Développement accéléré, gestion du projet critiquée, controverses sur des choix techniques… De nombreux éléments ont engendré une véritable inquiétude autour de la sécurité de StopCovid. Mais l’équipe du projet, menée par des chercheurs de l’Inria, est parvenue à offrir de nombreuses garanties, contrôlées par plusieurs experts français. Résultat : l’application qui sort à midi ce mardi 2 juin aura un niveau de sécurité plus que satisfaisant.

L’imprécision du Bluetooth est un des principaux problèmes de l’app. // Source : Louise Audry pour Numerama

Reste que le risque zéro n’existe pas en cybersécurité, et qu’il existe donc des scénarios d’attaque contre l’app. Mais ils requièrent soit une force de frappe et des compétences techniques de très haut niveau, soit des manœuvres d’espionnage avancées. Sauf que même dans le cas où un scénario catastrophe se réaliserait, les dégâts seraient limités pour les utilisateurs, puisque StopCovid ne récolte que le strict minimum de données nécessaire à son fonctionnement.

Si la sécurité de StopCovid est satisfaisante, elle ne balaie pas les doutes sur son efficacité et son usage, alimentés par des questions à la fois techniques et éthiques.

Peu de données exposées sur StopCovid

Pour évaluer le risque, il faut savoir quelles données sont exposées dans l’application :

Et c’est tout. StopCovid ne récolte pas de données personnelles ni de données de géolocalisation. Résultat : même si des hackers parvenaient à compromettre l’application, ils n’auraient pas directement accès à l’identité des utilisateurs. Il leur faudrait encore faire des efforts supplémentaires, recouper avec toutes sortes de données pour lier une identité (et un éventuel statut positif à la Covid-19) à une personne.

En plus d’être compliquée à lancer, la cyberattaque ne mènerait donc qu’à peu d’informations. Il existe des milliers d’applications bien moins sécurisés, qui exposent bien plus de données, si les hackers ne veulent pas se compliquer la tâche.

La sécurité de StopCovid a été amplement testée

Malgré son développement rapide, StopCovid est passé par toutes les étapes d’un processus de sécurisation.

StopCovid a une sécurité imparfaite, mais suffisante

Les critiques les plus pointus pourront tout de même questionner le choix français d’une approche centralisée pour StopCovid : il suffit aux hackers de compromettre un seul serveur central, contrôlé par l’État, pour compromettre l’application. Cette particularité nécessite aussi d’accorder une certaine confiance à l’administration et aux fonctionnaires garants des serveurs.

Quoiqu’il en soit, le gouvernement a avancé suffisamment de garanties pour que la sécurité ne soit pas un élément discriminant du choix de l’installation de StopCovid. C’est le point défendu par SaxX. L’application protège correctement l’utilisateur, mais il ne l’installera pas pour d’autres raisons.