Gare aux affirmations trompeuses de ce médecin généraliste à propos de StopCovid

Le secrétaire d'État chargé du numérique Cédric O s'est réjoui du fait que plus de 600.000 personnes aient activé StopCovid sur leur téléphone, moins de 24 heures après son lancement mardi. Fruit d'âpres et longues discussions, l'application a été vertement critiquée, notamment sur les réseaux sociaux. 

Très actif en ligne – près de 20.000 personnes sont abonnées à ses publications Facebook –, le médecin généraliste Karim Khelfaoui fait partie des opposants à StopCovid. Il y a consacré une vidéo, dans laquelle il dénonce un "outil de flicage". Problème : son argumentation repose sur une mauvaise compréhension technique de l'application, ainsi que du fonctionnement de nos terminaux mobiles. 

Le premier point soulevé par le médecin marseillais concerne le recours à la géolocalisation par StopCovid. Il souligne en effet que pour être utilisée, l'application requiert sous Android un accès à la fonction de géolocalisation. "Oui l'application peut vous géolocaliser précisément, elle a l'autorisation de le faire", lance-t-il face caméra. 

Qu'en est-il vraiment ? Pour le savoir, LCI a contacté l'ingénieur et hackeur Baptiste Robert, qui a étudié en détails le code source de l'application, et participé à la recherche de failles techniques avant sa mise en place. Cet expert indépendant, par ailleurs assez critique sur l'utilité de StopCovid, indique que s'il est nécessaire d'autoriser la géolocalisation sur Android, cela ne signifie pas pour autant que nos données GPS seront compilées. 

"L'application repose entièrement sur l'utilisation du bluetooth", rappelle-t-il. "Et Android requiert que pour l'utiliser via une application, la géolocalisation soit autorisée sur votre téléphone." Après avoir passé le code source au peigne fin, il est catégorique : seul le bluetooth est employé, et l'utilisateur n'est pas géolocalisé. "Donner la permission à l'appli d'utiliser la géolocalisation ne signifie pas qu'elle va forcément en avoir l'usage", affirme-t-il. "De la même manière qu'une personne avec le permis de conduire ne possède pas forcément une voiture." 

Autre point mis en avant par Karim Khelfaoui, le fait que StopCovid ait accès à la caméra du smartphone. Là-encore, l'explication est simple : pour se signaler à l'application en cas de contamination, il est nécessaire de scanner un code-barre, inscrit sur la feuille de résultats du test. Pour effectuer ce scan, l'application a besoin de l'appareil photo et va donc solliciter auprès de l'utilisateur le droit de l'utiliser. "Ce n'est même pas obligatoire", nuance Baptiste Robert, "puisque si vous préférez ne pas utiliser la caméra, il est possible de taper à la main le code". Là encore, aucun autre usage de cette fonctionnalité n'est dissimulé dans le code source.

Dans son argumentaire, le médecin marseillais a toutefois raison lorsqu'il mentionne l'existence d'une fonctionnalité signée Google dans l'application, qui le laisse perplexe quant à la "souveraineté numérique" prônée par le gouvernement. Baptiste Robert indique que le système de "recaptacha" du géant américain a bien été intégré à l'application, "utilisé pour s'assurer que l'utilisation de l'application n'est pas un robot". 

Sur ce point, le hackeur se montre critique vis-à-vis des autorités : "On nous a bien tanné avec la souveraineté numérique, et le ministre Cédric O en a fait un cheval de bataille, mais si c'est pour se retrouver avec l'utilisation d'un outil de tracking signé Google…" Dans les faits, les informations communiquées à la firme californienne seront minimes, mais comprennent tout de même l'adresse IP de votre appareil.

Reste la question du coût global de l'application StopCovid, dénoncé par le médecin dans sa vidéo. Cédric O assurait qu'il serait "négligeable", ce qui se révèle au bout du compte une question d'appréciation. "Développée gratuitement par des chercheurs et partenaires privés", rappelle L'Obs, l'appli a tout de même un coût : "Sa maintenance et son hébergement sont bel et bien facturés, entre 200.000 et 300.000 euros par mois". 

Dans la vidéo qu'il a posté sur les réseaux sociaux, Karim Khelfaoui met donc en avant certains éléments factuellement faux. Il est notamment trompeur d'assurer que StopCovid permet de suivre notre position grâce à la géolocalisation, alors qu'elle n'a recourt qu'au bluetooth. Baptiste Robert souligne néanmoins que les chercheurs comme lui devront se montrer vigilants à l'avenir, pour s'assurer que ces fonctionnalités ne soient pas implémentées lors de prochaines mises à jour. Une hypothèse malgré tout peu probable à ses yeux, "vu la médiatisation autour de l'application et le nombre de personnes qui suivent le projet". 

Vous souhaitez réagir à cet article, nous poser des questions ou nous soumettre une information qui ne vous paraît pas fiable ? N'hésitez pas à nous écrire à l'adresse alaloupe@tf1.fr