On a testé StopCovid : une application intuitive dont l’efficacité reste à prouver

Découvrez son fonctionnement sur Android

 
L’application StopCovid s’apprête à être déployée et nous avons eu l’occasion de tester une version préfinale pour Frandroid. L’occasion de s’intéresser à son fonctionnement et son ergonomie.

StopCovid est dans les starting-blocks, l’application est techniquement prête. Pour rappel, un débat parlementaire est en cours, StopCovid devrait être disponible dès le 2 juin 2020. En attendant, la CNIL a donné son feu vert plus tôt dans la semaine.

Nous avons eu la possibilité de tester une version pré-finale de StopCovid au sein d’un bêta-test privé organisé par l’Inria (Institut national de recherche en sciences et technologies du numérique) en charge de son développement. Le test a été effectué sur la version Android de l’application avec un Google Pixel 4 doté d’Android 10, un bêta-test similaire a également lieu sur iPhone via l’outil TestFlight. Notez que nous avons choisi de ne pas diffuser le fichier APK de cette version de l’application.

Pour rappel, StopCovid est une application de tracing (traçage). Il ne faut pas confondre ce procédé avec le tracking (suivi) qui consiste à suivre et enregistrer la géolocalisation des individus. Le contact tracing consiste à tracer anonymement les contacts entre les différentes personnes, sans enregistrer les coordonnées géographiques des individus. L’objectif est de casser les chaînes de transmission du coronavirus en isolant rapidement les personnes à risque.

La configuration et les autorisations système nécessaires à StopCovid

L’objectif de l’équipe en charge du développement de StopCovid était de rendre le plus simple possible la configuration de l’application StopCovid. Néanmoins, cette application nécessite plusieurs autorisations système pour fonctionner.

On compte trois autorisations essentielles différentes : l’accès au Bluetooth (qui sert à identifier les contacts autour de soi), les notifications (pour être prévenu si on a été en contact avec un individu à risque) et le fonctionnement en arrière-plan (pour éviter que l’application ne soit plus fonctionnelle).

L’accès au Bluetooth de l’appareil

La première configuration de l’application StopCovid est donc primordiale à son efficacité. Pour le coup, l’équipe en charge du développement de l’application a fait un bon travail.

Cette configuration prend environ deux minutes et chaque étape est bien expliquée. Comme vous pouvez le voir, l’application demande une autorisation d’accès à la position de cet appareil : ce message système est un terme trompeur, car cette autorisation ne concerne ni la position approximative (à l’aide des réseaux comme la 4G et le Wi-Fi via triangulation) ni la position exacte (GPS). Nous avons vérifié, cette autorisation ne concerne que les données liées au Bluetooth (association ou encore paramètres).

Les autres autorisations nécessaires à StopCovid : notifications et fonctionnement continu en arrière-plan

Les deux autres autorisations sont également configurées lors de cette première étape, c’est le cas des notifications, mais aussi de l’exécution en arrière-plan de l’application. Chacune des trois autorisations nécessite donc un consentement explicite de l’utilisateur.

Cette dernière autorisation système relativement critique, pour le fonctionnement en continu en arrière-plan, permet d’empêcher l’arrêt automatique de l’application au bout d’un certain temps, ce qui aurait pour conséquence de stopper l’activité et le fonctionnement de StopCovid. Cette autorisation a néanmoins quelques effets de bord : elle permet également au téléphone d’empêcher de passer en veille, mais aussi de forcer l’application à s’exécuter lors du démarrage du téléphone.

Il est évident que ce sont des autorisations qui vont diminuer l’autonomie de votre smartphone, mais ce sont des autorisations essentielles pour le bon fonctionnement de StopCovid. Difficile d’appréhender cette baisse de l’autonomie pour le moment.

Notez que dans les paramètres de la batterie, vous verrez que l’application apparaît en utilisation active et non en arrière-plan, car elle n’est pas techniquement en arrière-plan.

Lorsque StopCovid est correctement configurée

Une fois cette dizaine d’écrans passée, cela ne signifie pas que l’app StopCovid est fonctionnelle. Il vous reste en effet à activer StopCovid via un bouton sur l’écran d’accueil.

Vous pourrez vérifier à tout moment le bon fonctionnement de StopCovid grâce à une notification permanente dans votre centre de notifications. Cette notification peut être supprimée manuellement, mais vous risquez au passage de bloquer les autres notifications de StopCovid.

