«Stop-Covid»: Non au pistage par smartphone!

J'ai créé cette page le 20 avril 2020 pour expliquer pourquoi le pistage par smartphone, envisagé par le gouvernement français et par d'autres gouvernements pour maîtriser l'épidémie du Covid-19 (coronavirus), est une très mauvaise idée, car il est à la fois inefficace et liberticide.

Sur cette page, j'utilise le mot «pistage», plutôt que le mot «tracking» utilisé par le gouvernement ou sa traduction en «traçage» qui relève de l'euphémisme, car la traduction précise de «tracking» est bien «pistage» (de «track» = «piste»). Il faut s'inquiéter lorsqu'un gouvernement ou tout autre pouvoir préfère utiliser un mot bizarre, plutôt que d'utiliser le mot qui décrit le mieux ce dont on parle.

De quoi s'agit-il?

L'exemple de Singapour: une efficacité citée en exemple, alors qu'elle est inexistante

Le modèle le plus souvent invoqué est l'application «TraceTogether» («Traçons ensemble»), créée par le gouvernement de Singapour et proposée à la population de cette ville-État sur la base du volontariat.

Ce modèle n'est pas rassurant, car Singapour est dirigée par un régime plutôt autoritaire (une «dictature éclairée», pour autant que cela existe). La moindre infraction y est punie de peines extravagantes (600€ pour un crachat par terre, la peine de mort pour la détention de 500g de cannabis). Certaines années, Singapour est le pays pratiquant le plus d'exécutions à mort par rapport à la population (d'autres années, il n'y a aucune exécution). Et la liberté de la presse est à peu près inexistante: Reporters Sans Frontières classe Singapour au 151e rang en matière de liberté de la presse. Les rues y sont aussi propres qu'en Suisse, mais les libertés individuelles n'ont rien à voir avec ce qui existe en Suisse.

Au bout de quelques mois, le gouvernement a rendu public la code source de l'application smartphone (code ouvert) et a autorisé sa réutilisation (code libre). Comme l'épidémie a été efficacement maîtrisée à Singapour (au moins la première vague), on nous a dit que c'était grâce au pistage par smartphone. Ceci est faux, comme le montre la capture d'écran du site du gouvernement de Singapour:

TraceTogether: 1,1 million d'utilisateurs
Capture d'écran du site du gouvernement de Singapour, le 19 avril 2020: 1,1 million d'utilisateurs

Le gouvernement revendique donc 1,1 million d'utilisateurs, soit 19% de la population du pays. Et il s'agit probablement du nombre de téléchargements, puisque Google Play indique «500.000+ téléchargements». Le nombre de réels utilisateurs est plus faible que cela, car beaucoup d'utilisateurs téléchargent une application puis la désinstallent. Les avis laissés par les utilisateurs sur les magasins d'applications illustrent les inconvénients qu'ils ont rencontrés avec cette application:

Sur Apple: utilisateurs assez mécontents (3,1 étoiles sur 5) car on ne peut pas utiliser le téléphone lorsque l'application est en service, faute de quoi elle ne fonctionne pas bien, comme le montre cet avis (représentatif) et la réponse du gouvernement:
« Sur iPhone, l'appli doit-elle être ouverte ou bien tourner en arrière-plan?
Il y a beaucoup de confusion à ce sujet chez les utilisateurs d'iPhone. La plupart soutiennent que tant que l'appli est ouverte EN ARRIÈRE-PLAN pendant qu'ils surfent sur le web, regardent des vidéos ou font des jeux, elle restera efficace. Nous sommes quelques-uns à comprendre dans les instructions qu'il faut laisser l'appli ouverte et que nous ne pouvons donc PAS utiliser le téléphone pour appeler, etc., pour qu'elle fonctionne.
Merci d'éclaircir ceci car 9 personnes sur 10 comprennent la première explication. Autrement ceci ne sera pas du tout efficace. Apple a une énorme part de marché ici et il y a ici beaucoup d'utilisateurs d'iPhone qui laissent l'application en arrière-plan uniquement.

