TousAntiCovid : l’application au coeur d’un scandale !
TousAntiCovid est une application mobile créée dans le cadre de la pandémie de Covid-19 en France. Néanmoins, petit problème : l’application collecte désormais les statistiques et les mesures d’audience. Cette fonctionnalité entrave à la vie privée des utilisateurs de la plateforme.
TousAntiCovid et les informations privées
Très récemment, trois chercheurs viennent de publier une analyse de risque sur le système de statistiques de l’application TousAntiCovid. Cette fonctionnalité a pour but d’évaluer l’utilisation et l’efficacité de l’application. Mais, selon les chercheurs : « la collecte de statistiques contredit le principe de minimisation des données et met en danger les propriétés de sécurité et de protection de la vie privée« .
TousAntiCovid peut s’occuper de deux paramètres : le traçage Bluetooth et le traçage des lieux par QR Code. Des informations dîtes cruciales selon l’application : par ailleurs, ces dernières peuvent aller à l’encontre des promesses de vie privée faites par le gouvernement. Pourquoi ? L’horodatage précis et le journal d’évènements détaillés du système permet d’obtenir de nombreuses informations sur la personne.
>>> À lire aussi : TousAntiCovid : l’application victime d’un gros bug !
Les problèmes occasionnés
- La fuite d’une information de santé
Le système de statistique synchronise les informations de manière simultanée. C’est-à-dire : lorsqu’un utilisateur est testé positif au Covid-19, il n’a aucune raison de se rendre dans un lieu public, donc de scanner son QR-Code. En notant cet arrêt de synchronisation des données, on peut rapidement en arriver à la conclusion que ce dernier a été testé positif. Une donnée de santé confidentielle est alors « révélée ».
- Le recoupement des utilisateurs
Il faut savoir que chaque scan de son QR-Code est enregistré par le système de statistique : Un horodatage est donc envoyé sur un serveur. En regroupant les scans de plusieurs personnes à un même endroit, dans la même unité de temps : il est possible de savoir si 2 personnes, qui se sont rendues dans différents lieux au même moments, se connaissent ou non.
Admettons que deux personnes mangent aux même endroits, aux même moments de la semaine, on peut hypothétiser et peut-être même affirmer qu’ils sont venus ensemble. Au début, cela peut être une « coïncidence » mais à force, il faut se rendre à l’évidence.
- Identification d’une personne
Il faut savoir que le serveur de statistiques cache l’identification personnelle des utilisateurs en utilisant un « identificateur unique » (UUID) différent du couple nom + prénom.
Mais notons, que le convertisseur de certificat enregistre une entrée spécifique horodatée : en croisant ces informations, il est possible de déduire précisément l’identité d’une personne cachée derrière un UUID.
Comment éviter ce problème ?
Tous les utilisateurs de TousAntiCovid sont d’emblée confrontés au problème. La collecte de statistiques est activée automatiquement pour tout le monde.
Il est tout de même possible de désactiver cette fonctionnalité manuellement :
- Ouvrez l’application TousAntiCovid
- Descendez tout en bas de la page d’accueil
- Cliquez sur « Paramètres »
- Descendez tout en bas : « Statistiques et mesure d’audience »
- Désactivez cette case
(Par la même occasion, vous pouvez « supprimer mes données »).
>>> À lire aussi : Pass sanitaire : Cette technique est la plus rapide pour présenter votre pass