TousAntiCovid et vie privée : un réglage dans l’app inquiète
Espérons l’arrivée prochaine d’un correctif.
TousAntiCovid est disponible depuis plusieurs mois maintenant sur mobile. Et si au départ, elle ne servait qu’à communiquer en Bluetooth avec d’autres appareils équipés de l’app, pour alerter les utilisateurs en cas de cas contact, aujourd’hui, son utilité s’est élargie. Elle permet en effet depuis quelques semaines d’enregistrer le pass sanitaire et de le montrer en cas de besoin de manière très simple, notamment via un widget dédié. Il existe cependant d’autres manières pour disposer du pass sanitaire sur son iPhone, sans l’app TousAntiCovid donc, comme décrit ici.
Le gouvernement français avait fait le choix de ne pas se baser sur les API de Google et Apple pour la fonctionnalité de détection de cas contact via Blueototh. L’une des raisons de ce refus était de garantir une certaine confidentialité des données utilisateurs, en évitant notamment la fuite de celle-ci sur des serveurs des géants du web.
Sauf qu’un récent rapport de chercheurs a mis en exergue que l’app TousAntiCovid n’est pas parfaite en matière de traitement des données privées.
Le recueil de statistiques mis en cause
Johan D., Nils L. et Gaëtan Lenrent on en effet signé un papier complet expliquant les failles de confidentialité présentes dans TousAntiCovid. Tout est en réalité liée à une collecte de statistiques faite automatiquement et présentée comme nécessaire à l’amélioration des performances de l’application.
Cette collecte est optionnelle, mais activée par défaut dans l’app. Elle permet de récolter de nombreuses informations d’utilisation de l’app, heure d’ouverture, modèle du téléphone, nombre d’attestations enregistrées, nombre de lieux où un code QR a été scanné, nombre de messages Bluetooth reçus d’autres appareils à proximité, mais aussi code postal (si indiqué), entre autres. En outre un journal d’évènement est également enregistré, notant à la milliseconde près tout ce que l’utilisateur fait dans l’app, affichage des attestations, affichage lors d’un lieu visité, etc.
D’autre part, si le serveur ne peut connaitre notre identité (nom, prénom et date de naissance), il connait notre adresse IP.
Pire encore, en cas de scan d’un code 2D-DOC obtenu lors d’une vaccination au début de la campagne vaccinale il y a quelques mois (désormais, un code QR est fourni après vaccination) pour une conversion vers code QR, les informations correspondantes d’identité sont gardées en mémoire par l’app. Ainsi, il n’est pas impossible que ces données puissent être recroisées avec l’identifiant chiffré associé à la machine lors de la collecte de statistiques.
Comment désactiver l’option en question ?
Si le rapport en source montre qu’il y a tout de même peu de risques de voir son identité réelle être affiliée avec les données de l’app – la collecte de données ne gardant les statistiques que pour une durée de 3 mois – il met surtout en avant l’existence de failles. Ainsi, la politique de confidentialité annoncée n’est pas respectée dans la pratique.
Quoiqu’il en soit, et jusqu’à ce que de nouvelles mesures viennent corriger le tir, vous pouvez, si vous le voulez, désactiver l’option de collecte de statistiques, voici comment faire :
- Dans l’app TousAntiCovid, descendre tout en bas de l’écran principal
- Appuyer sur “Paramètres”
- Desendre jusqu’à trouver le paragraphe “Statistiques et mesures d’audience”
- Désactiver l’option
- Terminer par appuyer sur “Supprimer mes données” avant de confirmer
Retrouvez l’app TousAntiCovid ici sur l’App Store. Ne manquez pas non plus :
- Comment obtenir le pass sanitaire sur iPhone (code QR, Raccourcis, Wallet) ?
- Découvrez TousAntiCovid Verif, l’app de vérification du pass sanitaire
ymineraud
25 août 2021 à 11 h 37 min
Et si le meilleur moyen de protéger ses données était de ne pas permettre leur collecte du tout, par exemple en n’installant pas ce bricolage très approximatif mais bien promu ?
Cette appli est tout à fait remarquable !
😂
Madkhap
25 août 2021 à 12 h 53 min
C’est fait 😄
Désactiver et tous effacés 👍🏼
Darth Philou
25 août 2021 à 16 h 40 min
Et si le meilleur moyen de se protéger était de se déconnecter totalement d’Internet ?
ymineraud
25 août 2021 à 17 h 13 min
Certainement, mais il y a des applis plutôt utiles, alors que celle là m’épate toujours. Je précise qu’elle est installée sur mon iPhone, bien entendu, et que j’en parle en toute connaissance de cause.
C’est un travail absolument remarquable, que je tiens vraiment à encourager.
Darth Philou
25 août 2021 à 16 h 42 min
Pourquoi s’inquiéter de cette app alors que Google, Facebook et consorts en savent mille fois plus sur nous, même quand on n’est pas utilisateur de leur service ?
Bonobo (posté avec l'app i-nfo.fr V2)
25 août 2021 à 16 h 51 min
@Darth_Philou Merci d’avoir posté un commentaire censé, ca fait du bien ; c’est tellement rare sur ce forum.
fdm
25 août 2021 à 21 h 22 min
Une question concernant la désactivation :
– “Désactivé” concerne l’état actuelle, ou le curseur doit être actif pour que la fonction désactivée soit active ?
merci pour vos avis
FDM
Pierre Otin
26 août 2021 à 9 h 13 min
@fdm : pour que le relevé de statistiques soit désactivé, il faut que l’interrupteur soit sur désactivé (et donc grisé) et non sur activé (bleu)
FDM
26 août 2021 à 20 h 47 min
merci