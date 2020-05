"StopCovid n’est pas l’arme magique contre l’épidémie." En présentant l’application de traçage voulue par le gouvernement, jeudi 28 mai 2020, Edouard Philippe n’a pas fait preuve d’un enthousiasme béat pour cette technologie. Le 28 avril, devant l’Assemblée nationale, il avouait qu’il était "bien en peine de [vous] dire si elle fonctionne, et comment elle fonctionnera précisément." "C’est un instrument, complémentaire d’autres instruments", a ensuite expliqué le Premier ministre, au lendemain d’un débat houleux à l’Assemblée.

Depuis plusieurs semaines, le débat autour des risques d’atteinte à la vie privée et aux libertés individuelles que représenterait cette technologie n’a pas vu émerger de consensus entre pro et anti contact tracing. Mais au-delà de ces questions d’ordre éthique, de nombreux experts doutent de l’utilité pratique d’un tel outil. Chercheur en cybersécurité, Baptiste Robert fait partie de ceux qui testent l’application depuis le 27 mai. Il remarque que "le gouvernement ne parle jamais des retours d’expérience dans les pays qui ont déjà mis en place ce genre d’application. Pourtant, ils ont admis que ce n’était pas terrible."

En Australie, une seule personne détectée en un mois

C’est le cas notamment à Singapour, qui a lancé son application, TraceTogether, le 20 mars. Un mois plus tard, dans une tribune, Jason Bay, le directeur de l’agence gouvernementale des services numériques tirait le constat suivant : "Si vous me demandez si n’importe quelle application de traçage, existante ou en développement, n’importe où dans le monde va remplacer le traçage manuel, je dirais sans hésitation que la réponse est non." Selon lui, en raison de sa complexité, "le traçage devrait rester un processus effectué par des humains". À Singapour, seuls 15 % des 5,6 millions d’habitants ont téléchargé l’application. Un taux relativement faible qui peut aussi expliquer ces résultats décevants.

En Islande, l’application locale Rakning C-19, lancée début avril, est basée sur la géolocalisation des utilisateurs, les autorités locales ayant jugé le Bluetooth insuffisamment fiable. En dépit de ce choix technique plus radical, et d’un taux de téléchargement parmi les plus forts au monde (40 % de la population), un des responsables de la police chargé du traçage s’est dit lui aussi circonspect dans une interview accordé au MIT Technology Review : "La technologie est plus ou moins... Je ne dirais pas qu'elle est inutile", a expliqué Gestur Pálmason. […] Je dirais que [Rakning] s'est avéré utile dans quelques cas, mais cela n'a pas changé la donne pour nous."

En Australie, les autorités locales sont également revenues d’une technologie que le Premier ministre avait présenté comme un "élément clé du retour vers la normale". Malgré un niveau de téléchargement honorable (cinq millions sur une population de 25 millions), en un mois, Covidsafe n’a permis d’identifier… qu’une seule personne. Le gouvernement australien évoque notamment des problèmes de compatibilité avec les iPhones pour expliquer cet échec.

• Crédits : Catherine LAI - AFP

La France isolée

L’Australie, comme la France, a fait le choix de développer sa propre application sans utiliser la technologie mise à disposition par Apple et Google. Dans une collaboration inédite, les deux géants de la "tech" américains ont développé une API (interface de programmation d’application) utilisable par tous les gouvernements qui en feraient le choix. A ce jour, 22 pays, parmi lesquels l’Allemagne (qui a un temps collaboré avec la France avant de changer de direction), l’Italie, la Suisse, les Pays-Bas ont adopté cette "plateforme" sur laquelle chacun a ensuite développé sa propre application.

La France l’a refusé, notamment pour des raisons de "souveraineté numérique". D’après le secrétariat d’État au Numérique, la technologie des deux géants américains présenterait des "risques de faille", et "la définition de l’algorithme de contact tracing et la capacité de l’autorité de santé à disposer de toutes les données statistiques ne peuvent être laissées entre les mains d’une autre entité". Tous les experts que nous avons interrogés sont pourtant formels : le recours à l’API Apple-Google ne signifie pas que les données sont hébergées à l’étranger. "Aucune donnée médicale n’est envoyée vers les serveurs de Google ou Apple", explique à la cellule investigation de Radio France Guillaume Rozier, le créateur de la plateforme CovidTracker. "Chaque État garde ses propres serveurs, précise-t-il. C’est d’autant plus vrai que c’est une architecture décentralisée ou les données sont stockées sur chaque téléphone alors que le système français, centralisé, fait lui appel à un serveur central qui stocke toutes les données."

