Stopcovid : Tous les détails techniques de l'application !
Nombreux sont les messages anxiogènes que l'on retrouve ici et là ainsi que les Fake News à l'encontre l'application StopCovid qui a comme seul objectif d'aider à sauver des vies en se basant sur le retour d'expérience de l'application TraceTogether déployée à Singapour.
L'application mobile StopCovid, proposée par le Gouvernement français, est disponible depuis le 2 juin sur les magasins d'applications mobiles iOS et Android. Elle possède aujourd'hui pas moins de 2000 évaluations avec un seuil de 600 000 téléchargements atteints 2 jours après sa publication.
Selon un récent sondage, moins d'un français sur deux (45%) se dit prêt à installer l'application StopCovid alors que pas moins de 37 millions de Français utilisent Facebook pour partager des données personnelles sur des serveurs américains.
Le nombre d'utilisateurs de l'application StopCovid pourrait donc atteindre les 30 Millions de téléchargements si l'on se fie à l'étude réalisée. À Singapour, 1 million d'utilisateurs sur 5,6 millions auraient installé l'application TraceTogether, soit moins de 20%. L'application StopCovid devrait avoir une tout autre envergure si celle-ci se déploie sur 45% de la population.
Comment l'application mobile fonctionne ?
Contrairement à la majorité des applications mobiles installées sur votre téléphone, StopCovid ne vous demandera aucune information personnelle et ne vous demandera pas non plus d'activer votre GPS (sauf sur Android, mais la donnée n'est pas utilisée), l'application n'accédera pas non plus à votre carnet d'adresses.
L'application mobile couvre deux cas d'usage simples :
Le premier cas d'usage : vous êtes informé par notification dès lors que vous avez passé plus de 15 minutes à moins d'un mètre d'une personne contaminée :
Le second cas d'usage : vous tombez malade et vous informez les personnes que vous avez peut-être contaminées qu'elles peuvent avoir été contaminées.
Le gouvernement a mis une page Web en ligne pour détailler le fonctionnement de l'application et répondre aux questions de ses utilisateurs.
15 minutes à moins d'1 mètre ?
Ce sont actuellement les paramètres de l'application lors de son lancement.
Ces paramètres pourront évoluer en fonction des résultats obtenus et sont différents de ceux utilisés par l'application TraceTogether déployée à Singapour qui lui se base sur une distance de 2 mètres et une durée de 30 minutes.
En réalité, les seuls cas possibles qui vous permettent d'être à moins d'un mètre d'une personne que vous ne connaissez pas pendant plus de 15 minutes est :
- De prendre un moyen de transport en commun sur une longue durée.
- D'attendre dans une file d'attente si il y a non respect des gestes barrières.
Le succès de l'application est lié au taux d'adoption de celle-ci ?
Le fonctionnement de l'application est indirectement lié au tôt d'adoption de l'application StopCovid par les personnes avec lesquelles vous êtes rentré en contact.
Plus l'application sera déployée et utilisée, plus les résultats obtenus pourront être significatifs.
Si personne n'utilise l'application, les résultats obtenus seront très faibles comme ceux obtenus par l'équivalent de l'application StopCovid en Australie.
Le Bluetooth vous dites ?
L'application utilise uniquement la communication Bluetooth du téléphone pour permettre d'identifier les personnes que vous avez croisées pendant plus de 15 minutes. À condition bien sûre que ces mêmes personnes possèdent l'application mobile StopCovid d'installée et surtout lancée !
La communication Bluetooth permet d'identifier les appareils connectés à proximité. Le protocole Bluetooth supporte nativement la mesure de distance au travers de la mesure de la puissance des signaux reçus des autres appareils (RSSI).
Le gros avantage du Bluetooth concerne sa faible consommation d'énergie.
Après plusieurs jours d'installation, je constate que l'application StopCovid consomme moins de 1% des ressources de la batterie de mon téléphone.
Que dit la CNIL dans tout cela ?
La CNIL a autorisé le déploiement et l'usage de cette application mobile au travers de la délibération n°2020-046 du 24 avril 2020
L'architecture retenue par l'application StopCovid est une architecture centralisée basée sur des crypto-identifiants.
