Faille de données dans l’appli de contact tracing du Qatar

Premier avis de la Cnil sur l'application mobile StopCovid

Amnesty International alerte sur les risques de sécurité liés à l’utilisation des applications de contact tracing utilisées pour lutter contre le Covid-19. L’ONG a pu accéder à des données personnelles en raison de failles dans le système imposé par le Qatar à ses citoyens.

Sans confiance quant à la protection de la vie privée et des libertés individuelles, les applications de contact tracing, comme StopCovid en France, se heurteront au rejet. Ces libertés ne sont sans doute pas la priorité du gouvernement qatari.

Comme le rapporte Amnesty International, les citoyens du pays n’ont pas la liberté de choisir d’installer ou non l’application. Son utilisation est en effet obligatoire. Les contrevenants s’exposent à une peine pouvant aller jusqu’à trois ans de prison.

Le contact tracing obligatoire au Qatar

Autre différence notable avec le système de suivi des contacts envisagé en France : l’utilisation combinée des technologies GPS et Bluetooth. Les européens se cantonnent eux au Bluetooth pour limiter la nature intrusive d’une telle application.

Si le Qatar a fait un autre choix technologique, il a en revanche négligé les questions de sécurité associées. L’ONG fait ainsi état d’une grave faille de sécurité dans le dispositif, corrigée depuis. Cette vulnérabilité permettait d’accéder à des données sensibles de plus d’un million de personnes.

« Amnesty a pu accéder à des informations personnelles sensibles – notamment les noms, l’état de santé et les coordonnées GPS du lieu de détention désigné d’un utilisateur – car le serveur central de l’application ne disposait pas de mesures de sécurité pour protéger ces données » détaille l’ONG.

Pour l’association, cet incident est un avertissement pour les gouvernements. Il doit questionner leur « empressement » à déployer des applications de contact tracing. Elle regrette ainsi que ces apps soient « souvent mal conçues et dépourvues de protection de la vie privée. »

Base de données centralisée : un risque

L’ONG critique en outre le recours à une base centralisée pour le stockage des informations. Le Royaume-Uni a notamment fait le choix d’une telle architecture, souligne Amnesty. Elle rappelle que 45 Etats utilisent ou prévoient de déployer une appli de contact tracing.

« La recherche des contacts est un élément important d’une réponse efficace à une pandémie, et les applications de recherche des contacts peuvent soutenir cet objectif. Toutefois, pour être conformes aux obligations en matière de droits de l’homme, ces applications doivent intégrer la protection de la vie privée et des données dès leur conception. Cela qui signifie que toutes les données collectées doivent être minimisées et stockées en toute sécurité » considère l’organisation.

En France, après un vote au Parlement, StopCovid devrait être disponible sur smartphones Android et iPhone dès ce week-end. Dans un avis, la Cnil estime que « l’application peut être légalement déployée. »

L’autorité considère cependant que « l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. » Ainsi, les résultats d’une évaluation régulière devraient conditionner le maintien ou non de StopCovid.

A lire également sur MyData

Protocole Robert de l'application StopCovid
@Inria

StopCovid : une application de traçage numérique privacy by design

En partenariat avec d’autres chercheurs européens, l’Inria a conçu le protocole ROBERT de la future application française de « contact tracing ». Basée sur le bluetooth, elle ne permet pas, y compris à l’Etat, d’identifier les personnes et leurs contacts.

A propos de Christophe Auffray 353 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.