Coronalert et vie privée: voici pourquoi l’app ne détourne pas vos données personnelles

– Robin Utrecht/REX

CoronAlert, l’application numérique de tracing destinée à limiter la propagation du Covid-19, est disponible depuis le 30 septembre.  Très attendue, cette application a soulevé de nombreuses questions. Respecte-t-elle vraiment la vie privée de ses utilisateurs? Comment leurs données sont-elles exploitées? Alors que certains citoyens belges hésitent encore à la télécharger, plusieurs études laissent penser que l’app serait ‘un modèle du respect de la vie privée.’ Décryptage. 

Depuis plus d’une semaine, l’application de tracing Coronalert est disponible pour tous les citoyens belges. Mais sur quels fondements techniques l’app repose-t-elle? Comment les données de ses utilisateurs sont-elles exploitées ? 

Coronalert, comment ça marche ?

‘Coronalert’ permet à toute personne ayant téléchargé l’app sur son Smartphone d’être alertée si elle a été en contact avec une autre personne positive au Covid-19. Cette app a été développée par la société bruxelloise Devside, spécialisée dans les applications mobiles, avec l’aide de l’éditeur de logiciels malinois Ixor, qui travaille en sous-traitance.

L’app est censée emmagasiner des identifiants anonymes et uniques contenus dans des balises émises par les autres Smartphones, et seul ‘l’identifiant’ de balise est censé être transmis, donc pas les informations personnelles. 

Coronalert télécharge donc chaque jour une liste ‘d’identifiants secrets’ correspondant à des personnes contaminées. L’app va ensuite comparer ces identifiants avec ceux qu’elle a croisés dans la vie réelle au cours des 14 derniers jours. Et dans la pratique, ça donne quoi?

Démêler le ‘vrai’ du ‘faux’ 

D’après une analyse réalisée par un ingénieur sur l’application Android, ‘le code Open Source de l’application Coronalert ne communique pas plus d’informations qu’annoncé’. Mais que cela signifie-t-il exactement ?

Pour réaliser son enquête, l’expert a récupéré le code source de l’application Android avant d’analyser certains points bien précis. Grâce à  l’IntelliJ et au système de partage de code source (appelé Git), il a également pu consulter l’historique de modification de l’app et voir de quelle manière les données utilisateurs avaient été traitées. 

Des conclusions rassurantes :  

  • D’après ses recherches, ‘seuls des identifiants générés aléatoirement sont échangés entre les téléphones disposant de Coranalert et les serveurs de Sciensano’   
  • Le Smartphone ne fait qu’échanger une courte donnée par Bluetooth, qui n’est pas suffisamment grande pour échanger des données autres que des ‘clés anonymes’
  • L’application doit fournir au Système Android/ Google Play Sevices les identifiants aléatoires et secrets (TEK), des personnes testées positives. Mais Google ne communique que les balises et les résultats des tests ou d’autres informations confidentielles
  • Coronalert gèrent les clés temporaires, soit les informations qui disent si certaines personnes sont contaminées ou non. Mais Sciensano ou l’État belge ne va pas recevoir des informations sur ses utilisateurs depuis l’app.
  • Les identifiants aléatoires et secrets (TEK) de personnes contaminées sont envoyés des serveurs vers votre téléphone qui les compare aux identifiants TEK aperçus autour de vous lors des 14 derniers jours. C’est votre téléphone et non un organisme distant qui cherche à savoir si vous êtes ‘à risque’.
  • Il n’est pas possible de vous localiser avec précision, la précision de localisation obtenue par une adresse IP est de la taille d’une province.
  • Enfin, l’application n’accède pas au répertoire téléphonique ou à d’autres données personnelles

‘Aucune raison de ne pas l’installer’

Peut-on télécharger l’app en toute confiance ? Force est de constater qu’elle n’est pas une entrave à la vie privée de ses utilisateurs. Des propos corroborés par Test-Achats : ‘Pour nous, il n’y a aucune raison de ne pas l’installer’, pouvait -on lire dans le compte rendu de leur enquête réalisée sur Android et Ios, publiée le 29 septembre. Test-Achats confirme que les utilisateurs ne peuvent être localisées et que les données partagées sont ‘minimes et limitées à des données anonymes.

‘Il ne s’agit pas ici de localiser les personnes, ni d’enregistrer qui sont vos contacts. Le système est basé sur l’utilisation de Bluetooth, qui enverra autour de vous des messages anonymes à intervalle régulier, en combinaison avec de la cryptographie, pour masquer les identités et sécuriser les communications’,  expliquait Jean-Michel Dricot, (Centre de recherche en Cybersécurité), dans un rapport publié par le centre de polytechnique de l’Université Libre de Bruxelles. 

‘Que’ 800.000 téléchargements

Près d’une semaine après son lancement, il apparaît que Coronalert aurait été téléchargée un peu moins de 800.000 fois (501.000 fois via des smartphones Android et 290.000 via des smartphones Apple).  Mais si ces chiffres peuvent sembler impressionnants, ils ne représentent en réalité qu’un faible pourcentage sur les 7 millions de smartphone en circulation recensés par l’étude de GSK. 

À qui la faute? Certains pensent que l’app ne connaît pas le succès qu’elle mérite car elle a été dénigrée à maintes reprises avant même d’être lancée. La population s’est concentrée davantage sur les éventuelles ‘failles’ de l’app plutôt que sur son utilité réelle.  Et s’il est possible que les chiffres évoluent encore, les mesures restrictives pourraient dissuader les utilisateurs de télécharger Coronalert : s’ils sortent moins, pourquoi la télécharger?

Pourtant, à l’heure où les chiffres sont à nouveau en hausse en Belgique, Coronalert pourrait changer la donne. Comme le souligne Jean-Michel Dricot :‘ L’objectif de cette app est de pouvoir alerter les personnes à risque et de les prendre en charge rapidement, par exemple en les testant. Cela pourrait sauver des vies et favoriser un retour à la vie normale’.