Trois spécialistes en cybersécurité déplorent la collecte des données opérées, par défaut, par l'application TousAntiCovid. Ils conseillent d'ailleurs de désactiver directement l'option qui permet le prélèvement des statistiques.
Depuis le mois de juin, il y a eu du changement dans « les coulisses », dira-t-on, de TousAntiCovid. L'application intègre en effet un petit module télémétrique qui permet de générer des statistiques, de par votre utilisation de TousAntiCovid. Problème : elles n'ont toujours pas été publiées. Et pire, ces statistiques ponctionnées incluant de nombreuses informations affiliées au journal d'événements utilisateur, il devient possible, pour le serveur central, de regrouper diverses sources de données. Cette mise en correspondance, liée à des problèmes de conception de l'application, peut aboutir à l'identification des utilisateurs et à dévoiler des informations de santé censées rester cloisonnées.
Désactiver la collecte des statistiques, sans garantie qu'elles le seront bien
Dans la partie « Paramètres » de l'application, il existe un onglet « Statistiques et mesure d'audience ». Sur celui-ci, que l'on peut librement activer ou désactiver à l'aide du bouton correspondant, il est écrit : « En conformité avec le RGPD, nous vous informons de notre capacité à collecter des données sur l'usage que vous faites de TousAntiCovid, à des fins de diagnostics, d'amélioration de performance et de l'expérience utilisateur. Sachez enfin que ces données sont conservées sur le serveur. »
S'il est donc possible de désactiver cette option, et qu'un bouton « Supprimer mes données » existe juste en dessous, le premier problème réside dans le fait que l'activation de la collecte de données est activée par défaut. Ensuite, la suppression en elle-même des données n'est pas complètement garantie, comme l'indiquent les trois chercheurs Johan …, Nils L. et Gaëtan Leurent. « L'analyse du code publié ne nous permet pas de vérifier que la suppression est pleinement effective », nous disent-ils.
Et le principe est le même sur la prétendue suppression automatique des données au bout de 3 mois : « Là aussi aucune visibilité n'est donnée sur la façon dont cette suppression automatique est réalisée, ni aucune garantie sur sa réalisation. » Et un événement applicatif est envoyé au moment où l'on clique sur le fameux bouton « Supprimer mes données », ce qui, pour les spécialistes cyber, « n'a pas de sens ».
Une collecte de statistiques qui « met en danger les propriétés de sécurité et de protection de la vie privée »
Pour les trois chercheurs, « malheureusement, la collecte de statistiques contredit le principe de minimisation ». Ils vont même jusqu'à nous dire que cela « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles ROBERT et Cléa », ROBERT permettant le traçage Bluetooth et Cléa, le QR-Code des lieux, le fameux cahier de rappel utilisé dans les lieux publics.
Pourtant, le principe de ces protocoles est de protéger la vie privée des utilisateurs. Le P.-D.G. de l'Inria, Bruno Sportisse, rappelle à leur sujet que « sa conception permet que personne, pas même l'État, n'ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes ». Un discours relayé dans la spécification de ROBERT, puis dans celle de Cléa, qui promet qu'aucune donnée n'est envoyée à un serveur tant que l'utilisateur ne s'est pas déclaré positif à la COVID-19 via l'application TousAntiCovid.
Selon les spécialistes en cybersécurité, la collecte de statistiques viole purement et simplement ces garanties de sécurité. « TousAntiCovid offre maintenant une sécurité très faible contre un serveur qui essaye d'identifier les utilisateurs », affirment-ils.
Des statistiques touchant à l'utilisation et à la santé peuvent être transmises…
De nombreuses statistiques liées à l'identifiant de l'application sont envoyées, tout comme celles sans identifiant pérenne mais qui contiennent des données plus sensibles, comme des données de santé. Toutes les 12 heures, des données issues d'un journal d'événements sont envoyées.
En ce qui concerne les statistiques générales, cela peut aller du modèle de téléphone au système d'exploitation, en passant par le nombre de lieux où un QR-Code a été scanné, le nombre de certificats ajoutés dans le wallet, etc.
Pour le journal d'événements, donc, cela va encore plus loin. Après avoir analysé le code source et le comportement des versions Android et iOS de TousAntiCovid, les chercheurs ont déniché 21 types d'événements applicatifs possibles, tous transmis avec un horodatage précis à la milliseconde (« 2021-08-12T23:42:48.988Z », par exemple). On retrouve notamment des événements transmis lors de l'ouverture de l'application après un clic sur une notification ; au moment de l'affichage des attestations, du cahier de rappel ; lors de l'ajout d'un lieu visité, d'un certificat ; ou au moment du clic sur le bouton « Supprimer mes données » (dont nous parlions tout à l'heure) et sur le bouton « Scanner un QR-Code ».
D'autres statistiques, non liées à un identifiant à long terme, sont aussi envoyées par la fonction « sendHealthAnalytics ». Elles vont de la date du test positif à celle des premiers symptômes, entre autres.
… sans que l'utilisateur n'ait livré son consentement
Pour résumer donc, le serveur central de l'application est capable de mettre en correspondance différentes sources de données qui devraient, en théorie, être indépendantes, d'identifier certains utilisateurs et de récupérer des informations sur la vie privée des Français, comme celles touchant à un test positif, au statut vaccinal ou aux relations sociales. L'architecture de collecte de statistiques visée par la CNIL et son avis de décembre 2020 est d'ailleurs différente de celle déployée en avril 2021.
Les chercheurs regrettent aussi le défaut de consentement de l'utilisateur, qui n'est tout simplement pas demandé. « Il semblerait donc que la collecte des statistiques ait été activée sans informer les utilisateurs existants de la nouvelle finalité », indiquent-ils. Alors, évidemment, on sait depuis que la CNIL autorise que certaines opérations soient exemptées de consentement. Mais les spécialistes affirment que cette exception du recueil de consentement n'est possible que sous certaines conditions, pourtant pas toutes respectées par l'application du gouvernement.
Des fonctionnalités qui entrent en conflit
Un dernier détail majeur chagrine les experts qui ont disséqué TousAntiCovid : la politique de confidentialité. Elle a été modifiée entre le 20 avril 2021 et le 29 avril 2021 pour pouvoir justement prendre en compte la collecte des nouvelles statistiques. La version précédente se contentait de procéder à une collecte dans le but d'« améliorer l'efficacité du modèle de santé utilisé par l'application ». La nouvelle a, elle, élargi la production de statistiques « à des fins de diagnostics, d'amélioration de performance et de l'expérience utilisateur ».
Or, il se trouve que ni le décret ni la politique de confidentialité ne viennent préciser toutes les données collectées et transmises par le système de statistiques, ajouté dans la version 2.5.0 de l'appli et ensuite activé avec la version 3.1.3 du 1er juin 2021, sans fournir une information claire et précise aux millions d'utilisateurs.
En intégrant dans la même application à la fois le traçage de contact Bluetooth, le traçage de contact par QR-Codes des lieux, le convertisseur de certificats (tous trois devant protéger la vie privée) et surtout le wallet pour le pass sanitaire, censé être, lui, nominatif, les attaques deviennent possibles. « Car ces différentes fonctions partagent une partie de l'état du système, comme les journaux d'événements, les minuteries qui déclenchent les requêtes de statuts, et les tokens d'autorisation », expliquent les chercheurs. Au gouvernement et à TousAntiCovid de faire acte de transparence désormais.
Source : gitlab.inria.fr
