L'application TousAntiCovid collecte des statistiques sans consentement (et peut révéler des données personnelles)

Alexandre Boero
Chargé de l'actualité de Clubic
25 août 2021 à 14h43
20
© Alexandre Boero pour Clubic
© Alexandre Boero pour Clubic

Trois spécialistes en cybersécurité déplorent la collecte des données opérées, par défaut, par l'application TousAntiCovid. Ils conseillent d'ailleurs de désactiver directement l'option qui permet le prélèvement des statistiques.

Depuis le mois de juin, il y a eu du changement dans « les coulisses », dira-t-on, de TousAntiCovid. L'application intègre en effet un petit module télémétrique qui permet de générer des statistiques, de par votre utilisation de TousAntiCovid. Problème : elles n'ont toujours pas été publiées. Et pire, ces statistiques ponctionnées incluant de nombreuses informations affiliées au journal d'événements utilisateur, il devient possible, pour le serveur central, de regrouper diverses sources de données. Cette mise en correspondance, liée à des problèmes de conception de l'application, peut aboutir à l'identification des utilisateurs et à dévoiler des informations de santé censées rester cloisonnées.

Lire aussi :
TousAntiCovid se met à jour sur iOS et Android pour faciliter le scan du Pass Sanitaire

Désactiver la collecte des statistiques, sans garantie qu'elles le seront bien

Dans la partie « Paramètres » de l'application, il existe un onglet « Statistiques et mesure d'audience ». Sur celui-ci, que l'on peut librement activer ou désactiver à l'aide du bouton correspondant, il est écrit : « En conformité avec le RGPD, nous vous informons de notre capacité à collecter des données sur l'usage que vous faites de TousAntiCovid, à des fins de diagnostics, d'amélioration de performance et de l'expérience utilisateur. Sachez enfin que ces données sont conservées sur le serveur. »

S'il est donc possible de désactiver cette option, et qu'un bouton « Supprimer mes données » existe juste en dessous, le premier problème réside dans le fait que l'activation de la collecte de données est activée par défaut. Ensuite, la suppression en elle-même des données n'est pas complètement garantie, comme l'indiquent les trois chercheurs Johan …, Nils L. et Gaëtan Leurent. « L'analyse du code publié ne nous permet pas de vérifier que la suppression est pleinement effective », nous disent-ils.

Mieux vaut désactiver l'option "Statistiques et mesure d'audience", selon les experts cyber (© Clubic)
Mieux vaut désactiver l'option "Statistiques et mesure d'audience", selon les experts cyber (© Clubic)

Et le principe est le même sur la prétendue suppression automatique des données au bout de 3 mois : « Là aussi aucune visibilité n'est donnée sur la façon dont cette suppression automatique est réalisée, ni aucune garantie sur sa réalisation. » Et un événement applicatif est envoyé au moment où l'on clique sur le fameux bouton « Supprimer mes données », ce qui, pour les spécialistes cyber, « n'a pas de sens ».

Lire aussi :
Comment ajouter son Pass sanitaire sur son iPhone ou son smartphone Android ?

Une collecte de statistiques qui « met en danger les propriétés de sécurité et de protection de la vie privée »

Pour les trois chercheurs, « malheureusement, la collecte de statistiques contredit le principe de minimisation ». Ils vont même jusqu'à nous dire que cela « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles ROBERT et Cléa », ROBERT permettant le traçage Bluetooth et Cléa, le QR-Code des lieux, le fameux cahier de rappel utilisé dans les lieux publics.

Pourtant, le principe de ces protocoles est de protéger la vie privée des utilisateurs. Le P.-D.G. de l'Inria, Bruno Sportisse, rappelle à leur sujet que « sa conception permet que personne, pas même l'État, n'ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes ». Un discours relayé dans la spécification de ROBERT, puis dans celle de Cléa, qui promet qu'aucune donnée n'est envoyée à un serveur tant que l'utilisateur ne s'est pas déclaré positif à la COVID-19 via l'application TousAntiCovid.

