• Home
  • Data privacy
  • TousAntiCovid & protection des données personnelles : une promesse non respectée ?

TousAntiCovid & protection des données personnelles : une promesse non respectée ?

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Application maintenant bien connue de tous et présentée comme indispensable dans la gestion de la pandémie de la  Covid19, TousAntiCovid est au coeur des critiques depuis la parution d’un rapport récemment publié par trois chercheurs (Johan D., Nils L. et Gaëtan Leurent)[1]. Ce rapport détaille les différents types de risques qui pourraient exister dans la manière dont l’application gouvernementale traite les informations qu’elle collecte.

Les chercheurs précisent, néanmoins, que les situations et risques envisagés restent hypothétiques et donc relativement faibles. Toutefois, les promesses de l’application étant particulièrement ambitieuses (anonymisation complète et sécurité infaillible), celles-ci sont, de facto, brisées.

Robert et Cléa : deux protocoles en principe bien distincts

Grâce au protocole ROBERT, l’application TousAntiCovid permet, via Bluetooth, aux smartphones de deux personnes s’étant croisées d’entrer en communication. Avec l’introduction du passe sanitaire, l’application peut désormais être également utilisée pour scanner des QR codes à l’entrée de certains lieux, et ce, grâce au protocole Cléa. Ces deux protocoles interviennent donc à différents niveaux et ne sont, en aucun cas, liés.

Toutefois, le rapport met en évidence un possible croisement des données récoltées par ROBERT et Cléa, ce qui viendrait directement contredire la promesse d’un anonymat complet.

Des recoupements possibles

Sur son compte Twitter, Gaëtan Leurent montre que deux utilisateurs ayant scanné leur QR code à l’entrée du même restaurant et au même moment pourraient être identifiés comme ayant déjeuné ensemble. En revanche, les deux utilisateurs resteraient identifiés par des pseudonymes et leur identité réelle demeurerait ainsi inconnue.

Cependant, en croisant les informations horodatées des QR codes et du serveur vers lequel les requêtes sont envoyées, il serait possible de relier l’identifiant pseudonymisé avec les informations du passe sanitaire (nom, prénom, âge etc). Adieu l’anonymat donc… Encore une fois, ces serveurs ne devraient pas, techniquement, être en mesure de communiquer entre eux.

D’éventuels ajustements

Pour pallier ces failles, modifier l’horodatage de la collecte des données sur l’application est envisageable. En effet, élargir l’horodatage (qui est aujourd’hui à la milliseconde près) rendrait impossible le croisement d’informations, puisque la collecte de ces dernières serait moins rapide.

Deuxième option, plus individuelle cette fois-ci : désactiver la collecte des données personnelles sur l’application (dans les paramètres).

 

 

Comme le souligne très justement Marie Turcan[2] dans son article paru dans Numerama, l’application TousAntiCovid et le passe sanitaire sont des thématiques sensibles dont les subtilités techniques sont, du fait de leur complexité, difficilement saisissables par les utilisatrices et  utilisateurs. C’est pourquoi, la communication autour de ces questions se doit d’être irréprochable et nuancée. Ainsi, si le rapport souligne de potentiels risques concernant les promesses de sécurité, ces derniers, même s’ils demeurent faibles, doivent être pris au sérieux.

 

 

[1] Johan D, et al. “Analyse De RISQUE Des Statistiques Tousanticovid (#79) · Issues · TousAntiCovid Sources / TousAntiCovid Android.” GitLab, 19 Aug. 2021, gitlab.inria.fr/stopcovid19/stopcovid-android/-/issues/79.

[2] Turcan, Marie. “TousAntiCovid Et Vos Données PERSONNELLES : QUELS Sont Vraiment Les Risques?” Numerama, 24 Aug. 2021, www.numerama.com/tech/734284-tousanticovid-et-vos-donnees-personnelles-quels-sont-vraiment-les-risques.html#commentaires.

 

Sources:
  • Turcan, Marie. “TousAntiCovid Et Vos Données PERSONNELLES : QUELS Sont Vraiment Les Risques?” Numerama, 24 Aug. 2021, www.numerama.com/tech/734284-tousanticovid-et-vos-donnees-personnelles-quels-sont-vraiment-les-risques.html#commentaires.
  • Johan D, et al. “Analyse De RISQUE Des Statistiques Tousanticovid (#79) · Issues · TousAntiCovid Sources / TousAntiCovid Android.” GitLab, 19 Aug. 2021, gitlab.inria.fr/stopcovid19/stopcovid-android/-/issues/79.
  • KALLENBORN, Gilbert. “L’application TousAntiCovid Peut Faire Fuiter Des Données Personnelles.” 01net, 01net, 20 Aug. 2021, www.01net.com/actualites/l-application-tousanticovid-peut-faire-fuiter-des-donnees-personnelles-2047120.html.

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :