Article mis à jour le 26/05/2021 - L'application TousAntiCovid accueille désormais une nouvelle fonctionnalité baptisée Signal qui vise à faciliter le suivi des contacts dans les lieux où la distanciation sociale est difficilement applicable, comme les bars et restaurants. Il s'agit en fait de la version numérique du cahier de rappel utilisé l'automne dernier dans ces établissements. Au lieu d'inscrire vos coordonnées dans un cahier, vous pouvez maintenant scanner le QR Code de l'établissement fréquenté avec TousAntiCovid. Nous avons actualisé les informations de ce guide en conséquence, mais pour en savoir plus à ce sujet nous vous invitons à lire aussi notre article dédié.
Depuis le mois d'octobre 2020, l'application StopCovid s'est vu remplacée par une nouvelle version : TousAntiCovid. En réalité, si le nom et l'interface changent et que de nouvelles fonctionnalités ont fait leur apparition, il s'agit plus d'une mise à jour de StopCovid que d'une nouvelle application à proprement parler.
Après l'échec de StopCovid, aussi bien sur le plan technique (peu d'alertes avaient été envoyées) que sur le nombre de téléchargements total (un peu plus de 2,4 millions en trois mois d'existence), le gouvernement a voulu transformer son application en "hub", c'est-à-dire en plateforme regroupant plusieurs services numériques. Fin mai 2021, l'application a été téléchargée au total plus de 16 millions de fois mais en mars 2021, Cédric O, Secrétaire d'Etat en charge du numérique, communiquait un total d'à peine 100 000 alertes envoyées aux utilisateurs. Difficile de parler de succès avec de tels résultats, mais en tout cas cela représente une accélération sensible.
Pour autant, le principe et la base technologique de TousAntiCovid restent les mêmes que StopCovid. Il s'agit de prévenir les utilisateurs en cas de contact (prolongé) avec une personne testée positive à la Covid-19 et informer sur la pandémie, mais en effet, l'application s'est fortement enrichie depuis ses débuts et couvre désormais d'autres domaines que le "contact tracing". Voici tout ce que vous devez savoir au sujet de TousAntiCovid.
:
Avant d'entrer dans le vif du sujet, si vous souhaitez télécharger TousAntiCovid, il vous suffit de cliquer ci-dessous :
Télécharger > TousAntiCovid - StopCovidTousAntiCovid est l’application mise en place par le gouvernement français pendant la pandémie de coronavirus. Elle fournit des informations sur la situation, permet de créer ses attestations de déplacements, et, surtout, de repérer les cas contacts.Comme nous vous le disions en préambule, à la base, TousAntiCovid, appelée alors StopCovid, est une application de "contact tracing" (suivi de contacts) ayant uniquement pour but de vous envoyer une alerte sur votre smartphone quand vous avez été à proximité d'une personne positive à la Covid-19. Une fois alerté, l'utilisateur concerné est invité à s'isoler en prévention.
Bien sûr, il ne s'agit pas de prévenir les utilisateurs en temps réel, mais après-coup, afin de les inciter à se faire tester. Grâce à un tel système, le gouvernement espère retracer plus facilement les "cas contact" et mieux contenir le virus. Un concept plébiscité par le gouvernement mais également critiqué par certains défenseurs de la vie privée et brocardé pour son manque de fiabilité et d'efficacité.
Image de l'ancien StopCovid
Désormais, TousAntiCovid est pensé comme une plateforme centralisant les différents services et informations du gouvernement dans le cadre de la lutte contre la pandémie de Covid 19. Le système de "contact tracing" est toujours là, bien actif, mais on y trouve aussi des conseils pratiques, des informations et des chiffres clés sur le nombre de nouveaux cas détectés en France chaque jour, le nombre de personnes vaccinées, la tension en réanimation dans les hôpitaux...
Par ailleurs, une partie est maintenant dévolue à la vaccination. Elle permet de savoir si l'on y est éligible et de connaître les centres de vaccination à proximité de sa ville, cela en entrant son code postal. Au passage, sachez que nous avons réalisé un guide complet au sujet de la vaccination, à retrouver en cliquant ci-dessous :
TousAntiCovid vous propose également de générer des attestations dérogatoires en format numérique pour vos déplacements pendant les périodes de couvre-feu/confinement. Pour ce faire, l'application a intégré le générateur d'attestation du gouvernement, qui demeure accessible via le site du Ministère de l'Intérieur. Si vous n'êtes pas à l'aise avec le numérique, nous vous invitons à vous rendre sur notre tutoriel à ce sujet, il vous aidera à remplir vos documents et vous fournira quelques astuces bien utiles. C'est par ici :
Attestation générée via TousAntiCovid
Autre nouveauté de l'application en test depuis lundi 19 avril dans le cadre du projet de pass sanitaire européen pour les voyages, TousAntiCovid permet d'importer ses résultats de tests PCR et son certificat de vaccination afin de faciliter les contrôles dans les aéroports. Les agents pourront en un clin d'oeil scanner votre téléphone, ou plutôt le QR Code affiché sur TousAntiCovid, qui leur indiquera si vous êtes en règle ou non.