Selon les spécialistes en cybersécurité, la collecte de statistiques viole purement et simplement ces garanties de sécurité. « TousAntiCovid offre maintenant une sécurité très faible contre un serveur qui essaye d'identifier les utilisateurs », affirment-ils.

Lire aussi :
Comment obtenir son pass sanitaire européen sans Internet ni smartphone ?

Des statistiques touchant à l'utilisation et à la santé peuvent être transmises…

De nombreuses statistiques liées à l'identifiant de l'application sont envoyées, tout comme celles sans identifiant pérenne mais qui contiennent des données plus sensibles, comme des données de santé. Toutes les 12 heures, des données issues d'un journal d'événements sont envoyées.

En ce qui concerne les statistiques générales, cela peut aller du modèle de téléphone au système d'exploitation, en passant par le nombre de lieux où un QR-Code a été scanné, le nombre de certificats ajoutés dans le wallet, etc.

Pour le journal d'événements, donc, cela va encore plus loin. Après avoir analysé le code source et le comportement des versions Android et iOS de TousAntiCovid, les chercheurs ont déniché 21 types d'événements applicatifs possibles, tous transmis avec un horodatage précis à la milliseconde (« 2021-08-12T23:42:48.988Z », par exemple). On retrouve notamment des événements transmis lors de l'ouverture de l'application après un clic sur une notification ; au moment de l'affichage des attestations, du cahier de rappel ; lors de l'ajout d'un lieu visité, d'un certificat ; ou au moment du clic sur le bouton « Supprimer mes données » (dont nous parlions tout à l'heure) et sur le bouton « Scanner un QR-Code ».

D'autres statistiques, non liées à un identifiant à long terme, sont aussi envoyées par la fonction « sendHealthAnalytics ». Elles vont de la date du test positif à celle des premiers symptômes, entre autres.

Lire aussi :
Incident de "Pro Santé Connect" et des tests antigéniques : le gouvernement donne des explications

… sans que l'utilisateur n'ait livré son consentement

Pour résumer donc, le serveur central de l'application est capable de mettre en correspondance différentes sources de données qui devraient, en théorie, être indépendantes, d'identifier certains utilisateurs et de récupérer des informations sur la vie privée des Français, comme celles touchant à un test positif, au statut vaccinal ou aux relations sociales. L'architecture de collecte de statistiques visée par la CNIL et son avis de décembre 2020 est d'ailleurs différente de celle déployée en avril 2021.

Les chercheurs regrettent aussi le défaut de consentement de l'utilisateur, qui n'est tout simplement pas demandé. « Il semblerait donc que la collecte des statistiques ait été activée sans informer les utilisateurs existants de la nouvelle finalité », indiquent-ils. Alors, évidemment, on sait depuis que la CNIL autorise que certaines opérations soient exemptées de consentement. Mais les spécialistes affirment que cette exception du recueil de consentement n'est possible que sous certaines conditions, pourtant pas toutes respectées par l'application du gouvernement.

Lire aussi :
COVID-19 : les États-Unis ne parviennent (toujours) pas à produire des données officielles sur le virus

Des fonctionnalités qui entrent en conflit

Un dernier détail majeur chagrine les experts qui ont disséqué TousAntiCovid : la politique de confidentialité. Elle a été modifiée entre le 20 avril 2021 et le 29 avril 2021 pour pouvoir justement prendre en compte la collecte des nouvelles statistiques. La version précédente se contentait de procéder à une collecte dans le but d'« améliorer l'efficacité du modèle de santé utilisé par l'application ». La nouvelle a, elle, élargi la production de statistiques « à des fins de diagnostics, d'amélioration de performance et de l'expérience utilisateur ».

Or, il se trouve que ni le décret ni la politique de confidentialité ne viennent préciser toutes les données collectées et transmises par le système de statistiques, ajouté dans la version 2.5.0 de l'appli et ensuite activé avec la version 3.1.3 du 1er juin 2021, sans fournir une information claire et précise aux millions d'utilisateurs.

