont pairés.

Toutefois, si vous vous limitez à l’étape 1, vous pouvez détecter les appareils autour de vous sans avoir besoin de demander l’autorisation à leurs propriétaires. C’est comme ça que StopCovid fait pour voir ce qu’il se passe autour de lui. Comme un sonar, il envoie un signal et liste les appareils qui lui répondent.

Informatiquement, on appelle ça un ping. Un appareil envoie un message à un destinataire, et si l’appareil distant existe, il lui répondra. On peut alors analyser le temps que met la réponse à arriver pour en déduire des choses (performances etc…).

Vous pouvez essayer en ouvrant une console sur windows (démarrer > système windows > invite de commande) et tapez “ping google.com”. Vous devriez avoir la réponse ci-dessous (ou quelque chose de similaire).

Ping sur Google.com

Point 1 : Anonymat & Stockage des données

Par essence, l’information du ping n’est pas stockée. C’est le travail de l’application de le faire.

Ce qui signifie que l’État doit conserver l’historique de proximité quelque part. Ils expliquent dans leur FAQ le choix d’un système centralisé, qui leur permet d’avoir le moins d’informations échangées entre les téléphones. Par contre, votre téléphone maintient une connexion avec l’autorité de santé (le protocole ROBERT, commun à la France & à l’Allemagne) qui détient la liste des personnes ayant contracté la maladie ainsi que l’ensemble des règles globales de l’application.

La FAQ ne mentionne toutefois pas ici la durée de conservation de ces données, il faut aller les chercher dans les conditions d’utilisation de l’application :

"Le traitement est mis en œuvre pour une durée de six mois à compter de la fin de l’état d’urgence. Les données de l’historique de proximité seront conservées au maximum quinze jours à compter de leur émission."

Source : https://bonjour.stopcovid.gouv.fr/privacy.html

Il faut préciser que ce qui sera supprimé seront les données relatives à l’application uniquement. La conservation des données autres que l’historique de proximité n’est pas précisé, ce qui signifie qu’elles devraient être stockées pour une durée de 6 mois (régulation de l’UE). Toutefois, pour citer l’avis de la CNIL :

"Conformément au principe de limitation de la conservation (article 5.1.e) du RGPD), la durée de conservation des données doit être limitée à ce qui est strictement nécessaire au regard des finalités précédemment décrites."

Source : https://www.economie.gouv.fr/files/StopCovid/Avis_CNIL_25mai.pdf Page 9, Point 50)

On peut s’attendre à ce que certaines données, jugées sensibles pour la sécurité sanitaire du territoire soient conservées plus longtemps par l’autorité centrale de santé. Si vous ne souhaitez pas que ces données soient conservées, vous devrez faire la demande vous-même.

L’application vous offre la possibilité de supprimer les données de l’application et de celles sur le serveur central. Attention, désinstaller l’application ne supprime pas les données sur le serveur central !

De plus, même si ces historiques sont stockés de manière anonyme - chaque usager étant identifié sous un pseudonyme aléatoire - il est relativement aisé de retrouver l’identité de la personne en croisant des informations avec d’autres bases de données. Notamment si l’usager a saisi le code que l’autorité centrale de santé lui a fourni en cas de test positif.

Un exemple est que le Bluetooth détecte les adresses MAC des appareils autour de lui. Une adresse MAC est spécifique à un appareil. Ce qui veut dire que l’on peut associer un pseudo StopCovid à une adresse MAC, puis cette adresse MAC à une base Google ou même de votre FAI pour obtenir des données relatives à votre identité.

Et si ce n’est pas l’adresse MAC de votre appareil, ça sera un identifiant d’installation qui fera le lien spécifiquement entre votre appareil et un usager StopCovid. Il y a toujours un moyen de faire des liens tant qu’il y a des données à analyser.

Certaines données n’ont pas besoin d’être stockées pour être retrouvées. Croiser les différents historiques en les associant avec les tests effectués par le système de soins permet de retracer la propagation du virus avec +/- de précision.

Enfin, si vos historiques personnels sont supprimés au bout de 15 jours, il existe toujours une trace d’interactions quelque part. Il y a des logs, ou des logs dans des sauvegardes automatiques, qui indiquent que tel utilisateur a fait telle chose à telle moment. Ce sont des informations inutilisées mais qui sont rarement entièrement supprimées. Même sur votre demande.

Ce dernier point ne veut pas dire que le gouvernement va utiliser les données. Il s’agit plus d’une remarque importante sur des problématiques complexes que rencontrent les développeurs face à la RGPD et le respect de la vie privée.

On a souvent besoin de traces pour comprendre pourquoi telle ou telle chose est arrivée. Et on a parfois besoin de traces anciennes (1 ou 2 mois avant un problème rencontré par exemple). En supprimant ces traces, on serait incapables de résoudre des bugs rencontrés.

On aura l’occasion de reparler des problématiques techniques de la RGPD, quand on l’applique au monde réel.

Point 2 : La géolocalisation & le bluetooth

La raison pour laquelle le gouvernement a choisi d’utiliser le Bluetooth , c’est essentiellement car celui-ci ne localise pas ses usagers lorsqu’il est utilisé. C’est également la solution de TraceTogether, l’application réalisée au Singapour, qui est une des références de StopCovid.

C’est théoriquement vrai, car le Bluetooth en lui-même n’utilise pas les coordonnées géographiques de votre appareil.