Baptisée Carnet, la fonction se limite pour l'instant à certains vols vers la Corse et les DOM-TOM mais elle sera prochainement étendue à d'autres destinations et notamment les autres pays de l'Union européenne à partir de juillet.
Enfin, comme nous vous l'indiquions fin mai, la fonction Signal de TousAntiCovid a été ajoutée à des fins de test (notamment dans les restaurants du marché de Rungis) et se généralisera à tous les restaurants, bars et autres lieux où le respect des gestes barrières n'est pas possible à partir du 9 juin prochain. Il s'agit en fait d'un cahier de rappel comme ceux que devaient remplir avec leurs coordonnées les clients des restaurants l'automne dernier, mais en version numérique.
À la place d'inscrire son nom et son numéro de téléphone, on pourra à partir du 9 juin se contenter de scanner le QR Code de l'établissement fréquenté avec son smartphone et l'application TousAntiCovid. Si une personne présente le même jour, à la même heure que vous et dans le même restaurant ou bar se déclare par la suite malade sur l'application, vous recevrez une notification pour vous en informer et vous inviter à aller vous faire tester.
Un système plus pratique et sécurisé en théorie que les cahiers en format papier (qui resteront disponibles pour ceux qui n'ont pas de smartphones), mais dont on peut d'ores et déjà douter de l'efficacité sachant que peu de personnes pensent à se signaler malades sur TousAntiCovid. C'est sans doute la raison pour laquelle peu d'alertes ont été émises par le système de contact tracing initial de TousAntiCovid.
La prise en main est assez simple, l'utilisateur doit avant tout confirmer son intention de participer à l'opération. Un bref récapitulatif permet de comprendre le fonctionnement de l'application. Après un rappel des gestes barrières et l'activation des autorisations nécessaires à son fonctionnement, l'application vous mène au menu principal. Pour que le suivi des contacts fonctionne, il faudra toutefois l'activer à partir du menu principal.
Menu principal de TousAntiCovid
La page d'accueil ou menu principal de l'application est simple, on y trouve de haut en bas :
Tout est bien expliqué et l'utilisation des fonctions principales ne devrait pas trop poser de problème. Pour bien générer votre attestation, nous vous invitons encore une fois à consulter notre guide dédié.Quand deux personnes ayant installé l’application sur leur smartphone se croisent dans la rue pendant un certain temps (15mn) à une distance “rapprochée” (dans un rayon de 1,5 mètres), leurs appareils se détectent par la liaison sans fil Bluetooth. Leur “rencontre” (leurs identifiants respectifs, qui sont anonymisés via une méthode de chiffrement) est alors enregistrée automatiquement sur chacun des téléphones. Si les deux personnes ne sont pas testées positives au coronavirus et ne présentent aucun symptôme, rien ne se passe.
Si l'une des deux est contaminée, l'autre personne croisée dans les 15 derniers jours ainsi que toutes les autres ayant été en contact (on parle de contact prolongé de 15 mn encore une fois) avec le malade recevront une notification. Ils ne savent pas qui ils ont croisé, ni où et quand exactement. En raison de l'imprécision du Bluetooth, un modèle statistique est également utilisé pour déterminer si un contact a bien eu lieu. Un algorithme calcule alors un “score” de risque de contraction du virus. Selon Cédric O, secrétaire d’État chargé du numérique, le système est en “ lien avec un tiers de santé” pour garantir que les cas déclarés soient réellement positifs.
Crédit image : Inria
Entrons encore un peu plus dans les détails. En fait, ce qu'il se produit quand une personne se déclare (la démarche est basée sur le volontariat) positive à la Covid sur l'application, cette dernière envoie l'information ainsi que l'historique des contacts de l'utilisateur (une liste d'identifiants donc) au serveur central de TousAntiCovid. Cela permet au serveur de dresser une "liste noire" d'identifiants de personnes contaminées et de cas contact. Du côté des autres utilisateurs, l'application TousAntiCovid installée sur leurs téléphones va régulièrement aller feuilleter la "liste noire". Si elle trouve son propre identifiant dans la liste, c'est que le propriétaire du téléphone est cas contact. Dès lors, la notification est automatiquement envoyée pour le prévenir.
