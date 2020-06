Le secrétaire d'État chargé du numérique Cédric O s'est réjoui du fait que plus de 600.000 personnes aient activé StopCovid sur leur téléphone, moins de 24 heures après son lancement mardi. Fruit d'âpres et longues discussions, l'application a été vertement critiquée, notamment sur les réseaux sociaux.

Qu'en est-il vraiment ? Pour le savoir, LCI a contacté l'ingénieur et hackeur Baptiste Robert, qui a étudié en détails le code source de l'application, et participé à la recherche de failles techniques avant sa mise en place. Cet expert indépendant, par ailleurs assez critique sur l'utilité de StopCovid, indique que s'il est nécessaire d'autoriser la géolocalisation sur Android, cela ne signifie pas pour autant que nos données GPS seront compilées.

Autre point mis en avant par Karim Khelfaoui, le fait que StopCovid ait accès à la caméra du smartphone. Là-encore, l'explication est simple : pour se signaler à l'application en cas de contamination, il est nécessaire de scanner un code-barre, inscrit sur la feuille de résultats du test. Pour effectuer ce scan, l'application a besoin de l'appareil photo et va donc solliciter auprès de l'utilisateur le droit de l'utiliser. "Ce n'est même pas obligatoire", nuance Baptiste Robert, "puisque si vous préférez ne pas utiliser la caméra, il est possible de taper à la main le code". Là encore, aucun autre usage de cette fonctionnalité n'est dissimulé dans le code source.

"L'application repose entièrement sur l'utilisation du bluetooth", rappelle-t-il. "Et Android requiert que pour l'utiliser via une application, la géolocalisation soit autorisée sur votre téléphone." Après avoir passé le code source au peigne fin, il est catégorique : seul le bluetooth est employé, et l'utilisateur n'est pas géolocalisé. "Donner la permission à l'appli d'utiliser la géolocalisation ne signifie pas qu'elle va forcément en avoir l'usage", affirme-t-il. "De la même manière qu'une personne avec le permis de conduire ne possède pas forcément une voiture."

Sur ce point, le hackeur se montre critique vis-à-vis des autorités : "On nous a bien tanné avec la souveraineté numérique, et le ministre Cédric O en a fait un cheval de bataille, mais si c'est pour se retrouver avec l'utilisation d'un outil de tracking signé Google…" Dans les faits, les informations communiquées à la firme californienne seront minimes, mais comprennent tout de même l'adresse IP de votre appareil.

Reste la question du coût global de l'application StopCovid, dénoncé par le médecin dans sa vidéo. Cédric O assurait qu'il serait "négligeable", ce qui se révèle au bout du compte une question d'appréciation. "Développée gratuitement par des chercheurs et partenaires privés", rappelle L'Obs, l'appli a tout de même un coût : "Sa maintenance et son hébergement sont bel et bien facturés, entre 200.000 et 300.000 euros par mois".

Dans la vidéo qu'il a posté sur les réseaux sociaux, Karim Khelfaoui met donc en avant certains éléments factuellement faux. Il est notamment trompeur d'assurer que StopCovid permet de suivre notre position grâce à la géolocalisation, alors qu'elle n'a recourt qu'au bluetooth. Baptiste Robert souligne néanmoins que les chercheurs comme lui devront se montrer vigilants à l'avenir, pour s'assurer que ces fonctionnalités ne soient pas implémentées lors de prochaines mises à jour. Une hypothèse malgré tout peu probable à ses yeux, "vu la médiatisation autour de l'application et le nombre de personnes qui suivent le projet".