Covid-19 et données privées : les applications de suivi que nous utilisons sont-elles vraiment sûres ?

Covid-19 et données privées : les applications de suivi que nous utilisons sont-elles vraiment sûres ?

Alors que la Covid-19 continue d'affecter des vies et de secouer l'économie mondiale, les gouvernements n’ont cessé de rechercher des outils innovants pour alimenter les politiques publiques d’informations pertinentes sur le virus et sa propagation pour mieux faire face à la crise.

Des solutions numériques basées sur des données de géolocalisation ont alors fait leur apparition pour aider les autorités à surveiller et à contenir la propagation du virus. Certaines de ces solutions sont alimentées par des enregistrements de données mobiles, c'est-à-dire des données produites par les fournisseurs de services de télécommunications lors d'appels téléphoniques ou d'autres opérations, qui fournissent des informations précieuses sur les mouvements des membres de la population.

Comme les opérateurs desservent des segments importants de la population dans des zones géographiques extrêmement larges, les mouvements de millions de personnes peuvent être suivis presque en temps réel et avec une grande précision dans l'espace et dans le temps. Les informations et les tendances qui en résultent sont inestimables pour les gouvernements qui cherchent à suivre l'évolution de l'épidémie de Covid-19, à alerter les communautés vulnérables et à comprendre l'impact des politiques publiques telles que la distanciation sociale et le confinement sur la qualité de vie, l’économie et la santé de leurs citoyens.

Photo by Max Bender / Unsplash

Cependant, certains s’inquiètent réellement à propos des problèmes de confidentialité des applications et les risques qu’elles présentent pour notre vie privée.

Les initiatives se multiplient…

C’est dans ce contexte que les développeurs et fournisseurs de télécommunications de plusieurs pays de l'OCDE (Organisation de Coopération et de Développement Économiques) ont commencé à partager avec les gouvernements des données de géolocalisation dans un format agrégé et anonyme. Par exemple :

  • Depuis le 2 juin, la France a déployé l’application StopCovid qui est destinée à freiner la propagation de l’épidémie. Cette application vous prévient immédiatement lorsque vous êtes ou vous avez été à proximité d’une personne testée positive au Covid-19, même si vous ne la connaissez pas. Elle se base sur la détection des téléphones à proximité grâce à la technologie Bluetooth et transmet toutes les données anonymes sur un serveur central qui les regroupe et les croise pour détecter les éventuels contacts entre les personnes.
  • Le fournisseur de télécommunications allemand Deutsche Telekom fournit des données anonymes sur les "flux de mouvements" de ses utilisateurs à l'Institut Robert-Koch, un institut de recherche et un organisme gouvernemental chargé du contrôle et de la prévention des maladies.
  • La Commission européenne travaille actuellement avec huit opérateurs télécom européens afin d'obtenir des données de géolocalisation mobile agrégées et anonymes sur leurs clients, afin de coordonner les mesures de surveillance de la propagation de Covid-19. Ainsi, pour assurer la protection de la vie privée, les données collectées seront supprimées une fois la crise passée.
  • Le groupe Vodafone a mis au point un "plan en cinq points" qui prévoit de fournir aux gouvernements d’énormes bases de données anonymes afin d'aider les autorités à mieux comprendre les mouvements de la population.

Et les préoccupations aussi

Devant l’apparition de toutes ces applications et l’encouragement incessant de les utiliser pour se protéger, il est aussi légitime de voir apparaître plusieurs préoccupations concernant la protection des données privées et leur exploitation par les différentes intervenants.

Pour savoir si vous devez avoir peur des applications Covid-19, vous devez d’abord connaître les principaux risques que vous encourez :

  1. Elles permettent de suivre nos appareils : certaines de ces applications de suivi nécessitent l'utilisation de Bluetooth à faible puissance (BLE, Bluetooth Low Energy) pour fonctionner, ce qui permet aux appareils d'émettre des signaux dont la portée facilite l'identification des contacts avec d'autres appareils. Toutefois, si cette technologie n'est pas correctement mise en œuvre, un cyber-criminel pourrait suivre le dispositif d'une personne en particulier en interceptant les signaux qu’il émet.
  2. La sécurité des données personnelles peut être compromise : les applications stockent évidemment les fiches de contact, les clés de cryptage et d'autres données sensibles sur nos appareils. Ces informations doivent être cryptées et stockées dans la "sandbox" de sécurité de l'application, et non dans des emplacements partagés. Toutefois, même dans cet emplacement sécurisé, si un cyber-criminel obtient l'autorisation de base ou l'accès physique au dispositif, il pourrait mettre en danger la confidentialité des données, en particulier si des informations sensibles telles que la localisation GPS y sont stockées, ce qui pourrait rendre accessibles des données telles que les voyages effectués par l'utilisateur ou les endroits où il s'est rendu au cours des jours ou des semaines précédentes.
  3. Elles peuvent générer de faux rapports de santé : certains chercheurs avertissent qu'il est important que les applications de suivi s'authentifient lorsque des informations sont envoyées à leurs serveurs, par exemple lorsqu'un utilisateur soumet son diagnostic de contact et se connecte. Sans une autorisation appropriée, il pourrait être possible d'inonder les serveurs de faux rapports de santé, ce qui remettrait en question la fiabilité de l'ensemble du système et les résultats qui s’en suivront.

En réalité, le vrai problème avec les applications qui passent par un réseau privé virtuel (VPN) et un cloud, un peu comme Facebook, est l'utilisation des permissions. En effet, il a été observé que plus de 60% de ces applications demandent des permissions "dangereuses" qui ne sont pas forcément nécessaires à leur fonctionnement.

Ces autorisations donnent à l’application l'accès à des informations sensibles telles que la localisation de l'utilisateur, les données du téléphone portable, les contacts, le statut du téléphone, et bien plus encore.

De ce fait, il est nécessaire de vérifier la réputation de l’application utilisée, de veiller à ne la télécharger que d’un site sûr et officiel et de bien lire les autorisations demandées avant de les accorder.

Assurez-vous aussi de télécharger et d’installer une solution de sécurité mobile pour scanner les applications et protéger l'appareil contre les logiciels malveillants, ainsi que pour vérifier que l'appareil n'a pas été infecté.

Maxence Rose

Écrit par Maxence Rose

Hyperactif du Web, fondateur de YubiGeek, passionné de technologie, de sciences, et fasciné par Google, j'écris ce que bon me semble et je teste pour vous les derniers services du Web.
Vous vous êtes abonné avec succès YubiGeek
Génial ! Ensuite, passez à la caisse complète pour obtenir un accès complet à tous les contenus premium.
Nous saluons votre retour ! Vous vous êtes connecté avec succès.
Unable to sign you in. Please try again.
Succès ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.
Succès ! Vos informations de facturation sont mises à jour.
Échec de la mise à jour des informations de facturation.