L'application TousAntiCovid accusée de dévoiler la vie privée des Français
Publié le
et mis à jour le
Rubrique Actu du moment
C'est le certificat qui atteste que vous avez été vacciné, un certificat qui pourra servir de preuve en France dans certains cas et avec l'instauration du pass sanitaire, ce dernier est de plus en plus souvent téléchargé sur l'application TousAntiCovid. Mais, selon une analyse de risque des statistiques TousAntiCovid par 3 chercheurs, l'application n'est pas aussi transparente qu'il n'y parait, elle dévoile des informations faillibles pour la vie privée des utilisateurs.
Pour commencer, il y a le certificat qui atteste que vous bénéficiez d'une protection vaccinale. Dans les faits, si vous avez été vacciné, il vous est possible de télécharger une attestation certifiée sur le site Internet « Ameli.fr », pour ensuite l'imprimer. Et il y a ceux qui ont installé l'application TousAntiCovid, qui peuvent aussi l'intégrer directement dans la rubrique « Mon carnet » en flashant le QR Code. Et pour ceux qui ne disposent pas d’un Smartphone ou d’une connexion Internet, les professionnels de santé qui vaccinent en centres de vaccination ou en ville remettent à chaque personne vaccinée cette attestation de vaccination certifiée au format papier.
En ce qui concerne l'application que beaucoup utilisent sur Android ou iOS pour se faciliter la vie, selon Leurent Gaetan, Johan D. et Nils L., cette dernière n'est pas aussi transparente qu'on voudrait nous le faire croire. Depuis le mois de juin, l'application TousAntiCovid intègre un système permettant de générer des statistiques sur l'utilisation de l'application. Comme nous expliquent les auteurs de l'étude, « les statistiques incluent un journal d'événement très détaillé, qui enregistre la plupart des actions faites par l'utilisateur, avec un horodatage précis ».
De plus, le système de collecte est activé par défaut « à l'insu de votre plein gré », le consentement de l'utilisateur n'est pas demandé et la politique de confidentialité de l'application n'indique pas la nature exacte et réelle du traitement selon les 3 chercheurs, ce qui pose un réel problème de sécurité et de protection de la vie privée, « bonjour le RGPD ! », avec le traçage Bluetooth des contacts et des lieux par QR Code. Pour les chercheurs, il est très simple de croiser les différentes données de différents utilisateurs se trouvant au même endroit au même moment pour en déduire qu'ils se connaissent. Vous n'imaginez pas tout ce qui peut être fait en extrapolant des données, en les analysant, en les croisant, en les compilant, comme on le fait avec celles de vos cartes de fidélité, votre Smartphone, votre carte bancaire, tous les jours...
Les chercheurs pointent du doigt le fait que le croisement des données pourrait amener à deviner qu'une personne est positive si cette dernière ne se rend plus au restaurant ou elle a l'habitude d'aller avec d'autres personnes en y scannant son QR Code. Cela révèle une donnée de santé confidentielle et en recoupant les différentes données, il n'est pas compliqué de retrouver et d'identifier une personne.
Pour commencer si vous êtes du genre connecté, le plus simple est d'ouvrir l'application TousAntiCovid, de descendre tout en bas de cette dernière et de cliquer sur « Paramètres ». Ensuite, vous y trouverez « Statistiques et mesure d'audience » que vous n'aurez plus qu'à désactiver. Profites-en aussi pour cliquer sur le bouton « Supprimer mes données ».
La seconde solution consiste à se rendre dans les endroits demandant le pass sanitaire avec la feuille que vous aurez téléchargé sur le site Internet Ameli.fr ou qui vous aura été remise lors de votre vaccination. Là, vous pouvez être certain que le pistage sera réduit au fait que vous ayez été dans tel ou tel établissement à telle heure. Et pour ceux qui ont un Smartphone avec une coque transparente, il vous suffit d'imprimer et de découper le QR Code pour le mettre au dos de ce dernier. Ensuite, il vous faudra juste sortir votre mobile pour scanner votre QR Code et le tour est joué. Sinon, faites une capture photo de votre QR Code que vous mettrez comme image d'écran d'accueil.
Dans tous les cas, n'oubliez pas que le « pass sanitaire » consiste en la présentation, numérique (via l'application TousAntiCovid, capture du QR Code) ou sur papier, d'une preuve sanitaire que vous disposez d'un schéma vaccinal complet et du délai nécessaire après l’injection finale, soit :
- 7 jours après la 2e injection pour les vaccins à double injection (Pfizer, Moderna, AstraZeneca),
- 28 jours après l'injection pour les vaccins avec une seule injection (Johnson & Johnson),
- 7 jours après l'injection pour les vaccins chez les personnes ayant eu un antécédent de Covid (1 seule injection).
D'une manière ou d'une autre, il sera toujours possible de vous « pister », tout comme votre magasin préféré sait le faire avec sa carte de fidélité pour ensuite vous proposer des offres personnalisées ou votre banque avec votre usage de votre carte bancaire. Dans un monde ou le data est omniprésent, « demandez à Google ! », vous n'imaginez même pas ce qu'il est possible de faire avec des données qui de prime abord semblent anodines. Mais au moins cela vous évitera de trop dévoiler votre vie privée.
Analyse de risque des statistiques TousAntiCovid
En ce qui concerne l'application que beaucoup utilisent sur Android ou iOS pour se faciliter la vie, selon Leurent Gaetan, Johan D. et Nils L., cette dernière n'est pas aussi transparente qu'on voudrait nous le faire croire. Depuis le mois de juin, l'application TousAntiCovid intègre un système permettant de générer des statistiques sur l'utilisation de l'application. Comme nous expliquent les auteurs de l'étude, « les statistiques incluent un journal d'événement très détaillé, qui enregistre la plupart des actions faites par l'utilisateur, avec un horodatage précis ».
Publicité
De plus, le système de collecte est activé par défaut « à l'insu de votre plein gré », le consentement de l'utilisateur n'est pas demandé et la politique de confidentialité de l'application n'indique pas la nature exacte et réelle du traitement selon les 3 chercheurs, ce qui pose un réel problème de sécurité et de protection de la vie privée, « bonjour le RGPD ! », avec le traçage Bluetooth des contacts et des lieux par QR Code. Pour les chercheurs, il est très simple de croiser les différentes données de différents utilisateurs se trouvant au même endroit au même moment pour en déduire qu'ils se connaissent. Vous n'imaginez pas tout ce qui peut être fait en extrapolant des données, en les analysant, en les croisant, en les compilant, comme on le fait avec celles de vos cartes de fidélité, votre Smartphone, votre carte bancaire, tous les jours...
Les chercheurs pointent du doigt le fait que le croisement des données pourrait amener à deviner qu'une personne est positive si cette dernière ne se rend plus au restaurant ou elle a l'habitude d'aller avec d'autres personnes en y scannant son QR Code. Cela révèle une donnée de santé confidentielle et en recoupant les différentes données, il n'est pas compliqué de retrouver et d'identifier une personne.
Comment retrouver son anonymat, enfin presque
Pour commencer si vous êtes du genre connecté, le plus simple est d'ouvrir l'application TousAntiCovid, de descendre tout en bas de cette dernière et de cliquer sur « Paramètres ». Ensuite, vous y trouverez « Statistiques et mesure d'audience » que vous n'aurez plus qu'à désactiver. Profites-en aussi pour cliquer sur le bouton « Supprimer mes données ».
Publicité
La seconde solution consiste à se rendre dans les endroits demandant le pass sanitaire avec la feuille que vous aurez téléchargé sur le site Internet Ameli.fr ou qui vous aura été remise lors de votre vaccination. Là, vous pouvez être certain que le pistage sera réduit au fait que vous ayez été dans tel ou tel établissement à telle heure. Et pour ceux qui ont un Smartphone avec une coque transparente, il vous suffit d'imprimer et de découper le QR Code pour le mettre au dos de ce dernier. Ensuite, il vous faudra juste sortir votre mobile pour scanner votre QR Code et le tour est joué. Sinon, faites une capture photo de votre QR Code que vous mettrez comme image d'écran d'accueil.
Dans tous les cas, n'oubliez pas que le « pass sanitaire » consiste en la présentation, numérique (via l'application TousAntiCovid, capture du QR Code) ou sur papier, d'une preuve sanitaire que vous disposez d'un schéma vaccinal complet et du délai nécessaire après l’injection finale, soit :
- 7 jours après la 2e injection pour les vaccins à double injection (Pfizer, Moderna, AstraZeneca),
- 28 jours après l'injection pour les vaccins avec une seule injection (Johnson & Johnson),
- 7 jours après l'injection pour les vaccins chez les personnes ayant eu un antécédent de Covid (1 seule injection).
D'une manière ou d'une autre, il sera toujours possible de vous « pister », tout comme votre magasin préféré sait le faire avec sa carte de fidélité pour ensuite vous proposer des offres personnalisées ou votre banque avec votre usage de votre carte bancaire. Dans un monde ou le data est omniprésent, « demandez à Google ! », vous n'imaginez même pas ce qu'il est possible de faire avec des données qui de prime abord semblent anodines. Mais au moins cela vous évitera de trop dévoiler votre vie privée.