En intégrant dans la même application à la fois le traçage de contact Bluetooth, le traçage de contact par QR-Codes des lieux, le convertisseur de certificats (tous trois devant protéger la vie privée) et surtout le wallet pour le pass sanitaire, censé être, lui, nominatif, les attaques deviennent possibles. « Car ces différentes fonctions partagent une partie de l'état du système, comme les journaux d'événements, les minuteries qui déclenchent les requêtes de statuts, et les tokens d'autorisation », expliquent les chercheurs. Au gouvernement et à TousAntiCovid de faire acte de transparence désormais.

Source : gitlab.inria.fr

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (20)

MisterDorian
Par avance, veuillez rester sur le sujet de l’article. Tout commentaire sur le pour ou contre le pass sanitaire sera supprimé.
Ezeta
Mon dieu ! Le gouvernement pourra savoir si je suis vacciné ou non ! Ma vie est fichue !!!<br /> … décidément je n’arrive pas à comprendre cet extrémisme des français vis à vis de la protection des données, surtout vis à vis du gouvernement. On est pas dans une dictature (au sens propre du terme hein), on a plus a gagner qu’à perdre à partager certaines infos.
yam103
Encore un bon cas d’école pour démontrer à mes enfants, qu’il faut toujours se débrouiller pour désactiver les statistiques, cookies, traçages, et télémétries, quel que soit le système; car un jour, cela peut se retourner contre vous. C’est peut-être moins frappant que l’historique Google qu’ils n’avaient pas désactivé, mais tout de même…
Iceslash
Tu n’as pas besoin d’être anti pour te rendre compte que cela pose un sérieux problème.<br /> Mais tu peux aussi fermer les yeux et continuer ton chemin, de toute façon ça ne changera pas ta vie ni celles des autres, vacciné ou pas.
ti4444
Je trouve que ça ne fait pas pro et que ça donne l’impression que ça a été codé par des amateurs… ca va donner des billes aux «&nbsp;séparatistes&nbsp;»…
Nmut
Si, on est dans une dictature, mais de l’extrême, des réseaux sociaux et des émotions manipulées (et pas comme beaucoup le pense). Je n’ai que des notions d’ergonomie et pourtant je détecte déjà un paquet de manipulations basiques des émotions (plaisir immédiat et peur) dans tous les messages «&nbsp;anti-quelque chose&nbsp;». Je me demande qui gagne à mettre tous les gens dans ces états fébriles et à les monter les uns contre les autres, alors que justement il faudrait juste un peu de solidarité pour que tout se passe bien mieux…
Nmut
Aucune application n’est totalement safe et ne présente de problème. Il faut par contre surveiller que TAC soit mis à jour correctement pour éviter ce risque potentiel.
dFxed
Mouai, pas convaincu de la réelle possibilité de traçage.<br /> Dans tous les cas, jeter de l’huile sur le feu d’un sujet aussi brûlant, avec au final très peu d’éléments (aucune démonstration de comment recouper les données), ressemble fort à un coup de pub, au détriment de l’application et de son utilité.<br /> Par contre, ils ont raison de pointer le manque de définition des données de diagnostic, car c’est la porte ouverte qui fait pas RGPD…
cyrano66
Ezeta:<br /> décidément je n’arrive pas à comprendre cet extrémisme des français vis à vis de la protection des données<br /> La Protection des données personnelles au travers de la RGPD n’est pas<br /> Franco Française mais européenne<br /> cnil.fr<br /> En Europe et dans le monde | CNIL<br /> Moi ce que décidément je n’arrive pas a comprendre ce sont les gens qui pensent que se faire siphonner les données concernant sa vie privée par des organismes privées ou publics n’a pas d’importance et ne porte pas à conséquence.<br /> Ezeta:<br /> on a plus a gagner qu’à perdre à partager certaines infos.<br /> Pour Certaines infos tout à fait d’accord.<br /> Quand c’est un choix éclairé et consentit.<br /> Pas d’accord si c’est non consentit, sans contrôle avec des risques de détournement.