D’après le gouvernement français, le système "décentralisé" imposé par l’API d’Apple et Google serait également moins sûr. Un argument là encore contesté par de nombreux experts. "Chaque solution a ses avantages et ses inconvénients en termes de sécurité", explique Gaëtan Leurent, chercheur à l’INRIA (l’institut qui a servi de tête de pont pour le développement de StopCovid). Avec une quinzaine d’autres chercheurs, il est signataire d’un document montrant comment l’anonymat garanti théoriquement par les applications de traçage peut être contourné.

"Avec les systèmes décentralisés, on peut réussir à détecter qui est malade chez ses voisins d’immeuble par exemple, tandis que les systèmes centralisés permettront éventuellement de lancer de fausses alertes visant une personne". Gaëtan Leurent, INRIA

Dans une lettre ouverte, plusieurs centaines de chercheurs européens, parmi lesquels des Français, ont exprimé leur préférence pour les systèmes décentralisés, de même que le Parlement européen dans une résolution votée le 17 avril.

Souveraineté numérique, vraiment ?

L’argument de la "souveraineté numérique" avancé par le gouvernement laisse également perplexes certains experts. Paul Christophle, ancien conseiller au numérique de Fleur Pellerin et opposant aux applications de traçage note que "le gouvernement entretient une certaine incohérence. D’un côté, il refuse les solutions d’Apple et Google, de l’autre il autorise le transfert des fichiers SIDEP et Contact Covid [qui regroupent les données des tests positifs et des enquêtes de l’assurance maladie] vers le Health data Hub, la plateforme qu’il a créé et qui est hébergée chez Microsoft !" Cédric O a d’ailleurs reconnu devant le Sénat que sur ce dossier, le gouvernement avait effectivement choisi une solution américaine pour des raisons d’efficacité sanitaire :

Pour Tariq Krim, "par définition, quand on développe sur iOS ou Android, on n’est pas souverain". Le créateur de Netvibes, ancien vice-président du Conseil national du numérique estime qu’Apple "est dans son rôle en refusant qu’un logiciel, quel que soit son créateur, prenne le contrôle du téléphone sans que l’utilisateur en soit pleinement conscient". Pour un autre expert du secteur, "le gouvernement a fait semblant de croire qu’Apple allait les autoriser à déroger à leurs règles alors qu’ils l’ont toujours refusé, même au gouvernement américain ! Ils ont probablement voulu envoyer un signal en écartant une collaboration avec Apple et Google et en leur préférant des entreprises nationales, mais au fond, cela ne changera pas grand-chose…"

Pas d’interopérabilité avec les applications étrangères

Ce choix franco-français aura néanmoins une conséquence : StopCovid ne sera probablement jamais compatible avec la plupart des applications étrangères. Interrogé par les députés en commission des lois le 26 mai, Cedric O a reconnu qu’à "ce jour, il y a de forts doutes sur la capacité à rendre interopérables les solutions françaises et britanniques d’un côté, avec les solutions allemandes italiennes et suisses de l’autre". Le secrétaire d’État a été notamment interpellé sur ce sujet par le député (Modem) de la Vendée Philippe Latombe pour qui "la question est : est-ce que les systèmes permettront de se prémunir de la création de clusters liés aux mouvements de population [en Europe] cet été pour les vacances ?" La réponse est apparemment non pour l’instant. Conscient de cette limite, le gouvernement britannique a lancé un marché prévoyant le développement d’une application compatible avec les systèmes Apple et Google, au cas où il faudrait remplacer l’actuelle, comparable à StopCovid dans son fonctionnement.

StopCovid fonctionnera mal avec les iPhones

Le choix de la France aura probablement un autre inconvénient gênant : les iPhone d’Apple ne fonctionneront que très imparfaitement avec StopCovid. La firme américaine a refusé de collaborer avec le gouvernement pour lever les restrictions d’usage du Bluetooth sur ses appareils. "Si un iPhone est en veille, ou que l’application tourne en tâche de fond, explique Baptiste Robert, le système d’exploitation des iPhone n’autorise pas l’accès au Bluetooth pour des questions de protection de la vie privée. C’est également vrai avec les dernières générations d’Android."