Réponse du développeur,
Bonjour (...),
Merci pour votre retour. Malheureusement, sur iOS, l'appli TraceTogether doit être en premier plan pour fonctionner le mieux possible, c'est pourquoi nous le recommandons pour de meilleurs résultats.
Pour en savoir plus, merci de lire le manuel de développement d'Apple (...)
Quand vous êtes dans des lieux très fréquentés et que vous n'utilisez pas activement votre téléphone, nous vous recommandons de mettre TraceTogether en premier plan en mode Économie d'Énergie pour faciliter le suivi des contacts. Si vous devez utiliser vos autres applications, pensez juste à revenir ensuite à TraceTogether quand vous avez terminé.
En mode Économie d'Énergie, TraceTogether réduit la luminosité de l'écran pour minimiser et prolonger l'utilisation de la batterie mais reste en premier plan afin de pouvoir continuer à chercher d'autres téléphones avec TraceTogether. Vous pouvez activer le mode Économie d'Énergie en posant votre portable sur l'écran, ou en le gardant la tête en bas dans votre poche. Vous pouvez aussi cliquer sur le lien sur la page d'accueil de l'appli pour ces instructions.»

Source: App Store, TraceTogether
Un avis du
“Does app have to be open on iPhone or run in the background
There’s a lot of confusion on the ground among iPhone users. Most insist that as long as the app is open IN THE BACKGROUND while they surf the web, watch videos and play games, it will continue to be effective. A few of us understand the instructions to mean that the app has to be open and we therefore canNOT be using the phone for calls, etc. in order for it to work.
Please clarify as 9/10 people see to understand it as the former. Otherwise this is not going to be effective at all. Apple has a huge market share and there are many iPhone users out there leaving the app on in the background only.

Developer Response,
Hello (...),
Thank you for your feedback. Unfortunately, on iOS, the TraceTogether app works best in the foreground, so that is what we recommend for better results.
To learn more, please read Apple Developer’s documentation (...)
When you are in crowded places and not actively using your phone, we recommend that you foreground the TraceTogether app in Power Saver Mode to help with contact tracing. If you need to use your other apps, just remember to switch back to TraceTogether when you are done.
In Power Saver Mode, TraceTogether dims the screen to minimize and conserve battery usage but stays in the foreground so it can continue searching for other TraceTogether phones. You can activate Power Saver Mode by putting your mobile phone face down, or keeping it upside down if it’s in your pocket. You can also click on the link on the app home screen for these instructions.”

NB: les textes sur fond bleu sont recopiés des sites internet d'Apple, de Google, et du gouvernement de Singapour. La traduction en français est de moi.
Sur Android, les utilisateurs sont plus satisfaits (note 3,8 étoiles sur 5) mais relèvent plusieurs problèmes sérieux qui empêchent parfois son utilisation:
  • sur certains téléphones, l'application s'arrête inopinément
  • sur d'autres téléphones, ce sont d'autres applications (musique par exemple) qui s'arrêtent
  • les autres utilisations du Bluetooth ne fonctionnent plus (écouteurs, transfert de fichiers)
  • le son est haché quand on écoute de la musique
  • la batterie se vide beaucoup plus vite que d'habitude (d'après le gouvernement, cela ne devrait pas être le cas)
  • la procédure de validation par SMS échoue parfois
Source: plusieurs avis sur Google Play, pour TraceTogether

Donc sur les 1,1 millions de personnes ayant installé l'application, une bonne partie l'a désinstallée pour ces différentes raisons, et parmi ceux qui l'ont conservée, 90% des utilisateurs sur iPhone la laissent en arrière-plan ce qui l'empêche de fonctionner correctement. Nul doute que ces problèmes techniques seront résolus, mais c'est la situation actuelle, au 20 avril 2020.

Le taux réel de personnes ayant l'application en fonctionnement est donc bien inférieur à 19%, soyons gentils et estimons qu'il doit être d'environ 10%

Cela signifie que lorsque deux personnes se rencontrent, la probabilité que les deux personnes aient téléchargé l'application TraceTogether est de 3,6% (19% au carré), et que la probabilité que les deux personnes aient l'application en fonctionnement est de seulement 1% (10% au carré).

Il va de soi qu'avec une probabilité aussi faible, l'application ne peut avoir aucune efficacité puisqu'au moins 99% des contaminations lui échapperaient, sans compter celles qui lui échapperaient même si toute la population était équipée (voir plus loin). Et donc, ce n'est absolument pas avec cette application que Singapour a réussi à maîtriser l'épidémie. Les raisons réelles du succès sont bien plus prosaïques:

En-dehors de l'efficacité des mesures prises, Singapour a peut-être également bénéficié d'un virus encore imparfaitement adapté aux humains et moins contagieux que les souches qui ont muté ultérieurement et se sont propagées en Europe et en Amérique, car la sélection naturelle sélectionne a priori les souches les plus contagieuses (ceci est bien sûr une simple hypothèse).