Dernière chose à savoir, les données du serveur et les données contenues sur les téléphones des utilisateurs sont effacées automatiquement au bout de 14 jours.
TousAntiCovid n'est pas obligatoire et donc basée sur le volontariat, la personne testée positive se déclarant d’elle même comme telle et acceptant de diffuser cette information de manière anonyme aux autorités et aux autres. Idem pour la partie Carnet, Cahier de rappel ou Attestations, les documents associés pouvant également être utilisés en format papier. Voir la partie sur l'avis de la CNIL pour en savoir plus à ce sujet.
L’application repose sur le Bluetooth Low Energy (BLE) qui présente une consommation d'énergie 10 fois moindre que le Bluetooth usuel. Le BLE permet d’intégrer cette technologie sur d'autres équipements tels que des montres, appareils de surveillance médicale ou capteurs pour sportifs. Au lancement, le gouvernement songeait à intégrer le système TousAntiCovid dans d'autres appareils. Cédric O indiquait via le site Medium (avant le lancement de TousAntiCovid) que les équipes en charge du projet réfléchissaient déjà à porter le système sur des bracelets connectés ou des boîtiers.
Afin de régler le problème de la fracture numérique, de nombreuses personnes (30 % de la population) n’ayant pas de smartphones, des “clés” qui seraient distribuées massivement aux citoyens étaient également à l'étude. L’Allemagne a d’ailleurs conçu une application du même type, Corona Datenspende, qui s’appuie sur des montres connectées pour collecter les données physiologiques des utilisateurs. Néanmoins, aucun signe de ces dispositifs pour le moment en France.
Le gouvernement a dirigé le projet, mais ce sont des chercheurs de l’Inria et de l'institut allemand Fraunhofer, ainsi que des développeurs du secteur public et privé, qui ont conçu l’application. Si l’Inria est chargée du pilotage, la technologie est au centre d’un projet européen mené à la fois par l’Allemagne, la France et la Suisse, le “Pan-European Privacy Preserving Proximity Tracing” (PEPP-PT, pour “Traçage de proximité paneuropéen préservant la confidentialité”). Il rassemble plus de 130 chercheurs de huit pays.
De leur côté, Apple et Google se sont associés pour fournir un socle technique commun iOS et Android aux concepteurs d'applis de contact tracing (partout dans le monde). Plusieurs pays européens n'excluent pas d’avoir recours à l’API des deux géants américains. En France, Cédric O, secrétaire d’Etat chargé du numérique, a fermé la porte à la solution proposée par les deux GAFA pour une question de “souveraineté sanitaire et technologique”. TousAntiCovid repose plutôt sur le protocole Robert, développé par l'Inria et des chercheurs allemands.
Parmi les sociétés privées ayant participé à l'élaboration de l'application, on trouve CapGemini pour l'architecture et le développement back-end, Dassault Systèmes pour l'infrastructure de données en cloud sécurisée, Lunabee Studio pour le développement de l'application mobile ou encore Withings. Signalons aussi la participation d'Orange, de Santé Publique France, de l'Inserm ainsi que de l'ANSSI.
TousAntiCovid suit l’approche adoptée par une autre application, lancée en mars à Singapour : Trace Together. Cette techno, promue par le gouvernement de la cité-État insulaire et utilisée par 620 000 personnes, est basée sur un protocole ouvert (open source), en plus du volontariat. Elle n’accède pas aux contacts de l'utilisateur, ni à ses données de géolocalisation, ce qui permet, selon ses développeurs, de respecter la vie privée en rendant très difficile une quelconque traçabilité.
Toutefois, Trace Together et TousAntiCovid mélangent des méthodes décentralisées et centralisées puisque, si elles ne sont stockées que sur les smartphones durant une courte période, les données restent échangées avec un serveur central géré par les autorités de santé.
Le protocole Robert est conçu de sorte que TousAntiCovid ne demande aucune donnée personnelle : ni état civil, ni numéro de téléphone. Les datas sont anonymisées, chacun étant identifié par un “code unique” chiffré et enregistré en local, directement sur les smartphones. Ce sont les fameux identifiants dont nous vous parlions.
Au premier lancement, l'application TousAntiCovid assure d'emblée qu'elle respecte le RGPD (Règlement général sur la Protection des données) applicable partout dans l'Union Européenne. Néanmoins, du temps de StopCovid, un chercheur avait découvert que l'application « collecte, et transfère le cas échéant au serveur central, les identifiants de toutes les personnes qui se sont croisées via l’appli ». Le gouvernement s'était alors justifié en invoquant des raisons techniques, expliquant que les identifiants des utilisateurs changeaient régulièrement et qu'ainsi, un contact entre deux personnes durant 5mn et un autre de 12 mn pouvaient en réalité être un seul contact de 17mn. Pour s'en rendre compte, le gouvernement n'aurait eu d'autre alternative que d'envoyer les identifiants au serveur central, seul capable de les relier.