Toutefois, Android vous demandera d’activer la géolocalisation pour faire fonctionner le Bluetooth. Google ne s’est jamais prononcé quant à ce pré-requis et n’explique pas en quoi c’est obligatoire. Tout ce qu’on sait se trouve ici (en anglais) : https://developer.android.com/about/versions/marshmallow/android-6.0-changes#behavior-hardware-id

Le gouvernement a bien indiqué que StopCovid n’utilise pas vos coordonnées géographiques pour vous traquer. Et en publiant le code source, ils font preuve de bonne foi. Cela dit, ce n’est pas impossible pour d’autres applications tournant en tâche de fond de bénéficier de cet accès pendant votre usage de StopCovid.

Et comme indiqué dans le point 1, il n’est pas difficile pour un gouvernement d’identifier la position des usagers via d’autres moyens. Dès que votre appareil est identifié, il est possible de retrouver sa position à un instant donné via des systèmes tierces, comme votre FAI ou d’autres applications. Le PlayStore fournit déjà un nombre de statistiques assez dingue sur les personnes qui téléchargent une application.

Point 3 : La pertinence des résultats

Comme indiqué dans la FAQ de StopCovid, on considère comme “à proximité” une personne étant pendant 15 minutes (ou plus) à une distance de moins d’1 mètre.

StopCovid utilise la technologie BLE (Bluetooth Low Energy), qui permet de ne pas consommer autant de batterie et offre une portée maximale de 2 à 50 mètres selon l’appareil.

Calculer la distance entre deux signaux, c’est possible. Grossièrement, en récupérant la puissance d’un signal fourni par une connexion Bluetooth, on peut en déduire la distance, avec une relative précision. Pour le dire en une phrase : plus le signal est fort, plus vous êtes proches.

Cela dit, vous avez déjà peut-être fait l’expérience de chercher vos écouteurs bluetooth dans la rue ou dans un endroit fréquenté. Une onde radio fait abstraction des obstacles (dans l’absolu). Vous pouvez donc détecter des gens derrière un mur, ou dans une voiture etc… Il y a beaucoup de signaux à interpréter en permanence et il est fort probable que si l’application d’une formule et l’interprétation des résultats sont clairs, la détection des faux-positifs sera difficile.

C’est pourquoi les choix d’une durée de 15 minutes et d’une distance de +/- 1 mètre ont été choisis. Même si un simple contact suffit à propager le virus, ses deux paramètres sont censés protéger les données de faux positifs qui seraient plus problématiques qu’autre chose.

Digression - L’exploitation des données

Loin de nous l’idée de parler d’univers dystopique ou post-apocalyptique, mais on ne le répétera jamais assez : l’informatique, Internet et les applications sont des outils. Ils ne portent aucune intention et n’offrent que ce que nous décidons d’en faire.

En Europe, nous sommes relativement protégés par un cadre légal : le RGPD et par la CNIL en France spécifiquement. Dans des pays comme en Chine, ce n’est pas le cas et le gouvernement utilise ces outils de tracking sans aucune régulation. Cela mériterait un article à part entière et pour le cas du COVID-19, je vous invite à lire l’article de Futura-Sciences à ce sujet.

Toutefois, ces régulations sont extrêmement complexes à appliquer et les infractions sont fréquentes pour différentes raisons :

  • Par ignorance tant les cas sont difficiles à identifier pour des petites structures
  • Par manque d’alternatives, car les règles du système rentrent en contradiction avec le règlement, et la seule option est alors de ne pas développer le système
  • En toute conscience, quand on s’appelle Google et qu’on sait qu’on peut s’enliser dans des procédures juridiques qui seront plus coûteuses pour les institutions que pour l’entreprise.

Aujourd’hui, l’analyse de données est un must quand on veut prendre du recul sur l’évolution d’une entreprise - quand ce n’est pas l’activité principale de celle-ci ! Avoir la compétence pour s’assurer du bon traitement des données personnelles et du respect de la RGPD nécessite une veille technique et juridique qu'il est difficile de s'offrir, peu importe la taille de la structure, surtout que le sujet est difficile à maîtriser et propre à chaque activité.

Voici quelques exemples d’usages, moins nocifs pour votre vie privée, mais qui sont intrusifs et auxquels vous ne pouvez pas réellement consentir.

1/ Lorsque vous autorisez la géolocalisation, même si le gouvernement dit ne pas l’utiliser, il y a d’autres systèmes qui peuvent en profiter. Google est très friand de ces données car il s’en sert pour vous recommander des services & produits à disposition autour de vous.

2/ Lorsque vous autorisez la caméra, cela est utilisable pour scanner un QR Code comme pour faire de la reconnaissance faciale. Il n’y a pas de distinction de permission à ce sujet. Si votre caméra se promène un peu lors de votre scan de QR Code, un système pourrait détecter des lieux clefs pour identifier votre position ou bien reconnaitre des objets dans votre domicile, et compléter un profil marketing.

3/ Lorsque vous autorisez le bluetooth ou le wifi, votre appareil peut alors détecter les appareils qui sont autour de vous. Chromecast, Alexa, autres appareils, ces informations sont récupérables et utilisables par l’application en question.

Ces cas-là sont aujourd’hui techniquement possibles et légaux, tant que les conditions d’utilisation le précisent. Ce document qui n’est lu que très rarement, parce qu’il est rempli de termes technico-juridiques abstraits pour le grand public.

Avec les avancées technologiques concernant la reconnaissance faciale, la rapidité du traitement et du croisement de données et la réalisation de profils sociaux ou marketing, il est aujourd’hui impossible de réellement se protéger personnellement, à moins de se couper en partie de la société.

Ce pourquoi les institutions essaient de légiférer sur le sujet et de rattraper le retard accumulé jusqu’à présent, ce qui n'est pas encore prêt d'arriver. En attendant, nous devons impérativement rester informés et vigilants quant à l’usage des nouvelles technologies et de nos données personnelles.

Sources :

Dans la même catégorie