bmustang
l’appi qui ne pioche aucune information et c’est garantie par notre gouvernement !? Que du vent !
Nmut
Tu peux checker toi même l’appli si tu veux, elle est en grand partie open source, les protocoles sont disponibles et expliqués. La garantie ne vient pas du gouvernement, si c’est ça qui te hérisse, mais par des revues de pairs.<br /> Le problème ici n’est que sur un risque de croisement de données pour obtenir indirectement des données personnelles (et pas spécialement par le gouvernement). Il faut lire, réfléchir, s’informer (vraiment et par soi-même, pas par des sources plus ou moins inconnues et manipulatrices!) et ne pas psychoter comme ça pour tout et rien!
carinae
Peut être mais quel que soit l’OS ou l’application il y a toujours une faille quelque part. La sécurité a 100% n’existe pas Il faut garder a l’esprit que les gars la c’est leur métier. Ils sont là pour ça et ont les moyens de faire ce pour quoi ils sont payés.<br /> Un développeur va penser application d’abord, eux… sécurité. 2 points de vue pas toujours compatibles. Si on écoutait les gars sécu on ne ferait pas grand chose…
benben99
C’est une excellente APP et cela va permettre d’isoler ceux qui refusent de se faire vacciner un peu plus pour les pousser à le faire. C’est une bonne chose.<br /> Maintenant, on dirait que cette APP a été conçue par des amateurs
Urleur
franchement le gouvernement à d’autre problème plus important en ce moment que de pister ceux qui psycotte, suffit d’aller dans les paramètres pour désactiver ce pistage.
Mr_Electro84
Dire qu’il y a une faille dans TousAntiCovid c’est du sensationnalisme : https://www.udrop.com/5SW6/Tech_&amp;Co-_Lundi_23_août_1629884966579.webm<br /> Et d’ailleurs l’un des développeurs à répondu :<br /> GitLab<br /> Analyse de risque des statistiques TousAntiCovid (#79) · Issues ·...<br /> Analyse de risque des statistiques TousAntiCovid Auteurs: Johan D., https://twitter.com/JohanD_0<br />
AlexLex14
Hello,<br /> J’ai rédigé l’article, et pour être transparent, je n’ai en revanche pas choisi le titre de l’article.<br /> Effectivement, le terme «&nbsp;faille&nbsp;» (que d’ailleurs je n’emploie pas une seule fois dans l’article) est peut-être en trop. On va modifier <br /> Je préciserai tout de même que le titre évoque une «&nbsp;faille dans la collecte des statistiques.&nbsp;» On ne parle pas d’une «&nbsp;faille de sécurité.&nbsp;» Le terme est peut-être maladroit, mais il faut davantage le voir sous son aspect symbolique Il ne faut pas non plus TOUT faire reposer sur le titre. L’article est fait pour aider à comprendre, même si je reconnais que le terme peut semer la confusion.<br /> Fin’ voilà, pour répondre aux pro et contre le terme «&nbsp;faille&nbsp;» ^^
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Comment ajouter son Pass vaccinal sur son iPhone ou son smartphone Android ? Comment ajouter son Pass vaccinal sur son iPhone ou son smartphone Android ?
COVID-19 : voici 2 astuces pour obtenir un rendez-vous pour vous faire vacciner sans attente COVID-19 : voici 2 astuces pour obtenir un rendez-vous pour vous faire vacciner sans attente
Oui, Google récupère vos données sans votre consentement sur votre smartphone Android Oui, Google récupère vos données sans votre consentement sur votre smartphone Android
Pass sanitaire : 7 mois après votre 2e dose, il sera désactivé si vous ne recevez pas une 3e dose Pass sanitaire : 7 mois après votre 2e dose, il sera désactivé si vous ne recevez pas une 3e dose
Pass sanitaire : près d'1 Français sur 4 n'a pas de smartphone, le reconditionné veut être la solution Pass sanitaire : près d'1 Français sur 4 n'a pas de smartphone, le reconditionné veut être la solution