L'application mobile une fois installée télécharge une liste d'identifiants chiffrés du serveur StopCovid. Ces identifiants sont ensuite consommés par le téléphone dans les messages Bluetooth transmis aux personnes à proximité.
Ces identifiants ont une durée de vie de 15 minutes et sont perpétuellement renouvelés, ce qui garantit aucun traçage possible des utilisateurs de l'application.
Cette architecture est différente de l'architecture retenue par Google et Apple qui se base sur une architecture distribuée où chaque téléphone stocke et gère plus d'informations.
L'avantage du modèle américain est la résilience et les coûts d'hébergement, cependant son inconvénient est que la donnée du système n'est pas centralisée sur des serveurs sécurisés.
L'avantage du modèle français est dans la sécurité de la donnée, son seul inconvénient concerne le coût d'hébergement de la solution.
Quel protocole de communication est utilisé par l'application ?
Le protocole au nom francophone de ROBERT a été conçu et implémenté pour répondre au besoin du projet StopCovid. Pourquoi ROBERT ? Parce que "ROBust and privacy-presERving proximity Tracing" tout simplement !
Ce protocole a été développé par l'Inria (France) et la Fraunhofer AISEC (Allemagne). Ce protocole est une contribution à l’initiative PEPP-PT.
Ce protocole est documenté et disponible sur l'espace Gitlab de l'Inria et est mis à disposition sous licence MPL 2.0.
Où trouver le code source de l'application StopCovid ?
Le code source de l'application StopCovid est disponible sur le GitLab de l'Inria.
On y retrouve le code source des différents composants logiciels de l'application StopCovid, à savoir :
- L'application Mobile iOS StopCovid
- L'application Mobile Android StopCovid
- Le SDK BLE iOS StopCovid
- Le SDK BLE Android StopCovid
- Le code client de l'API du serveur ROBERT
- Le SDK du protocole ROBERT pour iOS
- Le SDK du protocole ROBERT pour Android
- Le code source du serveur ROBERT
- Le serveur de gestion de tokens pour la notification StopCovid.
- Le serveur de soumission StopCovid
L'application Mobile Android et la partie serveur ont été développées en langage Java et l'application mobile iOS a quant à elle été développée en Swift.
Quelle est l'architecture de l'application ?
Le projet sur GitLab dispose de 3 schémas décrivant l'architecture de l'application :
Le schéma d'architecture logique
Le détail des composants logiciels
Qui a développé et conçu l'application StopCovid ?
StopCovid a été développée bénévolement par plus de 130 chercheurs et contributeurs réunis au sein d'une équipe-projet pilotée par l'Inria.
Cette équipe a été accompagnée par une trentaine d'entreprises et organismes d'Etat.
L'application StopCovid est-elle sécurisée ?
Un audit de sécurité dit "Bug Bounty" a été lancé sur la plateforme YesWeHack afin de permettre de récompenser tout Hacker trouvant une faille de sécurité sur la plateforme.
Quiconque qui possède des compétences avancées en informatique peut donc analyser le code de l'application et chercher des failles de sécurité.
Les récompenses vont de 0 à 2000€ pour toute personne qui trouvera une faille de sécurité avérée. Exceptionnellement ces récompenses sont prises en charge par YesWeHack.
Ce "Bug Bounty" devrait permettre de garantir un haut niveau de sécurité de l'application StopCovid en plus de l'analyse réalisée par l'ANSI sur le projet
L'ANSI a aussi audité l'application et réalisé ses préconisations de sécurité le rapport d'audit est disponible sur le GitLab de l'INRIA.
Comment télécharger l'application StopCovid ?
L'application mobile StopCovid est disponible gratuitement sur :
Où se trouvent les manuels d'utilisation ?
Deux manuels d'utilisation ont été mis à disposition par le gouvernement :
- Mode d'emploi détaillé StopCovid (PDF - 5,8Mo)
- Guide pour accompagner les aidants à la prise en main de l'application (PDF - 539Ko)