Le secrétariat d’État au Numérique affirme avoir trouvé la parade pour contourner ce problème : une fonctionnalité des mobiles équipés d’Android aurait la possibilité de "réveiller" le Bluetooth des iPhones lorsqu’ils passent à proximité. Cette possibilité a effectivement été observée lors des premiers tests effectués depuis mercredi. Malgré tout, cette parade semble ne pas fonctionner à tous les coups : "J’ai eu des difficultés à faire communiquer des applications entre elles, y compris entre appareils Android, sans que je sache si ça venait de l’application elle-même ou du système d’exploitation", explique Adrien Jeanneau, l’un de ces "hackers éthiques" qui cherchent les failles et les bugs pour les réparer avant la sortie officielle de StopCovid. Pour de nombreux experts, une chose paraît à peu près certaine : deux iPhones équipés de StopCovid qui se trouveront à proximité ne communiqueront pas dans la majorité des cas. Un "trou dans la raquette" reconnu implicitement par Cédric O lorsqu’il affirme que "l’application repère 75 à 80 % des appareils à proximité". Hasard ou non, ce taux de non-détection correspond sensiblement à la part de marché d’Apple en France, aux alentours de 21 %. Sollicité, le secrétariat d’État au Numérique n’a pas répondu à nos questions sur ce sujet, pas plus qu’Apple et Google.

• Crédits : Ludovic Marin - AFP

Combien de contacts détectés ?

Ces soucis techniques sont loin d’être anecdotiques quant à l’efficacité globale de l’application. "Les problèmes avec les iPhones risquent d’éliminer de nombreux contacts et de donner une fausse impression de sécurité à certains utilisateurs", estime un chercheur. Cela générerait ce que les spécialistes appellent des "faux négatifs". A contrario, l’imprécision de la technologie Bluetooth pourrait créer des "faux positifs", des personnes qui recevraient des messages d’alerte alors qu’elles n’ont pas été en contact rapproché avec un malade potentiel. "Il faut bien comprendre que le Bluetooth n’a pas été développé pour cela, et que c’est une technologie relativement imprécise, explique Baptiste Robert. En plus, nous ne sommes pas tous égaux, poursuit le chercheur en cybersécurité. Selon l’âge de votre téléphone, le type de puce Bluetooth ou la version, les performances peuvent être vraiment différentes." À Singapour, le directeur de l’agence gouvernementale du numérique estime que ces limites dans l’efficacité de ces applications ne sont pas anodines : "Il y a des vies en jeu, a-t-il écrit. Les faux positifs et les faux négatifs ont des conséquences dans la vie réelle."

Combien de téléchargements ?

Reste enfin à savoir combien de Français téléchargeront et utiliseront effectivement StopCovid. Dans les pays qui ont déjà lancé leur application sur la base du volontariat, les taux s’échelonnent entre 10 et 50 % de la population. Une étude menée par l’Université d’Oxford estimait en mars qu’il faudrait un minimum de 60 % d’une population pour que ce type d’application soit une aide réelle pour enrayer l’épidémie.

Dans une tribune publiée sur le site Medium, Cédric O affirme que "dans un bassin de population comme une ville, l’application commence à être efficace à partir de quelques pourcentages". Une affirmation qui ne convainc pas certains spécialistes. "Si vous êtes à 10 % de la population qui a l’application, rappelle Gaëtan Leurent de l’INRIA, à l’arrivée vous ne pouvez détecter dans le meilleur des cas que 1 % des contacts puisqu’il faut que les deux personnes aient l’application."

D’autres chercheurs rappellent également que le mode de diffusion de la maladie s’est révélé imprévisible et que certaines personnes ont été contaminées à nettement plus d’un mètre, quand d’autres ne l’étaient pas suite à un contact rapproché. "On lance un outil dont l’efficacité est très douteuse en nous disant que si ça ne permet de ne sauver qu’une personne, ce sera déjà bien, se désole Paul Christophle. Mais à quel prix ?", s’interroge-t-il.

"Je sais que c’est un discours difficile à tenir politiquement en période de crise, mais quel est le prix de la création d’un fichier qui rassemble de nombreuses informations personnelles et sensibles et qui, par définition, n’est pas inviolable ?" Paul Christophle, ancien conseiller au numérique

Le coût financier du dispositif StopCovid est quant à lui inconnu à ce jour. Devant le Sénat, Cédric O a expliqué que les entreprises associées au projet avaient travaillé gratuitement jusqu’ici et que la gestion de l’application devrait coûter "quelques centaines de milliers d’euros par mois". Un entrepreneur du web, qui observe le projet depuis plusieurs mois soupire : "On ne sait pas si cette application va vraiment servir, mais je vois déjà pas mal de monde qui commence à grenouiller autour, parce qu’ils ont compris qu’il y avait des budgets qui allaient être débloqués."