Vie privée : TousAntiCovid, pas si anonyme que ça Abonnés

TousAntiCovid garante de la protection des données des utilisateurs ? C’est encore une pétition de principe sur laquelle l’exécutif semble s’être assis. En effet, en juin dernier, les développeurs de l’application de traçage, qui sert également à l’utilisation du pass sanitaire, ont ajouté un nouveau système de récolte de statistiques censées permettre d’évaluer son utilisation et son efficacité. Or, trois chercheurs spécialisés dans la protection des données numériques viennent de publier une nouvelle étude dans laquelle ils analysent les risques d’atteinte à la vie privée. Et leur constat est sans appel : « la collecte de statistiques contredit le principe de minimisation des données et met en danger les propriétés de sécurité et de protection de la vie privée. »

Plus précisément, l’application fonctionne sur la base de deux protocoles à l’origine distincts : ROBERT, chargé de détecter les interactions entre potentiels cas contacts via bluetooth, et Cléa, pour le traçage des lieux fréquentés après vérification du QR code. Les deux systèmes sont en théorie isolés l’un de l’autre. Mais comme le détaille Gaëtan Laurent, l’un des trois chercheurs sur son compte Twitter, le nouveau serveur de statistiques pourrait changer la donne et poser plusieurs problèmes.

Alice et Bob se connaissent-ils ?

Ce dernier souligne plusieurs exemples qui pourraient compromettre gravement la vie privée des utilisateurs, comme par exemple la capacité à recouper plusieurs données. En effet, chaque fois qu’un QR code est flashé via le protocole Cléa, il est enregistré par le système de statistiques avec un horodatée précis à la milliseconde près. En recoupant ces données, il est donc théoriquement possible de deviner par exemple que deux personnes (Alice et Bob sur l’exemple ci-dessous détaillé par Gaëtan Laurent) ont déjeuné au même moment, au même endroit et à plusieurs reprise, laissant par conséquent supposer qu’elles se connaissent. Ensuite, la synchronisation...