On voit que la France, comme d'autres, fait un pari technologique pour masquer son insuffisance dans les méthodes éprouvées de contrôle de l'épidémie, ou tout simplement pour se doter d'un nouvel outil de surveillance de la population.

Mise à jour du 27 avril 2020: en réalité le «succès» de Singapour est à relativiser, car une remontée des contaminations a nécessité un nouveau confinement au moins jusqu'au 1er juin 2020 (article de The Guardian du 21 avril 2020), avec fermeture des écoles et commerces. L'épidémie se propage en particulier chez les travailleurs immigrés, originaires d'Inde, du Bangladesh ou d'autres pays pauvres d'Asie, la force de travail cachée qui s'entasse dans des dortoirs sans aucune possibilité de véritable confinement.

Un principe de base très contestable

L'idée invoquée pour justifier cette application est d'identifier les contacts récents entre les personnes pour identifier les éventuelles contaminations par le coronavirus.

Rappelons que le Bluetooth est un système de communication par radio (à 2,4 GHz, comme le WiFi), d'une portée d'environ 10 mètres pour la version utilisée dans les téléphones portables (la portée du Bluetooth va de 2m pour des oreillettes à 100m pour la version la plus puissante, et elle varie fortement selon la puce utilisée, l'orientation des antennes et les éventuels obstacles). Le Bluetooth permet à chaque appareil de communiquer avec les appareils voisins. Chaque appareil Bluetooth est identifié par un nom (souvent configurable par exemple «iPhone Michel») mais surtout par un identifiant unique sur 6 octets (comme l'adresse MAC des cartes Ethernet ou WiFi), c'est-à-dire qu'il n'existe pas deux appareils ayant le même identifiant Bluetooth.


Ce que voit un appareil qui communique avec un autre appareil Bluetooth (ici une chaîne Hi-Fi):
  • le nom affiché par l'autre appareil (ici «VHM-314»), sans rôle essentiel
  • le type de communication (ici, la transmission d'un flux audio, comme pour une oreillette)
  • le numéro unique sur 6 octets de l'appareil, indispensable pour communiquer avec lui
  • la puissance du signal radio provenant de l'autre appareil
  • la qualité de la connexion (plus basse si le signal est faible ou s'il y a des perturbations)
  • la puissance d'émission de notre appareil (réglée après négociation avec l'autre appareil)
Ces dernières informations doivent servir à estimer la distance entre les deux appareils.

Le problème est que les personnes se trouvant à moins de 10 mètres ne sont pas toutes susceptibles de transmettre le virus. Et heureusement, car dans une grande ville comme Singapour, on peut avoir des centaines de personnes à moins de 10 mètres, rien qu'en marchant dans une rue fréquentée, ou sur le quai de métro le long d'une rame bondée. Le diagramme des «contacts» serait tellement énorme qu'il en deviendrait inutilisable.

Du coup, le gouvernement de Singapour indique que ne sont enregistrés que les contacts de plus de 30 minutes. Là, le graphe des contacts devient beaucoup moins touffu et bien plus facile à exploiter, puisqu'on peut ainsi identifier les réunions familiales, amicales, politiques, syndicales (pour autant que la notion ait un sens à Singapour), etc... On voit bien l'utilité d'un tel pistage pour un gouvernement autoritaire, mais l'utilité pour contrôler une épidémie est beaucoup moins évidente.

La première voie de contamination par le coronavirus est le contact avec les postillons d'une personne contaminée, par exemple:

Il y a un débat scientifique pour savoir si le virus peut également se propager par des aérosols (particules microscopiques en suspension dans l'air), auquel cas le scénario de contamination serait le suivant:

À Singapour, le gouvernement dispose de bien plus d'informations qu'il ne veut bien l'admettre

Selon le gouvernement de Singapour, les seules informations personnelles enregistrées sont (copie du site, le 19 avril 2020):

  • Votre numéro de portable
  • Un identifiant d'utilisateur anonymisé, par exemple: 9I8VPeQeWDofj39c8dPySoUXLqh2
  • Your mobile number
  • A random anonymised User ID e.g.: 9I8VPeQeWDofj39c8dPySoUXLqh2
Remarquons que l'identifiant n'est pas du tout «anonymisé» puisque le gouvernement connaît la correspondance avec le numéro de téléphone, et donc en pratique avec son utilisateur.

