StopCovid : l'application ne respecte pas ses promesses concernant les données personnelles

Le par  |  15 commentaire(s)
StopCovid

On ne se refait pas : l'application StopCovid qui promettait de respecter la vie privée des français tout en tenant de briser la chaine de contamination du Covid-19 avec plus d'efficacité collecterait ainsi bien plus de données que prévu.

Malgré un passage entre les mains de la CNIL et de divers groupes de hackers éthiques pour analyser son code source, StopCovid ne tient pas ses promesses concernant le respect de la vie privée des utilisateurs.

Le gouvernement avait tenté de rassurer la population en se voulant transparent sur la nature des données récupérées et la durée de leur rétention... Mais selon Mediapart, certaines promesses se sont rapidement envolées et l'application ne fonctionnerait pas comme prévu.

StopCovid

L'application fonctionne de sorte à exploiter le module Bluetooth des smartphones pour dresser un historique des personnes que l'on croise et qui disposent de l'application sur leur appareil. Cet historique est utilisé lorsque l'un des utilisateurs est déclaré positif au Covid 19, il permet alors de contacter automatiquement toute personne étant entrée en contact dans un rayon de moins d'un mètre et pendant au moins 15 minutes. Une notification est ainsi envoyée aux utilisateurs les invitant à réaliser des tests. C'est du moins ce que prévoit l'arrêté du 30 mai 2020 qui encadre les conditions d'utilisation de l'application.

Samsung Galaxy S20 - 

909€€ sur Amazon* * Prix initial : 909€€.

Gaëtan Leurant, chercheur en cryptographie à l'INRIA a mené des tests avec l'application. Il a ainsi pris deux smartphones positionnés à 5 mètres l'un de l'autre pendant une minute. Les deux appareils disposaient de l'application StopCovid et un des deux appareils avait un profil signalé comme positif au Covid 19.

Le contact (non infecté) a automatiquement été récupéré par l'application et transféré au serveur central pour l'envoi d'une notification.

Interrogé, le secrétariat d'État chargé du Numérique explique que lorsqu'un utilisateur est déclaré positif au virus, l'intégralité de son historique de contacts est renvoyée vers les serveurs de StopCovid avant que des algorithmes ne viennent faire le tri en fonction des distances estimées et du temps de contact selon les modalités décrites dans l'arrêté.

Le problème, c'est que StopCovid fait ainsi transiter des historiques complets avec une foule de contacts avant de faire le tri. Les contacts sont anonymes, mais il est possible de recouper les données pour disposer d'un véritable outil de pistage plus généraliste. Pourquoi le smartphone ne se chargerait-il pas de faire automatiquement le tri dans les contacts en fonction de la durée d'échange et de distance, avant même de les enregistrer dans l'historique ?

Alertée, la CNIL étudie à nouveau le cas de StopCovid et pourrait imposer des changements dans le fonctionnement de l'application.

Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
Le #2101690
Voici les autorisation déclaré sur le googleplay, mais google précise que cela peut changer suite à une mise à jour de l'application :


Cette application dispose des autorisations suivantes :
Lieu

precise location (GPS and network-based)
approximate location (network-based)

Caméra

take pictures and videos

Autre

full network access
prevent device from sleeping
run at startup
view network connections
access Bluetooth settings
pair with Bluetooth devices
Le #2101692
Ça aura été rapide moi comme bien d'autres qui voyais l'enfumage a des kilomètres, je pensais qu'ils auraient a minima le respect de nous livrer un truc conforme avant de le faire dériver de plus en plus au grés de nouvelle loi/décret lui donnant plus de possibilités intrusives. Après il suffisait de voir les autorisations demandées pour s'en rendre compte, c'est du foutage de gueule.
Le #2101693
Adarion29 a écrit :

Ça aura été rapide moi comme bien d'autres qui voyais l'enfumage a des kilomètres, je pensais qu'ils auraient a minima le respect de nous livrer un truc conforme avant de le faire dériver de plus en plus au grés de nouvelle loi/décret lui donnant plus de possibilités intrusives. Après il suffisait de voir les autorisations demandées pour s'en rendre compte, c'est du foutage de gueule.


Ne l'installe pas
Le #2101696
Les politiques ne tiennent pas leurs promesses...

C'est pas nouveau-nouveau...

Et vu que la data est plus chère que l'or, il est logique que nos simili-gouvernants en profitent...
Le #2101697
skynet a écrit :

Adarion29 a écrit :

Ça aura été rapide moi comme bien d'autres qui voyais l'enfumage a des kilomètres, je pensais qu'ils auraient a minima le respect de nous livrer un truc conforme avant de le faire dériver de plus en plus au grés de nouvelle loi/décret lui donnant plus de possibilités intrusives. Après il suffisait de voir les autorisations demandées pour s'en rendre compte, c'est du foutage de gueule.


