Quelle application sera réellement livrée le 2 juin, effective sur tous les smartphones ? Quels seront ses défauts ? Qui permettra de déclencher « l’alerte » du contaminé : un médecin ? Vers une 3ème voie avec le protocole dit « Désiré » ? L’adhésion volontaire sera-t-elle au rendez-vous ? Que de questions sans réponses à quelques jours de sa mise à disposition …
Le 12 mai dernier, Monsieur Guillaume POUPARD, directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) était auditionné par l’Office Parlementaire d’Evaluation des Choix Scientifiques et Technologiques (OPECST) représenté par les députés Cédric VILLANI, vice-président, Jean-François ELIAOU (LREM – Professeur de médecine) et Patrick HETZEL (LR).
Cette audition a bien rappelé les enjeux autour de l’application StopCOVID. Monsieur POUPARD a bien insisté sur le fait que le gouvernement avait, pour une fois, pris ses distances avec les GAFA avec le choix du protocole (dit « centralisé ») ROBERT. Néanmoins, l’application développée par Singapour a échoué sur ce même modèle centralisé, le taux d’utilisation par la population a péniblement atteint les 15%, chiffre trop bas pour assurer une efficacité du procédé.
Les soucis du Bluetooth ont été évoqués par les intervenants: problème de distance (technologie de chaque smartphone) et de temps (un réglage sera nécessaire sur la durée de contact), le cas du métro étant la référence sur les soucis soulevés par cette technologie. Des interactions contaminantes seront de facto omises le temps de contact étant fixé à 15 minutes pour traçage. L’état navigue à vue sur le nombre de messages d’interactions positives que générera l’application, règlera le curseur après les premiers jours, et craint peut-être, si succès de l’application, ou sur-détection due aux transports en commun, en particulier, que les lieux de test soient pris d’assaut.
Rappelons qu’un individu passant rapidement à un mètre, éternuant vers soi, en remontant la rame, doté de l’application active ne serait donc pas comptabilisé dans le « journal des croisements de proximité » … Le cas d’un autre individu qui ne bougerait pas de chez lui (cas d’une personne dépendante ou handicapée) et n’accueillant qu’une aide-ménagère est repris par Monsieur POUPARD car en cas d’alerte, l’anonymat serait mis à mal … Dans un bâtiment professionnel ou un chantier le problème se pose également.
Les deux voies « centralisée » (choix Français protocole INRIA ROBERT, choix anglais) et « décentralisée » (cas du revirement allemand rappelé par M. le député HETZEL, protocole dépendant des GAFA plus spécifiquement de GOOGLE-APPLE) se trouveront concurrencées par un troisième protocole à l’étude et non implémenté dit DESIRE (lui qualifié d’idéal car contentant toutes les parties prenantes avec un maximum, plus d’anonymat).
M. POUPARD a bien rappelé que le protocole centralisé ne devait pas être entre les mains d’un état dit totalitaire. Il rappelle aussi les revirements des états et l’omniprésence technologique et commerciale des GAFA. Ceux-ci implantant ce mécanisme dans leurs systèmes d’exploitation rendent possible la création d’une myriade d’applications par des startups qui sauront profiter de cette technique de détection de rapprochement avec moins de précaution que les Etats sur un sujet aussi sensible que celui de la santé. Le directeur de l’ANSSI évoque une « ligne de crête » dans ce cas présent et qu’il ne faut pas banaliser la détection des interactions sociales de proximité.
Le 12 mai, les premiers éléments de codes et d’environnements étaient publiés en mode OPEN SOURCE. La CNIL demande que l’intégralité du code soit rendue publique (paramétrages et éléments de sécurité omis bien entendu).
DEBOUT LA FRANCE rappelle son opposition à cette application STOP COVID comme sparadrap aux mesures de lutte comme les dépistages massifs et à l’application des mesures barrières à l’épreuve des beaux jours, des défauts de vigilance individuels. Notre parti prend acte des échecs étrangers et du constat de fracture numérique des territoires révélée par ce système.
SI jamais le Parlement devait autoriser cette application, nous veillerons à ce que les préconisations et vigilances de la CNIL, rendues le 25 mai, soient appliquées, en substance : point 23 sur la liberté de l’alerté de contacter un professionnel de santé, point 39 sur les plages de non réception, point 41 de déclaration de positivité par code, non identifiant, pour éviter les faux-positifs, point 51 de retrait de l’utilisateur, points 61 à 66 de droit à l’effacement et d’opposition propres au RGPD, point 71 sur l’engagement à la publication de l’ensemble du code-source, point 77 sur la faille possible du « captcha d’initialisation ».
Lionel Mazurié
Délégué National au Numérique
Lien vers la vidéo de l’audition (1h)
http://videos.senat.fr/video.1608918_5ebaa04d6b8cd.audition-de-m-guillaume-poupard-directeur-general-de-l-agence-nationale-de-la-securite-des-systeme
L’article DLF sur StopCOVID
http://www.debout-la-france.fr/actualite/non-au-pistage-de-stopcovid-laube-des-societes-de-tracage-des-individus
Pour les développeurs, les sources, pour un audit maximal
https://gitlab.inria.fr/stopcovid19
Délibération du 25 mai de la CNIL
https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2020-056-25-mai-2020-avis-projet-decret-application-stopcovid.pdf