Afin de rassurer les utilisateurs, deux interfaces permettent d’accéder à des informations concernant la confidentialité des données, mais aussi de gérer vos données.

Vous pouvez vous désinscrire de StopCovid, effacer les alertes, mais aussi les données sur votre téléphone et sur le serveur central. Ces données comprennent tous les contacts que vous avez eus (identifiant anonyme et éphémère, heure, date et force du signal Bluetooth). Notez que ces données sont chiffrées via le protocole SKINNY-CIPHER64/192 à un intervalle régulier (toutes les 15 ou 30 minutes).

La déclaration d’un cas positif

Si vous avez été déclaré positif au Covid-19, vous allez pouvoir déclarer cet état directement dans l’application. Notez que pour éviter les fausses déclarations, la seule possibilité de se déclarer positif dans l’application est d’utiliser un code QR (ou un code numérique) fourni par le laboratoire de test afin d’authentifier l’acte.

L’application envoie ensuite cette information au serveur central qui héberge la liste des cas positifs. Notez que ce n’est pas l’unique information envoyée, parmi les données envoyées au serveur central on retrouve également les contacts de l’individu des derniers jours, la durée de ces contacts, la date et l’heure ainsi que la qualité du signal Bluetooth reçu. Cette qualité de signal permet d’estimer la distance entre les individus au moment du contact.

Les procédures à suivre si vous recevez une notification qui vous signale que vous avez été en contact avec une personne infectée // Source : Gouvernement

Le serveur central va ensuite déterminer les risques liés à ces contacts et les informer automatiquement via une notification sur leur smartphone, évidemment seulement si l’application StopCovid est installée et activée au préalable.

Une interface intuitive, une efficacité douteuse

On peut critiquer le choix de système, centralisé ou décentralisé, soulever l’imprécision de la technologie Bluetooth, rapporter les hésitationsdérives et abandons des applications similaires à l’étranger, douter de l’efficacité du contact tracing pour enrayer les chaînes de transmission du coronavirus, cela semble néanmoins compliqué de critiquer l’ergonomie de StopCovid.

L’application a été conçue en respectant les principes fondamentaux du Privacy by Design. Parmi ces derniers, on notera par exemple la visibilité et la transparence. En réalité, ce sont ces principes du RGPD, avec bien évidemment des applications plus concrètes : réduction des traitements de données à caractère personnel, pseudonymisation, transparence des traitements, limitation des risques de fuite…

Il est néanmoins important de préciser que le comportement de l’application a été analysé sur un Pixel 4 sous Android 10. Les autres interfaces Android, comme MIUI (Xiaomi), EMUI (Huawei), ColorOS (Oppo), One UI (Samsung) ou encore OxygenOS (OnePlus), appliquent des règles différentes concernant les modes d’économie d’énergie qui peuvent théoriquement affaiblir l’efficacité de StopCovid. Il faudra donc vérifier le bon fonctionnement de StopCovid dessus. Il se peut également que le comportement de l’application diffère entre les versions d’Android.

Contrairement à Android, StopCovid ne sera pas aussi efficace sur iOS. En effet, il n’y a pas d’autorisation spécifique pour les limitations liées au fonctionnement des apps en arrière-plan. Comme nous le savions déjà, le processus de l’application est stoppé automatiquement par le système au bout de quelques minutes si l’app est en arrière-plan, ce qui rend inefficace l’application pour du contact tracing. D’après les premiers tests de Numerama, StopCovid se réveille grâce à des événements tiers sur iOS, comme le fait de déverrouiller son téléphone. Ce comportement erratique limite grandement l’efficacité de StopCovid sur iPhone.

Nous n’allons pas revenir sur le débat centralisé-décentralisé et plus spécifiquement sur la raison qui a poussé le gouvernement français à balayer d’un revers de main les API Exposure Notification d’Apple et Google. Néanmoins, il est important de rappeler que cette API, directement intégrée dans les systèmes d’exploitation Android et iOS, n’est pas soumise aux restrictions qui s’appliquent à StopCovid. Cela signifie pas qu’une application de contact tracing serait efficace avec cette API, mais tout simplement que StopCovid aurait été techniquement plus efficiente si le gouvernement avait fait le choix de baser son fonctionnement sur l’API d’Apple et Google.


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Les derniers articles