Des problèmes, quels problèmes ? Malgré la longue liste des polémiques entourant l'application de traçage de contacts StopCovid -inefficacité car trop peu téléchargée, manque de transparence sur les données qui remontent au serveur central, incompatibilité avec les autres applications européennes, soupçon de favoritisme dans l'attribution du contrat de maintenance...-, le secrétaire d'Etat au Numérique, Cédric O, et les organismes qui ont contribué à son développement -l'Inria, l'Inserm, la Direction générale de la santé, l'Institut Pasteur- ont présenté un "point d'étape", mardi 23 juin à Bercy. Un exercice mêlant auto-congratulations et pistes d'améliorations pour les mois à venir, en espérant déminer les critiques et encourager les Français à télécharger l'application.
1,8 million d'installations... mais déjà 460.000 désinstallations
Car pour l'instant, le bilan n'est pas glorieux. Installé sur téléphone portable, StopCovid permet à un utilisateur qui se découvre contaminé de prévenir anonymement les autres utilisateurs qu'il a croisés récemment. Mais depuis son lancement le 2 juin, StopCovid a été téléchargée 1,9 million de fois, pour 1,8 million d'installations effectives, soit 2,5% de la population française. Mais 460.000 personnes ont aussi déjà désinstallé l'application... ce qui signifie que StopCovid n'est effective que sur 1,4 million de smartphones. "Le rythme des désinstallations augmente nettement ces derniers jours", a admis Cédric O. "Je pense que c'est parce que l'épidémie ne fait plus aussi peur, ce qui est dommage car les craintes d'une deuxième vague à l'automne sont à prendre au sérieux", a-t-il commenté.
Avec un si faible taux d'installation -largement inférieur à l'Allemagne et à l'Italie par exemple-, l'appli se révèle très peu pertinente dans la lutte contre le Covid-19. En trois semaines, 68 personnes se sont déclarées positives au coronavirus sur StopCovid. En conséquence, 205 identifiants cryptés correspondant à des contacts croisés pendant la période d'incubation, ont été remontés au serveur central. Mais seulement 14 personnes ont été prévenues par une notification qu'elles avaient été en contact avec une personne malade. "On ne sait pas pourquoi ce chiffre est si faible, il faudrait effectuer une enquête de terrain pour comprendre", a estimé Cédric O. Le chiffre interpelle : même si on considère que les 14 personnes prévenues correspondent à 14 malades différents (ce qui n'est pas sûr), cela signifie qu'au moins 54 malades n'ont donné lieu à aucune notification. Est-ce parce qu'ils n'ont croisé personne à moins d'un mètre pendant 15 minutes pendant les 15 jours précédant leur test positif au Covid-19 ? L'application est-elle vraiment capable de détecter tous les cas contacts alors que des doutes subsistent toujours sur son fonctionnement sur iPhone lorsque celui-ci est en veille ?
Des coûts mensuels autour de 200.000 euros par mois
Le secrétaire d'Etat au Numérique a également donné des précisions sur le coût de maintenance de StopCovid. Les dépenses d'hébergement sont estimées à 40.000 euros par mois hors taxe, tandis que la maintenance et les développements sont estimées à 60.000 euros en juin, 40.000 en juillet et en août, et 80.000 à partir de septembre, un surcoût lié à l'arrêt du travail pro-bono de Capgemini, qui travaillera gratuitement sur l'application jusqu'à fin août. Il faut également ajouter des dépenses complémentaires optionnelles "d'appui au support utilisateur" (50.000 euros par mois) et des dépenses liées au déploiement de l'application (30.000 euros par mois).
Ce qui fait un total de 180.000 euros hors taxe en juin, 160.000 euros hors taxe en juillet et en août, et 200.000 euros hors taxes à partir de septembre. En ajoutant la TVA à 20%, on arrive à environ 216.000 euros en juin, 192.000 euros en juillet et en août, et 240.000 euros à partir de septembre.
Cédric O est brièvement revenu sur le soupçon de favoritisme dans l'attribution du contrat de maintenance de l'application à Outscale, une filiale de Dassault Systèmes, alors que la maison-mère a contribué à titre gracieux au développement de l'application. Renvoi d'ascenseur ? Cédric O s'en défend. "Outscale est la seule solution d'hébergement certifiée par l'Anssi, donc il n'y avait pas de raison de passer un appel d'offres alors qu'une seule entreprise n'est éligible", a répondu le secrétaire d'Etat au Numérique, tandis que Guillaume Poupard, le président de l'Anssi, acquiesçait d'un mouvement de tête. Toutefois, le ministre a précisé que lorsque Capgemini arrêtera de travailler pro-bono sur le projet, c'est-à-dire à la fin août, un appel d'offres sera lancé pour sélectionner l'entreprise qui aura le contrat.