Ne l'installe pas


J'en ai jamais eu l'intention ,a voir si ça reste facultatif bien longtemps.
Le #2101698
skynet a écrit :

Adarion29 a écrit :

Ça aura été rapide moi comme bien d'autres qui voyais l'enfumage a des kilomètres, je pensais qu'ils auraient a minima le respect de nous livrer un truc conforme avant de le faire dériver de plus en plus au grés de nouvelle loi/décret lui donnant plus de possibilités intrusives. Après il suffisait de voir les autorisations demandées pour s'en rendre compte, c'est du foutage de gueule.


Ne l'installe pas


Vu ce qui est écrit plus haut, le fait qu'un de mes contacts l'ai installé suffit à ce que je sois "fliqué" vu que tout son carnet d'adresses est envoyés aux serveurs (qui nous coûtent entre 200 000 et 300 000€ par mois !!!).

C'est bien plus pernicieux !!!
Le #2101704
Quand on veut tuer son chien on dit qu'il a la rage ...

"Interrogé, le secrétariat d'État chargé du Numérique explique que lorsqu'un utilisateur est déclaré positif au virus, l'intégralité de son historique de contacts est renvoyée vers les serveurs de StopCovid avant que des algorithmes ne viennent faire le tri en fonction des distances estimées et du temps de contact selon les modalités décrites dans l'arrêté."

C'est le principe de l'application. Si on gère pas les contacts cette appli ne sert à rien.

PS si 'l'autorité' voulait fliquer les gens ils demanderaient à ce que des backdoors soient installées sur tous les phones comme en Chine, et même comme aux USA (merci Snowden).
Le #2101706
skynet a écrit :

Quand on veut tuer son chien on dit qu'il a la rage ...

"Interrogé, le secrétariat d'État chargé du Numérique explique que lorsqu'un utilisateur est déclaré positif au virus, l'intégralité de son historique de contacts est renvoyée vers les serveurs de StopCovid avant que des algorithmes ne viennent faire le tri en fonction des distances estimées et du temps de contact selon les modalités décrites dans l'arrêté."

C'est le principe de l'application. Si on gère pas les contacts cette appli ne sert à rien.

PS si 'l'autorité' voulait fliquer les gens ils demanderaient à ce que des backdoors soient installées sur tous les phones comme en Chine, et même comme aux USA (merci Snowden).


"...C'est le principe de l'application. Si on gère pas les contacts cette appli ne sert à rien...."

Oui, mais quel besoin d'envoyer l'intégralité de son historique des contacts alors que le tri peut parfaitement se faire en local ?

Et ceci dit je répondais particulièrement à ton message "Ne l'installe pas" qui en fait ne résout rien

Quand à mettre des backdoors c'est actuellement impossible car nous vivons en démocratie et que ça serait totalement anticonstitutionnel.
J'imagine même pas le levé de boucliers que ça générerait, par contre sous couvert de "santé", ça passe crème !
Le #2101712
sansimportance a écrit :

skynet a écrit :

Quand on veut tuer son chien on dit qu'il a la rage ...

"Interrogé, le secrétariat d'État chargé du Numérique explique que lorsqu'un utilisateur est déclaré positif au virus, l'intégralité de son historique de contacts est renvoyée vers les serveurs de StopCovid avant que des algorithmes ne viennent faire le tri en fonction des distances estimées et du temps de contact selon les modalités décrites dans l'arrêté."

C'est le principe de l'application. Si on gère pas les contacts cette appli ne sert à rien.

PS si 'l'autorité' voulait fliquer les gens ils demanderaient à ce que des backdoors soient installées sur tous les phones comme en Chine, et même comme aux USA (merci Snowden).


"...C'est le principe de l'application. Si on gère pas les contacts cette appli ne sert à rien...."

Oui, mais quel besoin d'envoyer l'intégralité de son historique des contacts alors que le tri peut parfaitement se faire en local ?

Et ceci dit je répondais particulièrement à ton message "Ne l'installe pas" qui en fait ne résout rien

Quand à mettre des backdoors c'est actuellement impossible car nous vivons en démocratie et que ça serait totalement anticonstitutionnel.
J'imagine même pas le levé de boucliers que ça générerait, par contre sous couvert de "santé", ça passe crème !


"Quand à mettre des backdoors c'est actuellement impossible car nous vivons en démocratie et que ça serait totalement anticonstitutionnel."

Tu crois qu'Obama s'en est privé dans le grand pays de la liberté ??
Le #2101718
"StopCovid : l'application ne respecte pas ses promesses concernant les données personnelles"

sans dec !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme