TousAntiCovid : désactiver la collecte des données

TousAntiCovid collecte depuis plusieurs mois des statistiques afin d’évaluer son efficacité. D’après une récente enquête, ce système met en danger la vie privée des utilisateurs. Pour éviter que l’application de contact tracing ne s’empare de vos données, il est possible de désactiver la fonctionnalité. On vous explique comment faire en se rendant tout simplement dans les réglages de l’application mobile.

Dans le courant du mois de juin 2021, TousAntiCovid s’est équipé d’un nouveau système de collecte de statistiques. D’après une enquête approfondie réalisée par un trio de chercheurs, ce système visant à évaluer l’efficacité de l’application met en danger la vie privée des utilisateurs. De plus, ce système a été activé automatiquement sans demander l’avis des utilisateurs.

D’après le rapport de l’enquête, “les statistiques incluent un journal d’événement très détaillé, qui enregistre la plupart des actions faites par l’utilisateur”. En croisant ces données avec d’autres informations recueillies par le biais de TousAntiCovid, il est possible de déterminer qu’un utilisateur de TousAntiCovid est allé boire un verre, ou manger dans un restaurant, avec un autre, et d’identifier un usager. Concrètement, les données personnelles obtenues par l’app permettent de déduire certaines informations et de repérer des liens sociaux entre les usagers.

De quoi parle-t-on ?

TousAntiCovid est à l’origine une application de traçage de contacts, qui s’appelait StopCovid : une fois activée sur deux smartphones, elle permet, via Bluetooth, aux téléphones de communiquer entre eux et « d’enregistrer » un potentiel contact entre deux personnes. La France avait, au printemps 2020, été un des rares pays à avoir recours à un système centralisé de gestion des données (via un protocole appelé ROBERT), ce qui l’avait isolée sur la scène européenne. Cet outil fonctionne peu et n’a jamais eu un effet notable sur la gestion de l’épidémie, mais il est plutôt sécurisé.

L’application s’est ensuite enrichie.

  • D’abord avec la possibilité de générer des attestations de déplacement personnalisées lors des confinements et couvre-feux successifs.
  • Puis avec TousAntiCovid-Carnet, une sorte de pochette virtuelle dans laquelle les utilisateurs et utilisatrices peuvent glisser leurs preuves de vaccination ou de tests PCR négatifs.
  • Également, l’app peut être utilisée pour scanner des QR Codes à l’entrée de lieux recevant du public. Ce processus n’est pas lié au protocole ROBERT, mais à un autre appelé Cléa.

Or, certaines informations émanant de ROBERT et de Cléa pourraient hypothétiquement être croisées, ce qui pourrait permettre certains recoupements, qui contreviennent à la promesse d’origine de l’application : « Les données transmises sont complètement anonymes. Il n’est pas possible de connaître l’identité de l’utilisateur de l’application. Elle ne comporte pas de système d’authentification au moment de l’installation », peut-on par exemple lire sur le site du Service public.

Un recoupement possible de données personnelles de l’utilisateur

Sur les 21 types d’événements applicatifs possibles de TousAntiCovid, deux sont relatifs au déclenchement avant et après l’envoi de la requête de conversion d’un certificat 2D-Doc en DCC. «  Ces deux événements applicatifs permettent donc de déduire une fenêtre temporelle très courte (généralement moins d’une seconde) durant laquelle le convertisseur a été utilisé. Si le serveur central peut croiser ces données avec les données du serveur qui gère le convertisseur de certificat, il peut donc identifier un utilisateur avec son nom, prénom, et date de naissance et lier un identifiant d’application (UUID) à une identité réelle », ont prévenu les chercheurs.

Dans un tweet, Gaetan Leurent a indiqué que les développeurs de l’application avaient réagi pour réduire l’accès à certaines données, mais tous les trous ne sont pas bouchés précise le chercheur. Il est possible aussi pour l’utilisateur de désactiver la collecte de statistiques. Pour cela, il faut aller dans l’application, complètement en bas sélectionner paramètres. Dans l’onglet Statistiques et mesures d’audience, il suffit de désactiver la fonction et de cliquer sur supprimer mes données.

Risques de fuites de données

Trois chercheurs viennent d’analyser le système de collecte de statistiques intégrée depuis juin dernier dans l’application. Selon eux, les dernières fonctionnalités de l’application cassent le cloisonnement entre les différents usages et «  met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage par QR-codes de lieux)  », écrivent-ils dans un rapport publié jeudi 19 août sur le GitLab.

Le journal d’évènements détaillé du système et son horodatage précis permet en effet de croiser de nombreuses informations et d’en tirer des conclusions qui vont à l’encontre des promesses de vie privée faites par le gouvernement. Par exemple, des amis qui mangent souvent ensemble au restaurant vont avoir des événements presque synchrones, qui permettent de déduire facilement qu’ils étaient ensemble à cet endroit, détaille Ouest France.

TousAntiCovid Verif sous surveillance aussi

Outre TousAntiCovid, l’application permettant de vérifier la validité des certificats Covid-19, TousAntiCovid Verif, est également dans le collimateur des défenseurs de la vie privée. « L’utilisateur n’est pas vraiment en mesure de s’opposer à ce traitement et il semble difficile de considérer qu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur », prévient un twittos. « La politique de confidentialité indique que seules des données techniques anonymes sont agrégées et consolidées à des fins statistiques. Or, quand on s’intéresse à ce qui est fait en pratique, ce sont bien plus que des données agrégées et consolidées qui sont envoyées, mais un journal complet et anonymisé des scans.»

Or ce journal indique notamment l’heure exacte de chaque scan, si celui-ci a donné lieu à un retour “valide” ou “invalide”, le type de document scanné (2D-DOC ou DCC/certificat de vaccination, de test ou de rétablissement), si le pass a déjà été scanné récemment ou est blacklisté,… La personne s’interroge sur le fait que le système de statistique ne correspond pas en nature à ce qui est indiqué dans la politique de confidentialité.

Des données personnelles…à l’identité de l’usager

Plus grave encore : le groupe de chercheurs a également montré comment, à partir de l’identifiant utilisateur anonymisé de l’application, il était possible de remonter jusqu’à une fiche identité contenant le nom, la date de naissance et les informations vaccinales d’un Français.

« S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs », explique le rapport. En clair, quelqu’un peut à la fois connaître l’identité d’un utilisateur et déduire aussi ses fréquentations.

Comment désactiver “Statistiques et mesure d’audience” dans TousAntiCovid

Par ailleurs, le système de statistiques de TousAntiCovid synchronise de manière simultanée les données des protocoles de traçage Robert et Cléa. Mais lorsqu’un utilisateur est testé positif, la synchronisation des données du protocole Cléa – le traçage des lieux par QR code – s’arrête. Le traçage du protocole Robert – utilisé pour le traçage par Bluetooth – lui, continue.

Les chercheurs mentionnent qu’avec cette mécanique d’arrêt de la synchronisation des données de Cléa, il est possible de déduire que l’utilisateur a été testé positif. De quoi mettre à jour une donnée de santé confidentielle.

Enfin, si ces données peuvent être déduites, le serveur de statistiques cache l’identification personnelle de l’utilisateur en utilisant un identificateur unique (UUID) différent du couple nom + prénom. Mais le convertisseur de certificat enregistre une entrée spécifique horodatée. En clair, en croisant ses données avec l’horodatage de l’utilisation du convertisseur de l’application, il serait possible de déduire précisément l’identité d’une personne cachée derrière un UUID.

1. Allez dans les paramètres

Ouvrez TousAntiCovid sur votre smartphone, descendez tout en bas de l’application et entrez dans les Paramètres de l’application.

2. Désactivez la fonction Statistiques et mesure d’audience

Une fois dans les Paramètres de TousAntiCovid, faites défiler toutes les options jusqu’à atteindre l’option Statistiques et mesure d’audience.

Désactivez la fonction en touchant l’interrupteur prévu à cet effet, appuyez sur Supprimer mes données pour effacer les données ayant déjà été collectées par l’application et appuyez sur Oui pour confirmer leur Suppression puis sur OK.

L’application ne devrait plus à présent collecter aucune donnée statistique sur l’utilisation que vous en faites, limitant ainsi les risques de fuites de données.