Une gêne palpable concernant la Cnil et les remontées de données personnelles au serveur central
Un autre dossier chaud attendait Cédric O : pourquoi a-t-il affirmé aux députés -pour obtenir leur vote- et à l'opinion publique -pour qu'elle télécharge l'application- que StopCovid n'envoie à un serveur central seulement les données correspondant à un contact de moins d'un mètre pendant 15 minutes entre deux smartphones, alors que ce n'est pas le cas ? La semaine dernière, un chercheur de l'Inria, Gaëtan Leurent, a démontré que l'appli fait en réalité remonter toutes les interactions du smartphone avec tout autre téléphone équipé de l'application, même si l'interaction n'a duré qu'une dizaine de secondes à plus de 5 mètres de distance.
Autrement dit, le fonctionnement réel de l'application révèle une énorme différence entre la théorie -ce qui a été annoncé par le gouvernement, écrit dans le décret d'application validé par la Cnil et voté par les députés, et promu ensuite par l'Etat-, et la pratique. Dans son avis du 25 mai, la Cnil donnait son accord au gouvernement parce que l'appli ne transmettait au serveur central que des données correspondant à un contact de moins d'un mètre pendant 15 minutes. Visiblement, l'autorité n'a donc pas audité la version actuelle de l'application, et a donc rendu un avis devenu très vite obsolète. Pourtant, le gouvernement s'appuie quand même sur cet avis pour promouvoir l'application. Plus qu'un problème de transparence, cette révélation pourrait devenir un vrai problème juridique pour StopCovid, d'autant plus que le consentement de l'utilisateur n'est donc pas donné en réelle connaissance de cause.
Visiblement mal à l'aise sur le sujet, Cédric O s'est retranché derrière l'annonce effectuée par la Cnil ce mardi, qui a indiqué qu'elle allait contrôler "dans les prochains jours" le fonctionnement du serveur central. "Je me réjouis de ces audits de la Cnil et je les espère le plus rapidement possible", a-t-il ajouté. D'après lui, il y a eu "une incompréhension" sur la question "du nombre de données remontées au serveur central", car "la manière dont fonctionne StopCovid, basée sur le protocole franco-allemand ROBERT, est publique depuis avril". Et d'expliquer que l'appli fait remonter ces données pour "scorer les expositions au virus" :
"Il faut remonter tout l'historique de proximité pour ensuite faire le tri et identifier les personnes qui doivent être prévenues qu'elles ont été en contact avec un malade du Covid-19. Chaque téléphone est doté d'un identifiant crypté, mais celui-ci change toutes les 15 minutes. Donc si je suis à côté de quelqu'un pendant 16 minutes, il y aura deux crypto-identifiants : un pour les premières quinze minutes, un autre pour la 16è minute. Il peut aussi y en avoir un de 8 minutes, un de 3 minutes et un de 5 minutes. Il faut donc pouvoir remonter les crypto-identifiants courts, pour que le serveur central identifie que bien qu'ils soient différents, ils proviennent bien du même smartphone. C'est comme ça qu'on peut calculer le temps d'exposition, et décider d'envoyer une notification si l'exposition est supérieure à 15 minutes à moins d'un mètre", a-t-il détaillé.
Mais ces explications ne justifient pas la ligne de conduite du gouvernement, qui a martelé que l'application ne faisait remonter que les données correspondant à une exposition de 15 minutes à moins d'un mètre, et s'est appuyé sur un avis de la Cnil basé sur une méconnaissance du fonctionnement réel de l'application. "Nous allons mettre en place un filtre dans la prochaine mise à jour qui sera lancée ce jeudi, qui fera qu'on ne remontera pas les contacts trop éloignés ou trop courts, de moins d'une minute par exemple même si la durée n'est pas encore tranchée", a ajouté le ministre.
Mise à jour, "CAPTCHA souverain", nouveaux développements et communication concentrée sur les clusters
Malgré toutes ces déconvenues, le gouvernement maintient son cap et redit sa détermination à faire de StopCovid "un outil important et complémentaire dans la lutte contre la propagation du Covid-19, surtout en cas de deuxième vague".
Cédric O a ainsi présenté les chantiers à venir, à commencer dès cette semaine par une mise à jour intégrant le fameux filtre pour ne plus remonter autant de données au serveur central. Un nouveau CAPTCHA, c'est-à-dire un traceur capable d'identifier que l'utilisateur n'est pas un robot, sera ajouté pour remplacer celui de Google. Car là aussi, lors du bug bounty (le test de l'application par des hackers éthiques), des experts en cybersécurité avaient découvert que l'appli intègre ce traceur développé par Google... alors que tout le but d'une application "souveraine" était de se passer des briques logicielles d'Apple et de Google.
Autre chantier : travailler, avec l'UE, à l'interopérabilité avec les autres applications de tracing européennes. Aujourd'hui, StopCovid est totalement incompatible avec toute autre application, ce qui pose un problème pour les touristes qui viendraient en France, et pour les travailleurs frontaliers. Ce manque de compatibilité s'explique car la France est le seul pays à avoir refusé de développer son app en utilisant la base technique d'Apple et de Google.
Enfin, le gouvernement prévoit une campagne de communication spécifique pour pousser les habitants de nouveaux clusters du coronavirus à télécharger l'application. A commencer par Mayotte. "Il faut travailler avec les collectivités locales pour intégrer StopCovid aux actions de terrains dans les clusters localisés", ajoute Cédric O.
Sujets les + commentés