Application StopCovid : le Bluetooth peut préserver l'anonymat (mais ce n'est pas aussi simple que ça)

La technologie va-t-elle nous aider à sortir de l'épidémie ? C'est le chemin que semble prendre le gouvernement, pour suivre les personnes encore malades et leur entourage. Le secrétaire d'État au numérique a présenté mercredi, avec le ministre de la Santé, un dispositif en développement, StopCovid, une application pour téléphone portable basée sur le principe du "contact tracing" (pour "suivi des contacts"), procédé déjà utilisé par certaines applications de rencontres. Aucune obligation de la télécharger : l'exécutif fait aussi la promesse d'une gestion anonyme des informations et qu'aucune donnée ne sera sauvegardée, grâce notamment à l'emploi de la technologie Bluetooth.

"Ce serait une application de protection individuelle, qui remplirait une seule fonction : vous prévenir si vous avez été en contact, dans les jours précédents, avec une personne qui a été ensuite testée positive au coronavirus, pour que vous puissiez vous-même prendre des dispositions : vous faire tester et éventuellement vous confiner", a ainsi expliqué Cédric O, jeudi matin sur France Inter.

"Il faudra a minima plusieurs semaines pour tout faire", précise-t-il. Mais au-delà des difficultés de développement piloté par l'Institut national de recherche en informatique et en automatique (Inria), quels sont les points forts et les points faibles de cette solution ? 

Les points positifs de l'usage du Bluetooth

• Le Bluetooth est sur quasi tous les téléphones

Technologie presque aussi vieille que les téléphones portables, le Bluetooth est présent sur la totalité des smartphones. Elle permet de relier sans fil, par ondes radio, deux appareils distants. Là, le principe est de se servir d’une version basse consommation, le Bluetooth Low Energy (BLE), utilisée pour les montres connectées par exemple. La portée est de 10 mètres environ sans obstacle.

• Le Bluetooth collecte un identifiant anonyme

Le principe de l'application reposerait sur la collecte des adresses "MAC" (pour Media Access Control), de ce type : Z0:0Z:0Z:00:00:Z0. Il s'agit d'un identifiant unique propre à l'appareil mais qui ne donne aucune information personnelle sur le propriétaire du téléphone.

"D’une façon générale, il faut privilégier les solutions qui minimisent la collecte des informations, par exemple en utilisant un identifiant plutôt que des données nominatives", estime la Cnil.

• Le Bluetooth n'utilise pas les données de géolocalisation

Contrairement aux applications développées dans d'autres pays qui utilisent les données GPS d'un téléphone, avec le Bluetooth, StopCovid n'enregistre aucune donnée de géolocalisation. 

"Une application utilisant la technologie Bluetooth, pour détecter si un autre téléphone équipé de cette même application se trouve à proximité immédiate, apporte davantage de garanties qu’une application géolocalisant précisément et en continu", a estimé Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (Cnil), dans un entretien au Monde.

Les points faibles de ce dispositif 

• Le Bluetooth n'est pas toujours très précis

Pour évaluer la distance, il faut analyser la force du signal. Mais, avec le BLE, cette estimation peut ne pas être précise et une marge de quelques centimètres peut être importante quand on parle d'une distanciation sociale d'au moins un mètre entre les personnes.

Il n'est peut-être pas non plus pertinent d'enregistrer absolument tous les identifiants croisés : celui d’une personne passée à plusieurs mètres de vous, quand bien même elle serait malade, n'a pas beaucoup d'intérêt. C'est là un écueil à éviter dans le développement de l'implémentation de l'application.

• Il peut y avoir des problèmes de compatibilité

Le Bluetooth BLE, sur de nombreux appareils, est aussi installé de façon très différentes selon les constructeurs et les modèles. "Il est extrêmement compliqué de faire une application uniforme avec tous les téléphones du marché", note le hacker et spécialiste en cybersécurité Baptiste Robert.

• La fracture numérique empêche l'universalité de l'application

"Environ 80  % des Français possèdent aujourd’hui un smartphone (ce qui fait 20  % de personnes qui n’en ont pas)", a expliqué jeudi matin le secrétaire d'État Cédric O sur France Inter. Et cette fracture numérique est un réel problème : pas de Bluetooth si on n’a pas de smartphone, c’est le cas de beaucoup de personnes âgées (60 %), population pourtant très vulnérable.

"Nous faisons en sorte que l’application soit très simple, accessible aux personnes en situation de handicap, et nous réfléchissons soit à déployer plus de smartphones, soit à aider les gens à en acquérir, voire à avoir une solution qui ne passe pas par les smartphones", a précisé Cédric O. Une solution qui allongerait encore les délais de développement.

Les garanties du gouvernement

• Les données seront stockées localement et effacées rapidement

Le gouvernement a assuré vouloir opter pour une solution sans stockage distant des données. "Les données sont stockées, anonymisées, inaccessibles pour qui que ce soit, et de la manière la plus décentralisée possible : à savoir plutôt sur votre téléphone que sur un serveur central", a détaillé Cédric O sur France Inter. Autrement dit, la majorité de vos données ne bougeraient pas de votre téléphone.

• Le téléchargement de l'application se fera au volontariat

L'application, qui sera open source (son code sera accessible à tous) ne sera installée que sur la base du volontariat par les Français. "Nous ne travaillons pas sur un autre principe que celui d’une installation volontaire de l’application", rappelle Cédric O au Monde, attaché "aux valeurs françaises et européennes" en matière de données personnelles.  

• L'application n'ira pas au-delà de la crise sanitaire

Selon Cédric O, StopCovid n'a pas vocation à être utilisée une fois la crise du coronavirus passée.

Les questions en suspens

Difficile de s'avancer sur les réels risques en matière de protection des données personnelles, dans la mesure où le dispositif complet n'est pas encore prêt ni public. Néanmoins : 

• Une donnée "n'est jamais 100% anonyme"

"Grâce au Bluetooth, en recoupant avec d'autres données, on peut arriver à localiser quelqu'un : si l'on sonde à des endroits précis comme des stations de métro, on saura identifier que tel ou tel identifiant est passé par là", rappelle Baptiste Robert. Sous Android, le Bluetooth est systématiquement associé à la localisation, précise-t-il. 

• Comment signaler les malades et stocker la liste

Se pose aussi la question du signalement médical des malades : "Si on laisse ça à l'initiative de l'utilisateur [et donc avec un stockage d'informations 100% local], ça ne marchera pas. On ne peut pas compter sur la bonne foi des gens."

Dans le cas où le signalement est effectué par des médecins, "il faudra forcément faire redescendre une information centralisée sur les malades", estime le hacker. Ce qui implique la présence d'un serveur distant, à interroger par l'application.

• Ce n'est pas une solution miracle 

Gardons-nous de penser qu'une application va tout résoudre, insistent Cédric O et de nombreux spécialistes du sujet, qui dénoncent l'image idéalisée de la technologie "magique". Cette application n’est pas une solution miracle et ne sert à rien si elle n’est pas installée sur un grand nombre d’appareils. Il faut aussi que l'on puisse tester massivement les personnes à qui leur application signalera un risque de contamination.