Un objectif très séduisant en théorie...
L'objectif d'une "app" de traçage de contacts est sur le papier très séduisant: permettre à chaque utilisateur de prévenir les autres utilisateurs qu'il a croisés sur les deux dernières semaines, lorsqu'il découvre sa contamination au coronavirus.
Toutes ces personnes peuvent alors prendre les mesures de précaution qui s'imposent, comme l'autoconfinement, et demander un test.
L'application, exclusivement volontaire, utiliserait pour fonctionner le Bluetooth, technologie de communication entre appareils électroniques situés à proximité.
...mais un risque énorme pour la vie privée
Mais les risques pour la vie privée sont énormes. Lorsqu'on se découvre contaminé, il faut transférer au système la liste des personnes que l'on a croisées pendant les deux dernières semaines, l'informant ainsi de son état de contamination.
Des acteurs mal intentionnés peuvent en profiter pour tenter de savoir qui a été contaminé et constituer des fichiers. Ou, en croisant toutes les listes de personnes approchées, reconstituer beaucoup d'informations sur nos vies.
Ne risque-t-on pas ainsi de jeter les bases d'une société de surveillance?
Des pseudonymes qui ne résolvent pas tout
Pour tenter d'assurer le respect de la vie privée, le système fonctionnera avec des identifiants codés ou pseudonymes: les utilisateurs ne pourront pas identifier nommément qui ils ont croisé.
Mais la question des pseudonymes ne résout pas tout, puisqu'il faut bien qu'à un moment, le pseudonyme d'une personne ayant croisé la route d'une personne contaminée soit relié à la personne qui doit être avertie.
Des choix techniques différents selon les pays
Pour remédier au mieux à ce problème, deux grands choix d'architecture s'opposent. Le modèle français de StopCovid correspond à un architecture centralisée.
Régulièrement, nos smartphones iraient vérifier sur un serveur central que notre pseudonyme n'est pas dans la liste des pseudonymes croisés par une personnes contaminée.
Si notre pseudonyme est sur une liste, nous recevrons un message d'alerte.
L'autre grand modèle d'architecture est dit "décentralisé". Dans cette architecture, nos smartphones importent régulièrement la liste de tous les pseudonymes ayant croisé des personnes contaminées, et vérifient eux-mêmes si notre pseudonyme figure sur ces listes ou pas.
Le choix français de plus en plus isolé
La question de l'architecture suscite des débats passionnés entre experts. Et l'option décentralisée semble recueillir de plus en plus de suffrages hors de l'Hexagone. Dimanche, l'Allemagne a annoncé rejoindre cette architecture, qui est aussi privilégiée par Apple et Google.
Apple et Google en position centrale
Dans ces débats, Apple et Google occupent une position centrale, dans la mesure ou ils détiennent le contrôle des deux grands systèmes d'exploitation de smartphones en vigueur, respectivement iOS et Android. Impossible de faire communiquer des smartphones appartenant à ces deux galaxies sans leur accord. Apple et Google vont proposer rapidement le socle d'une application de traçage de contacts que les gouvernements pourront personnaliser à leur guise.
Mais au nom de sa souveraineté, la France réclame aux géants américains de pouvoir faire ses propres choix techniques et architecturaux. Le problème est particulièrement sensible avec Apple, qui protège jalousement, pour des raisons de sécurité, le fonctionnement du Bluetooth.
Si la France ne parvenait pas à convaincre Apple, StopCovid ne fonctionnerait que lorsqu'elle est ouverte et en premier plan - empêchant ainsi son utilisateur de recourir à son smartphone pour lire ses mails ou parcourir internet.
En France, qui planche sur StopCovid ?
L'Inria, l'institut national de la recherche informatique chargé par le gouvernement de piloter techniquement le projet, a clarifié dimanche les relations entre son projet et celui préparé depuis plusieurs semaines par Orange et des partenaires privés.
Tous ces acteurs travaillent ensemble pour StopCovid et ont créé une équipe-projet comprenant notamment les entreprises Capgemini, Dassault Systèmes, Thales, Sopra Steria, Atos et Withings (objets connectés).
Chez les acteurs publics, la liste mentionne l'Anssi (agence nationale de la sécurité des systèmes d'information), l'Inserm (recherche médicale publique) et Santé publique France.
La Cnil, le gardien de la vie privée des Français, a donné un feu vert de principe sur StopCovid, réclamant de revoir la copie gouvernementale quand l'application aura réellement été définie et construite
(AFP)