Bruno Sportisse, pdg de l’Inria : « StopCovid ? Une application responsable, transparente et sécurisée ! »
StopCovid doit permettre de tracer les contacts avec des patients porteurs du nouveau coronavirus, via un smartphone. Controversée, l’éventuelle généralisation de cette application mobile est suspendue à un vote parlementaire, dont l’issue est imminente. Entretien avec le pdg de l’Inria, qui a coordonné les travaux de l’équipe-projet*.
L’application StopCovid est-elle opérationnelle ?
Nous finalisons actuellement les derniers réglages. Depuis le 14 mai, nous réalisons des tests de simulation en vie réelle pour évaluer ses capacités de réaction dans des lieux à forte densité de population, comme des centres commerciaux, des transports en commun ou des bureaux fréquentés. Les premiers résultats sont concluants. Le protocole technique est fiable. Il appartient désormais aux parlementaires de se prononcer sur la généralisation éventuelle de l’application, idéalement dans les prochains jours. Un détail important mérite d’être signalé : nous avons bénéficié d’un temps très court, soit moins de six semaines, pour tenir nos engagements en termes de sécurité, de transparence et de respect des libertés individuelles.
Quelles seront ses principales fonctionnalités ?
Une fois activée, l’application permettra de détecter et de conserver sur son smartphone des crypto-identifiants éphémères d’une durée de quinze minutes, automatiquement générés par chaque appareil muni de StopCovid. Si un patient est testé positif et s’il le souhaite, il pourra autoriser le transfert de son historique de proximité sur un serveur géré par l’autorité sanitaire, à condition d’avoir préalablement renseigné une preuve de son diagnostic, par exemple via un QR Code anonyme.
De quelle manière les « recoupements » seront-ils effectués ?
A partir de ses propres crypto-identifiants, l’application d’un autre utilisateur pourra déterminer si elle a croisé au moins une personne diagnostiquée positive, en procédant régulièrement à une vérification sur le serveur central. Les usagers qui auront été exposés à un risque de transmission recevront une notification leur indiquant la conduite à tenir, comme appeler un numéro vert ou consulter un médecin.
Comment comptez-vous garantir la sécurité des données ?
En toute indépendance, la CNIL** a été étroitement associée à nos travaux, notamment pour s’assurer de leur conformité avec les cadres français et européen liés à la protection de la vie privée, dont le RGPD. Nous avons également utilisé les derniers algorithmes de cryptographie pour répondre aux soixante recommandations de l’ANSSI, la référence française en matière de sécurité informatique, sur laquelle nous avons pu compter depuis le début du projet, en particulier pour nous prémunir d’éventuelles attaques malveillantes.
La fiabilité du système a-t-elle été éprouvée ?
Nous lancerons dès demain un programme de bug bounty qui contribuera à garantir la fiabilité de l’application, grâce à la mobilisation d’une communauté d’experts indépendants en cybersécurité, chargée de rechercher les failles du système. Cet audit technique devra notamment démontrer la robustesse du protocole de transmission ROBERT, de sorte qu’aucun individu ne puisse retracer la liste des personnes testées positives ni reconstituer les chaînes de contamination.
Le volontariat peut-il nuire à l’efficacité de StopCovid ?
La confiance et le degré d’adoption seront deux paramètres décisifs. Son efficacité reste à prouver, c’est certain, mais je tiens à rassurer les utilisateurs quant aux enjeux d’une démarche que certains jugent intrusive, voire opaque. Les objectifs sont clairement établis : cette application n’est qu’un simple instrument au service d’une stratégie sanitaire plus globale, visant à enrayer la propagation du virus. Son déploiement, s’il est entériné, sera encadré par un décret du Conseil d’Etat qui stipulera explicitement son caractère temporaire, restreint à la période épidémique.
Comment allez-vous accompagner le déploiement de l’outil ?
Notre démarche est à la fois responsable et transparente. Nos codes sources sont rendus publics, au fur et à mesure des étapes que nous franchissons. Ils sont librement accessibles à tous les développeurs. Malgré la technicité du sujet, notre rôle consistera à délivrer un bon niveau d’information pour que chacun puisse décider de se saisir ou non de cet outil de lutte citoyenne contre le Covid-19.
Jonathan Icart
(*) Coordonnée par l’Institut national de recherche en sciences et technologies du numérique, l’équipe-projet a été constituée le 26 avril. Elle est composée d’instituts de recherche (Inserm), d’acteurs publics (Santé publique France, ANSSI) et de sociétés privées (Capgemini, Dassault Systèmes, Lunabee Studio, Orange et Withings, 3DS).
(**) Dans un avis rendu ce jour, la CNIL constate que ses principales recommandations ont été prises en compte. Elle estime également que ce dispositif temporaire, basé sur le volontariat, peut être légalement mis en œuvre.
