Malgré un passage entre les mains de la CNIL et de divers groupes de hackers éthiques pour analyser son code source, StopCovid ne tient pas ses promesses concernant le respect de la vie privée des utilisateurs.
Le gouvernement avait tenté de rassurer la population en se voulant transparent sur la nature des données récupérées et la durée de leur rétention... Mais selon Mediapart, certaines promesses se sont rapidement envolées et l'application ne fonctionnerait pas comme prévu.
L'application fonctionne de sorte à exploiter le module Bluetooth des smartphones pour dresser un historique des personnes que l'on croise et qui disposent de l'application sur leur appareil. Cet historique est utilisé lorsque l'un des utilisateurs est déclaré positif au Covid 19, il permet alors de contacter automatiquement toute personne étant entrée en contact dans un rayon de moins d'un mètre et pendant au moins 15 minutes. Une notification est ainsi envoyée aux utilisateurs les invitant à réaliser des tests. C'est du moins ce que prévoit l'arrêté du 30 mai 2020 qui encadre les conditions d'utilisation de l'application.
Gaëtan Leurant, chercheur en cryptographie à l'INRIA a mené des tests avec l'application. Il a ainsi pris deux smartphones positionnés à 5 mètres l'un de l'autre pendant une minute. Les deux appareils disposaient de l'application StopCovid et un des deux appareils avait un profil signalé comme positif au Covid 19.
Le contact (non infecté) a automatiquement été récupéré par l'application et transféré au serveur central pour l'envoi d'une notification.
Interrogé, le secrétariat d'État chargé du Numérique explique que lorsqu'un utilisateur est déclaré positif au virus, l'intégralité de son historique de contacts est renvoyée vers les serveurs de StopCovid avant que des algorithmes ne viennent faire le tri en fonction des distances estimées et du temps de contact selon les modalités décrites dans l'arrêté.
Le problème, c'est que StopCovid fait ainsi transiter des historiques complets avec une foule de contacts avant de faire le tri. Les contacts sont anonymes, mais il est possible de recouper les données pour disposer d'un véritable outil de pistage plus généraliste. Pourquoi le smartphone ne se chargerait-il pas de faire automatiquement le tri dans les contacts en fonction de la durée d'échange et de distance, avant même de les enregistrer dans l'historique ?
Alertée, la CNIL étudie à nouveau le cas de StopCovid et pourrait imposer des changements dans le fonctionnement de l'application.