Le gouvernement de Singapour garantit qu'il ne veut ni la position GPS ni la position basée sur la proximité des réseaux WiFi:

Nous ne collectons pas de données sur votre position GPS

TraceTogether utilise le Bluetooth pour estimer la distance entre vous et les autres téléphones exécutant la même application. Nous ne collectons pas de données sur votre position GPS. Nous ne collectons pas non plus de données sur votre réseau WiFi ou mobile.
We do not collect data about your GPS location

TraceTogether uses Bluetooth to approximate your distance to other phones running the same app. We do not collect data about your GPS location. Neither do we collect data about your WiFi or mobile network.

Google Play indique pourtant une liste bien plus large d'autorisations utilisées par l'application et contredit les affirmations du gouvernement:
Autorisations listées par Google Play
Signification
Cette application dispose des autorisations suivantes :

Stockage
  • modify or delete the contents of your USB storage
  • read the contents of your USB storage
L'application peut lire et écrire tous les fichiers contenus dans le téléphone (photos, contenu multimédia reçu par les réseaux sociaux, documents téléchargés, attestations numériques de déplacement dérogatoire...), en-dehors des données propres à l'application elle-même.
Lieu
  • precise location (GPS and network-based)
  • approximate location (network-based)
Contrairement aux affirmations du gouvernement de Singapour l'application dispose bien:
  • de la position indiquée par le récepteur GPS (si la fonction GPS du téléphone est activée) = «position précise» dans Android
  • de la position calculée à partir des émetteurs WiFi et des antennes relais captées par le téléphone = «position approximative» dans Android.

Remarque: dans Android, la réception GPS ne fonctionne que si elle est activée, mais la localisation par WiFi fonctionne même si la fonction WiFi a été désactivée par l'utilisateur (sauf peut-être en mode avion).

Photos/Contenus multimédias/Fichiers
  • modify or delete the contents of your USB storage
  • read the contents of your USB storage
Similaire aux autorisations «Stockage»
Autre
  • receive data from Internet
  • view network connections
  • access Bluetooth settings
  • pair with Bluetooth devices
  • full network access
  • prevent device from sleeping
  • run at startup
L'application peut:
  • se connecter à n'importe quel serveur internet
  • savoir quels réseaux informatiques sont accessibles, et lesquels sont connectés
  • activer la fonction Bluetooth (si l'utilisateur l'a désactivée)
  • communiquer avec d'autres périphériques Bluetooth: c'est l'objectif affiché
  • empêcher la mise en veille du téléphone (pour rester constamment active)
  • se lancer au démarrage du téléphone
Des fonctionnalités peuvent être automatiquement ajoutées au sein de chaque groupe en cas de mise à jour de l'application TraceTogether.
Lors de la mise à jour (qui est automatique si l'utilisateur ne modifie pas cela), l'application peut disposer de nouvelles informations.
NB: l'autorisation «obtenir le numéro de téléphone» n'est pas demandée par l'application mais...
...le numéro de téléphone est vérifié par l'envoi d'un code à 6 chiffres par SMS
L'application dispose donc de bien plus d'autorisations que ce qu'affirme le gouvernement: il ne manque quasiment que l'accès au répertoire du téléphone!


Quand bien même l'application ne demanderait que les informations indiquées par le gouvernement, les garanties seraient limitées:

De faibles garanties en Europe (le RGPD, la CNIL,...)

Il y a des textes protégeant la vie privée, au niveau national comme au niveau européen. Au niveau national français, la CNIL (Commission Nationale de l'Informatique et des Libertés) a été créée dès 1978 pour appliquer la loi «Informatique et Liberté». Au niveau européen, le CEPD (Comité Européen de la Protection des Données) est chargé de faire respecter le RGPD (Règlement Général sur la Protection des Données), texte nettement plus récent. À noter que le RGPD étant un «règlement européen», c'est-à-dire une loi européenne (le terme «loi» a été gommé lorsque le projet de traité constitutionnel a été rejeté et rebaptisé en «traité de Lisbonne»), il est directement applicable dans chaque pays sans qu'il soit nécessaire de l'intégrer dans la législation nationale, contrairement au cas des «directives européennes».

