"STOPCOVID RISQUE DE DONNER UN FAUX SENTIMENT DE SECURITE" (BAPTISTE ROBERT)
Le hacker toulousain Baptiste Robert alerte depuis des mois sur les risques liés à l'utilisation d'une application de contact tracing pour lutter contre la pandémie de Covid-19. Alors que StopCovid a été approuvée au Parlement, il explique à La Tribune pourquoi l'efficacité de ce type d'outil est remis en cause en France, mais aussi ailleurs dans le monde. Interview.
La Tribune : Le gouvernement a présenté mercredi 27 mai l'application StopCovid devant l'Assemblée nationale. Vous avez alerté, notamment dans un article dans Medium, sur l'inefficacité d'un tel outil dans la lutte contre l'épidémie. Quels sont les principaux freins ?
Baptiste Robert : Le débat autour de l'application a principalement tourné autour du choix de la technologie : GPS, Bluetooth. Mais personne ne s'est posé la question de savoir si cela fonctionne réellement, alors qu'il existe beaucoup de difficultés. 77% des Français possèdent un smartphone donc un quart de la population n'est déjà pas incluse dans le dispositif. C'est la fameuse fracture numérique. Par ailleurs, le Covid-19 touche principalement les personnes âgées. Chez les plus de 70 ans, seulement 44% ont un smartphone. Ce qui veut dire que plus de la moitié des personnes à risque sont exclues.
Ensuite, le Bluetooth n'est pas une technologie faite pour mesurer des distances. Elle permet de mesurer l'intensité d'un signal. À deux mètres près, il est possible de dire que telle personne a été à côté de moi. Il existe une imprécision dans la technologie. Et puis la puissance du signal dépend du modèle de téléphone. Si j'ai le dernier iPhoneX, la puce Bluetooth est très performante donc le signal sera de très bonne qualité alors que sur un vieux Android, il sera beaucoup plus faible. Le risque est de donner à l'utilisateur un faux sentiment de sécurité. Certains vont installer StopCovid et se dire "je m'en fiche, je ne respecte pas la distanciation sociale, etc". Alors que l'efficacité n'est pas assurée.
Cette application pose aussi la question du solutionnisme technologique. On essaie de remplacer avec StopCovid un vrai métier, celui de contact-traceur. Or, lors d'une pandémie, la population a besoin de parler à quelqu'un. Recevoir une notification sur un téléphone est très inhumain. Dire que l'on a croisé quelqu'un de malade peut provoquer de l'anxiété chez les personnes âgées. C'est aussi une question éthique. Est-ce que l'on veut vraiment d'une société qui fonctionne sur ce modèle ?
Quels sont les premiers retours de performance de StopCovid ?
B.R. : Les premiers tests ont montré de bons résultats (autrement dit que les personnes en contact avec le malades sont détectées, ndlr) dans seulement 8 cas sur 10. Donc 2 fois sur 10, l'application n'a pas repéré le contact. Le taux d'erreur est énorme. Des faux positifs et des faux négatifs ont également été relevés. Or, pour un dispositif de santé le verdict doit être pertinent à 100%. Imaginez vous apprenez que vous avez un cancer, le diagnostic a intérêt à être pertinent !
Pour parer les mauvaises surprises, le gouvernement a sollicité via la plateforme Yes We Hack des hackers éthiques afin de soulever les bugs techniques avant le lancement officiel de StopCovid. Vous comptez y participer ?
B.R. : Oui, c'est une première pour une administration française de lancer une chasse au bug avant le lancement officiel d'une application. L'intérêt est d'être constructif dans la démarche via la communauté Yes We Hack. J'ai déjà trouvé des failles. L'application a peu de fonctionnalités donc c'est normal que l'on ne trouve pas des éléments gravissimes mais même sur une petite surface d'attaque j'ai trouvé des choses (le hacker s'est engagé sur un devoir de réserve et ne peut révéler le contenu de ces failles, ndlr).
Vous faites partie des experts qui ont été entendus par les parlementaires et le secrétaire d'État au Numérique en amont de la conception de cette application. Avez-vous le sentiment que vos remarques ont été prises en compte ?
B.R. : Absolument pas. J'ai eu le plaisir de discuter avec le secrétaire d'État Cédric O à plusieurs reprises ces derniers mois et il existe une volonté très forte de sortir cette application, quoi qu'il en coûte. Il s'agit davantage d'un combat politique qu'un esprit d'intérêt général pour lutter contre la pandémie. Les experts n'ont absolument pas été entendus. Nous avons alerté sur les problèmes liés à ce type d'application et les mauvais choix sont restés, comme par exemple sur le Bluetooth ou le protocole utilisé. Les données sont envoyées vers un serveur central qui sera sous la gestion de l'État. Y figureront les identifiants de toutes les personnes que vous avez croisées. L'État va être en mesure de reconstituer votre "social graph", autrement dit toutes les personnes que vous avez croisées, à quel moment. On est en train d'habituer les citoyens à accepter des choses qu'ils ne voudraient pas en temps normal comme mettre son Bluetooth activé en permanence. La prochaine étape, cela pourrait être d'allumer constamment son GPS.
D'autres pays ont déjà fait ce choix. Vous avez révélé il y a peu une faille de sécurité importante sur le StopCovid indien qui permettait de localiser les personnes malades à l'échelle d'une maison...
B.R. : En Inde, l'application utilise le Bluetooth et le GPS pour traquer les citoyens. Il existe une fonctionnalité qui permet de savoir combien de personnes sont malades autour de vous. J'ai utilisé cette fonction pour repérer des gens malades au bureau du Premier ministre ou au Parlement indien.
Singapour a été longtemps citée en exemple pour son utilisation de la technologie de contact tracing dans la lutte contre l'épidémie. Qu'en est-il réellement ?
B.R. : Singapour n'est absolument pas un exemple. Leur responsable des services numériques a dit lui même que ce n'était pas la panacée et que cela ne remplaçait pas le contact tracing manuel. Seulement 20% de la population l'a utilisée et cela n'a pas empêché le confinement.
Autre exemple, en Islande, un petit pays de 360 000 habitants. 40% de la population l'a installée. L'un des responsables du traçage des malades a expliqué que cela avait servi de manière très marginale, sur quelques cas. Le dernier exemple parlant est celui de l'Australie. Six millions de personnes ont téléchargé l'application et les autorités ont reconnu il y a quelques jours avoir identifié un seul cas par ce biais après un mois d'utilisation.
Surtout, la Chine qui dispose d'un traçage numérique incroyable n'a pas réussi à endiguer cette pandémie. La première réponse des autorités lorsque de nouveaux cas sont apparus a été de tester tout le monde. La vraie réponse a une pandémie reste : tester, tracer, isoler.
Quelles seraient les usages alternatifs du numérique pour lutter contre cette pandémie ?
B.R. : Toucher les personnes âgées, cela ne passe pas par une application mobile. Par un texto, on pourrait faire passer des messages de prévention pour les aider à changer leurs habitudes et respecter la distanciation sociale. Il existe un enjeu connexe autour de l'alerte. En mars, nous avons tous reçu un texto de l'État sur le coronavirus. Le gouvernement avait récupéré les listes de contacts via les opérateurs téléphoniques. Il existe de vieilles technologies qui sont le Cell Broadcast et le Location based SMS qui permettent d'envoyer des messages lors d'événements extraordinaires. C'est utilisé au Japon lors des inondations ou pendant les Amber alert (alerte enlèvement) aux Etats-Unis. Ce système pourrait prévenir les citoyens lorsqu'ils entrent dans une zone sensible.