Le Ministère de l'Intérieur indique sur son site que le générateur d'attestation ne conserve aucune donnée personnelle, ce qui semble être corroboré par les analyses du code du formulaire, initialement lancé sous forme de page web. L'attestation générée est un QR Code qui pourra être scanné par les forces de l'ordre lors d'un contrôle. Ce code contient toutes les informations que vous avez renseignées via le formulaire, il permet à la police de respecter les gestes barrière, cela leur évite d'avoir à s'approcher des personnes en cas de contrôle ou de toucher leurs smartphones (au cas où il faudrait zoomer sur l'attestation par exemple).
Toujours est-il que conserver les données sur l'appareil des policiers qui scanne les QR codes, à savoir des smartphones ou tablettes Sony employant une version modifiée d'Android (Secdroid) et une application spécifique baptisée CovidReader, n'est pas infaisable techniquement parlant. Cependant, interrogé par nos confrères de Numerama, le Ministère de l'Intérieur a assuré que ce n'était pas le cas. L’Association Professionnelle Nationale Militaire Gendarmes et Citoyens a par ailleurs déclaré dans une tribune publiée durant le premier confinement qu'elle regrettait justement cette absence de stockage. Et puis, pas sûr qu'une collecte de ce type, sans consentement explicite des personnes concernées, plaise à la CNIL, chargée de faire respecter la réglementation européenne sur la protection des données personnelles.
Mais si vous n'êtes pas rassurés, rien ne vous oblige évidemment à recourir aux attestations sur smartphones, ni même à TousAntiCovid. En réalité, il s'agit comme dans bien des cas avec la technologie d'une question de confiance.
Quant à la fonction Carnet qui permet d'intégrer ses résultats de tests PCR ou ses certificats de vaccination, le dispositif se veut chiffré et le gouvernement affirme que les données restent en local sur le téléphone des usagers. Ce dernier assure également que l'application pour scanner les codes utilisée ne garde rien en mémoire.
Grâce à l'usage de ces QR code, les autorités ou personnels habilités n'ont par ailleurs accès qu'aux informations qui leur sont utiles selon le gouvernement : « Quand vous tendrez votre pass, la seule chose qui apparaîtra à l’écran sera du vert ou du rouge. Personne ne saura si vous pouvez vous déplacez grâce à un vaccin ou un test PCR » a déclaré Cédric O, Secrétaire d'Etat en charge du numérique, sur Europe 1.
Cependant, les résultats de tests PCR et les certificats de vaccination sont toujours centralisés sur la plateforme sidep.gouv.fr afin que vous puissiez les récupérer sans passer par le centre ou le médecin chez qui vous avez réalisé le test PCR ou reçu une injection de vaccin. Et comme vous le savez peut-être, aucun système informatique n'est infaillible. Il existe donc toujours un risque, aussi infime soit-il, que d'autres personnes puissent y accéder.
Bien que le Cahier de rappel numérique, aka Signal, et le système de Contact tracing de TousAntiCovid soient proches, ils n'utilisent pas le même protocole. Pas de Robert pour Signal mais le protocole CLEA qu'on ne connait pas encore très bien mais qui se veut mixte centralisé/décentralisé. Le gouvernement assure à nouveau que la fonctionnalité se veut sécurisée et respectueuse de la vie privée.
Les données des clients ne quittent pas l'application, les noms ou adresses des établissements ne sont pas demandés et les informations contenues dans les QR Codes sont chiffrées selon l'exécutif. Impossible de connaître le nom de l'établissement dans lequel vous avez peut-être croisé une personne contaminée. Enfin, votre historique de lieux fréquentés est automatiquement supprimé au bout de 14 jours mais vous pouvez à tout moment y accéder pour supprimer un lieu.
Le protocole DP3T, Robert ainsi que les solutions développées dans le cadre de l'Union Européenne ne font pas usage du GPS, mais seulement du Bluetooth. Cette technologie de courte portée repose sur la proximité des appareils, ce qui empêche donc toute géolocalisation. Toutefois, en utilisant des bornes de collecte telles que celles utilisées par les publicitaires, ou en croisant les données avec celles d’autres applis, ainsi que celles de tous les utilisateurs, il serait théoriquement possible de reconstituer les allées et venues d’une grande partie des citoyens “volontaires”. Mais entre la théorie et la pratique il y a un monde et la tâche serait sans doute ardue...
Des incertitudes demeurent quant aux capacités du Bluetooth à fournir des données précises sur les distances entre les utilisateurs et donc de livrer des résultats fiables. Jusqu’à créer un faux sentiment de sécurité ?
Dans un “white paper”, l’ACLU (American Civil Liberties Union) pointe du doigt les limites des applis de traçage, y compris Bluetooth. La détection des contacts via Bluetooth ne fonctionne qu’avec les dernières versions de cette technologie. Or, s’interroge l’ACLU, le Bluetooth est-il suffisamment précis pour distinguer les contacts proches, étant donné que sa portée, qui est généralement d'environ 10 mètres, peut en théorie atteindre 400 mètres avec la norme 5.0, et que la puissance de son signal varie considérablement selon le type de puce, de batterie et d'antenne ? Des obstacles peuvent également perturber les ondes, et la façon dont est porté le smartphone par l'utilisateur influe sur le signal.
Par ailleurs, l'application ne pourra pas tenir compte d'éventuels éléments séparant des personnes situées à proximité puisque le Bluetooth traverse les murs. Deux personnes dans des bâtiments séparés peuvent ainsi être perçus comme en contact. Et puis, il y a aussi les contaminations via les surfaces (poignées de portes, barres de métro etc.) qui ne seront pas prises en compte, ainsi que les contacts brefs mais à potentiel de contamination (une personne qui éternue à côté d'une autre par exemple). Pour palier ces problèmes, le gouvernement compte sur l'efficacité de ces modèles de santé et statistiques.
Enfin, pour que cette fonction soit efficace, il faudrait que 60 à 70 % de la population l’utilise. Mais on sait désormais que nous sommes loin du compte.
L’appli StopCovid n'est pas exempte du risque de hacking, quelqu’un de malintentionné pouvant potentiellement pirater les appareils des utilisateurs. Car il faut savoir que le Bluetooth, tout comme le NFC, est une technologie peu sécurisée. Il y a aussi la possibilité pour un hacker d’attaquer le serveur central, toutefois il est plus simple de protéger adéquatement le serveur que l'ensemble des smartphones des usagers. C'est d'ailleurs l'argument de Cédric O pour justifier le recours à un système qui n'est pas totalement décentralisé. En effet, si aucun serveur central n'est utilisé, alors la liste d'identifiants des malades devra être stockée en local sur les smartphones de chaque utilisateur. Elle sera donc plus facilement accessible et potentiellement plus exposée.
Enfin, notez que des applications frauduleuses sont déjà en ligne. Nous vous conseillons de bien vérifier l'éditeur de l'application que vous installez ou de passer par des liens sûrs, comme celui que nous vous avons fourni en début d'article. Par ailleurs, sachez qu'il existe des systèmes de contact tracing tiers mais nous vous déconseillons d'y recourir, d'autant que certains se basent sur la géolocalisation pour fonctionner...
Pour mettre en place un tel outil de contact tracing, le gouvernement n'a pas pu se passer de l'avis de la CNIL, la Commission nationale de l'informatique et des libertés. Celle-ci avait d'emblée prévenu que le “volontariat” était la ligne rouge à ne pas dépasser, qu’elle veillerait à ce que l’appli ne fonctionne pas au-delà de la crise et que les données ne soient pas conservées abusivement. La CNIL prévenait début avril 2020 que les données devraient être supprimées dans un délai raisonnable, et que le consentement devrait être « éclairé ». Le refus de télécharger l'application ne devant pas non plus réduire les facultés de déplacement des personnes.
Dans son avis rendu le 24 avril 2020, elle estimait le dispositif conforme au RGPD, mais mettait en garde le gouvernement et le parlement contre toute tentation de procurer des avantages directs ou indirects à ceux qui acceptent de l'installer :« Les institutions publiques ou les employeurs ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre une discrimination (...) A ces conditions, l’utilisation de StopCovid pourra être regardée comme réellement volontaire. Des choix différents, qui relèveraient du législateur et dont la stricte nécessité devrait alors être démontrée, porteraient une atteinte bien plus considérable au droit à la protection des données à caractère personnel et au respect de la vie privée ».
Enfin, l'institution a également validé le dispositif Signal souhaité par le gouvernement pour remplacer les cahiers de rappel en format papier.
Déserts médicaux, services publics : quel bilan de Macron sur la ruralité ?
Les meilleurs téléphones en 2021 pour la photo et la vidéo
Quel est le meilleur smartphone Oppo à choisir ?
Quel est le meilleur smartphone Xiaomi ?