Ces institutions sont bienvenues pour contrôler l'usage que font les entreprises avec les données personnelles, et pour les forcer à sécuriser ces données, mais leur poids est beaucoup plus faible face aux États. Notamment la CNIL n'a jamais pu maîtriser la prolifération de fichiers policiers, et ne peut au mieux donner qu'un avis non contraignant. On peut donc penser qu'elles ne feraient pas le poids si une application de pistage numérique était créée par plusieurs pays européens.

La CNIL a rendu un avis très pertinent et assez complet sans être trop long, le 24 avril 2020. Elle demande à être consultée à nouveau lorsque le projet sera mieux défini.

Avant cela, la présidente de la CNIL avait été auditionnée le 15 avril 2020 par la commission des lois du Sénat:

On retient que la CNIL ne s'y opposerait pas frontalement, car l'État a essentiellement tous les droits s'il y a un but légitime. Et on peut s'inquiéter lorsqu'on entend la présidente de la CNIL indiquer que le système de Singapour n'est pas nominatif puisqu'il associe l'identifiant Bluetooth au numéro de téléphone et non au nom de l'utilisateur (la CNIL connaissant certainement l'existence des annuaires téléphoniques, il doit s'agir d'une étourderie de sa présidente, fatiguée après plus d'une heure d'audience sur un sujet aussi sensible).

Par contre, elle réclame l'utilisation des moyens les moins liberticides possibles, et qu'il y ait un réel volontariat: c'est-à-dire que les personnes n'ayant pas installé l'application ne soient pas limitées dans leur liberté de mouvement (ex: accès aux transports publics) ou autres (ex: accès au lieu de travail), et que celles qui l'ont installée puissent la désinstaller. Elle s'inquiète explicitement du risque de pérennisation, avec une référence claire à l'intégration par Macron du droit dérogatoire de l'état d'urgence terroriste dans le droit courant. Elle assure que la CNIL est capable de s'assurer de la destruction de données informatiques (feignant d'ignorer la possibilité de les recopier préalablement). Enfin, elle insiste sur l'erreur qu'il y aurait à se reposer uniquement sur la technologie pour maîtriser l'épidémie, au risque de négliger des mesures plus traditionnelles (distanciation sociale, masques,...).

En définitive, le point clé est bien l'efficacité attendue, car en l'absence de véritable espoir d'efficacité, il n'y a aucune légitimité à vouloir mettre en service une application dangereuse pour les libertés publiques. Tandis que si personne ne contestait l'efficacité, aucune barrière politique ou administrative ne pourrait s'opposer à cette logique de pistage.


Juste après l'audition de la présidente de la CNIL, le Sénat entendait sur le même sujet Jean-François Delfraissy, président du comité de scientifiques:

Des risques évidents de dérive

En avril 2020, on a vu le gouvernement français passer en quelques jours par les phases suivantes:

On peut donc craindre les dérives suivantes, parfaitement possibles en l'espace de quelques mois:

État des lieux

Mise en place de l'application:

Sur le suivi des personnes contagieuses:

S'opposer pour protéger les libertés publiques

Les libertés reculent surtout lorsque personne ne les défend.

Vue l'absence totale d'efficacité et les risques importants, chaque citoyen doit s'y opposer. En particulier:

Initiatives dont j'ai connaissance:

Si cela devait vraiment tourner mal (scénario catastrophe): comme personne n'est obligé d'être héroïque au point de risquer sa liberté, il peut arriver que vous soyez finalement obligé d'installer l'application. Mais faites-le le plus tard possible, après des relances! Il vous restera alors la possibilité de chercher toutes les possibilités pour la rendre inopérante, mais à ce petit jeu vous n'êtes pas sûr de gagner. Quelques pistes:

Et en Chine?

Le pays le plus avancé en contrôle policier de sa population est certainement la Chine. Là-bas, les caméras avec logiciel reconnaissance faciale sont très répandues mais sans doute moins efficaces à cause du port du masque. Mais les smartphones y sont utilisés à fond.

Il y a au moins 2 types d'utilisation:


Fait à l'aide du programme prehtml - Hébergement et statistiques: