Application Coronalert : un bon score en termes de respect de la vie privée et de convivialité
Testée et approuvée : Coronalert, l'application belge de traçage du coronavirus visant à endiguer sa propagation, respecte la vie privée et s'avère plutôt facile à utiliser. Pour nous, il n’y a aucune raison de ne pas l’installer. Nous répondons ici aux principales questions que vous pourriez vous poser.
Ce que vous devez savoir à propos de Coronalert
L’objectif de l’application belge Coronalert est de contrer la propagation du virus en accélérant la recherche de la source et des contacts. Ainsi, une personne qui a été en contact étroit avec une autre testée positive peut être avertie plus rapidement (pour autant que les deux personnes utilisent l’application).
L'application Coronalert trace les personnes avec lesquelles vous avez été en contact, même sans les connaître (par exemple lors d'un voyage en train).
L’application offre aussi une solution aux personnes qui hésiteraient à confier leurs contacts à un(e) téléphoniste, car les contacts sont ici cartographiés de manière entièrement automatique et anonyme. L’application peut également fonctionner plus rapidement que la recherche de contacts par téléphone.
L'application crée constamment des codes anonymes et aléatoires. Ces codes sont échangés avec les autres smartphones à proximité utilisant eux aussi l’appli. L’échange se fait via Bluetooth. Une fois l’application installée, les utilisateurs doivent donc activer le Bluetooth dans les paramètres de leur smartphone.
Votre smartphone conserve tous les codes qu’il a lui-même envoyés, ainsi que les codes des personnes avec lesquelles vous avez été en contact étroit. Les codes provenant d’autres smartphones sont conservés 14 jours maximum sur votre appareil. A chaque échange de codes, l’appli enregistre également la distance entre deux utilisateurs de Coronalert à ce moment-là, ainsi que la durée du contact.
Plusieurs scénarios sont possibles :
- Votre test de coronavirus est positif. Vous pouvez le signaler dans l’application. Vos propres codes sont alors envoyés à un serveur central géré en Belgique par Sciensano. Les applis des autres smartphones peuvent interroger ce serveur et ainsi comparer les codes collectés aux codes présents sur le serveur. En cas de concordance, et si des personnes se trouvaient à moins d'1,5 mètre de vous pendant 15 minutes minimum, une notification est envoyée sur l’application, invitant à respecter une quarantaine de 10 jours et, en cas de symptômes de Covid-19, à passer un test.
- Vous recevez une notification « risque élevé » , avec écran rouge dans l'application. Cela signifie que votre appli a trouvé des codes sur le serveur central qui étaient également conservés sur votre appareil, et que vous avez dès lors été en contact étroit avec une personne contaminée par le coronavirus. L'application vérifie au moins une fois par jour pour savoir s’il y a une concordance entre les codes conservés et les codes téléchargés sur le serveur (plus précisément, 4 fois/jour pour iOS et 1 fois/jour pour Android à l'heure actuelle). La notification permet uniquement de voir le jour où le contact a eu lieu (et pas l'heure précise), et non de qui il s’agit, ni l’endroit où vous avez croisé cette personne.
- Si vous n'avez eu aucun contact à risque, vous voyez un écran vert. Même en cas de notification d'exposition avec une personne infectée, l'écran peut rester vert : cela signifie que le contact a duré moins d'un quart d'heure, ou que la distance était supérieure à 1,5 mètre.
Tout se fait de manière automatique. L’application fonctionne intégralement en arrière-plan, vous pouvez donc utiliser votre smartphone normalement. Même si vous fermez l’appli, elle demeure active en arrière-plan (une API spéciale s’en charge). Une fois installée, vous ne devez donc plus vous soucier de vérifier si elle est active.
Cependant, sur certains appareils, l'application ne se « réveille » pas tous les jours. Ce souci d'applis qui « s'endorment » sont particulièrement fréquents avec Android. Google travaille avec les différents fabricants de smartphones Android depuis le mois de juin. Des progrès ont été réalisés, le problème est en partie déjà résolu, mais il reste encore du boulot. Il est donc préférable, surtout pour ces appareils, d'ouvrir l'application au moins une fois par jour. Ne fut-ce, par exemple, que pour consulter les dernières statistiques de Sciensano.
Les deux personnes doivent évidemment d'abord télécharger l’appli dans Google Play ou dans l’App Store et l’installer. Par ailleurs, le Bluetooth et les notifications doivent être activés sur les deux appareils. Lors de l’ouverture de l’appli, vous êtes invité à les activer tous les deux, vous ne devez donc en principe pas le faire de manière proactive.
Elle est assurée. Le respect de la vie privée était un aspect particulièrement important lors du développement de l’application Coronalert. C’est d'ailleurs une des raisons pour lesquelles le développement de cet appli s’est fait attendre aussi longtemps. Personne ne souhaite que des entreprises ou des hackers puissent mettre la main sur des données de santé. Ou que l’application soit contrôlée à des fins autres que la maîtrise du coronavirus.
Les aspects techniques liés à la protection de la vie privée ont fait l’objet de tests complets, et il ressort de notre analyse que l’appli ne présente pas de failles sur le plan du respect de la vie privée. Au moyen des données collectées et envoyées, il n’est pas possible de vous identifier de manière directe ou indirecte. L’application est totalement anonyme. Vous êtes en outre correctement informé.e au sujet de la politique en matière de vie privée.
Oui. Celles-ci sont protégées au mieux. L’échange de données entre l’application et les serveurs est crypté. Et cela vaut également pour les données se trouvant sur votre smartphone et sur les serveurs.
Ces serveurs résistent aux attaques DDoS (Distributed Denial of Service). Cela signifie que les adresses IP qui envoient trop de requêtes vers le serveur sont bloquées. L’appli est protégée contre les attaques dites « man-in-the-middle » (« attaque de l'homme du milieu », une technique de piratage) : impossible pour les hackers d’intercepter le trafic internet entre l’application et le serveur.
Si vous souhaitez passer un test, assurez-vous d'informer votre médecin et/ou le personnel du centre de dépistage que vous utilisez l'application.
Les utilisateurs de l'application qui font faire un test coronavirus doivent relier l'application et le test en utilisant un code. Dans l'application se trouve le bouton « Générez le code ». Les 17 chiffres qui en résultent doivent être introduits dans le dossier du patient par le médecin ou l'employé du centre de dépistage afin que le code puisse être envoyé à Sciensano avec la demande de test.
La pratique montre cependant que ce n'est pas toujours le cas. Le problème est que sans code de test, les utilisateurs de l'application ne peuvent pas récupérer le résultat de leur test par le biais de l'application. Une nouvelle version de l'application (déploiement à partir du 19/11/2020) offre une solution à ce problème. Le code à 17 chiffres sera conservé, mais vous pourrez passer ce code à différents moments, et pas seulement lorsque vous passerez un test. Si Sciensano n'a pas de code de test pour l'application dans la base de données parce que le médecin ne l'a pas fourni, vous recevrez par exemple un SMS plus tard le jour où vous avez passé un test. Ce SMS lance un formulaire web sur votre smartphone où le code de test est automatiquement rempli. En tant qu'utilisateur, il vous suffit de remplir votre numéro d'enregistrement national et d'indiquer quand vos symptômes ont commencé. Cela devrait rendre le processus plus simple.
Coronalert a été développé pour le compte de Sciensano, le Comité interfédéral pour le Testing et le Tracing, ainsi que les entités responsables de la détection des contacts à Bruxelles, en Communauté germanophone, en Flandre et en Wallonie.
Elle est développée par DevSide et Ixor. Les aspects sécurité ont été contrôlés par NVISO.
Les principaux éléments de l’appli sont basés sur l’application allemande Warn, la norme ouverte européenne DP3T (Decentralized Privacy-Preserving Proximity Tracing), ainsi que sur la technologie Exposure Notification d’Apple et de Google.
Il ressort de nos tests que l'application ne pose pas de problèmes en ce qui concerne le respect de la vie privée.
- Coronalert ignore où vous vous trouvez : les données sont échangées par Bluetooth, entre smartphones. Les données de position (GPS) ne sont pas utilisées, et aucune information n’est donc envoyée quant à l’endroit où vous avez éventuellement eu un « contact à haut risque ».
- L’application ignore votre identité et celle des personnes rencontrées : les seules données échangées avec les autres utilisateurs sont des codes anonymes. Pas de noms, de numéros de téléphone, ni de positions. Les codes échangés ne permettent pas d’identifier qui que ce soit.
- Si votre test de coronavirus s'avère positif, les autres utilisateurs de l'appli ne sauront pas que vous pourriez les avoir contaminés : si vous êtes contaminé et que vous décidez de télécharger vos codes sur le serveur central, les utilisateurs avec lesquels vous avez été en contact étroit sauront uniquement qu’ils ont eu un contact à haut risque, sans pour autant savoir avec qui, où, ni quand précisément (seule la date est donnée, sans heure précise).
- Seuls des codes anonymes transitent sur le serveur central : pas de noms de patients, ni de leurs contacts.
- Les codes changent fréquemment : toutes les 10 à 20 minutes environ, de sorte qu’il n’est pas possible de suivre un smartphone sur cette base.
- L’application ne demande pas d’autorisations « suspectes » : elle ne demande pas accès à vos contacts, votre emplacement, vos messages ou vos conversations téléphoniques.
- Lorsque l’application interroge un serveur, le trafic internet transite par un serveur proxy : votre adresse IP à proprement parler est masquée.
- L’application se livre régulièrement à un « dummy upload » (une sorte de faux téléchargement) vers le serveur central, tous les cinq jours, afin d'encore mieux masquer les « vrais » codes envoyés vers le serveur et donc de masquer le statut (infecté ou non) de l'utilisateur de l'application.
Vous recevez en outre suffisamment d’informations dans l’application et pouvez cliquer sur des liens pour de plus amples informations. Pour chaque manipulation ou presque (l’activation du Bluetooth, par exemple), vous devez donner votre autorisation explicite. Le code source de l’application se trouve intégralement en ligne, ce qui démontre une volonté explicite de transparence totale.
L’application peut-elle me localiser ?
Non, aucune donnée de localisation n’est ni conservée, ni envoyée.
Quelles sont les données partagées par l’application, et avec qui ?
Elles sont minimes et, en réalité, limitées à des données anonymisées (pseudo).
- Serveur central : vous pouvez télécharger des codes anonymes sur le serveur central (celui-ci est hébergé par Sciensano).
- Autres utilisateurs Coronalert : si vous envoyez vos codes anonymes au serveur central, ils seront envoyés au moins une fois par jour à toutes les applications.
- Autres banques de données européennes : si vous indiquez dans l’application que vous avez visité un autre pays de l’Union européenne, vos codes anonymes peuvent être envoyés directement ou via le « portail » de l’UE vers des serveurs centraux d’applications de détection de contacts similaires dans ces mêmes pays de l’Union.
- Apple et Google peuvent uniquement voir qui a installé Coronalert. Elles veillent à ce que le système ne partage pas votre identité avec elles.
L’application fonctionne-t-elle sur tous les smartphones ?
Coronalert fonctionne sur la majeure partie d’entre eux.
- Au départ, Coronalert était uniquement disponible pour les propriétaires d'iPhone disposant du système d'exploitation iOS 13.6 (à partir de l'iPhone 6s). Mais l’application sera bientôt disponible (courant janvier, selon les développeurs) pour ceux qui possèdent un iPhone 5s ou un iPhone 6. Seule condition, mettre à jour vers iOS 12.5.
- Du côté des utilisateurs d'Android, l’appli fonctionne à partir d’Android 6 (« Marshmellow »). Il n'était initialement pas possible d'installer l'application sur les appareils récents de Huawei (P40, Y5p et Y6p), mais le problème est désormais réglé, l'application est également disponible dans la Huawei AppGallery.
Comment installer l’application sur mon smartphone ?
L’appli s’installe via l’App Store sur les iPhones, Google Play Store sur les smartphones Android et donc depuis l'AppGallery sur les derniers smartphones de Huawei. Cherchez « Coronalert ».
Lorsque vous ouvrez l’appli, celle-ci vous invite à activer le Bluetooth et les notifications d’exposition. Vous ne devez dès lors pas le faire de manière proactive.
Au cas où vous souhaiteriez quand même le faire, c’est possible via les paramètres de votre appareil.
- Bluetooth
iPhone : swipez vers le haut depuis le bas de l’écran > appuyez sur Bluetooth
Android : swipez vers le bas depuis le haut de l’écran > appuyez sur Bluetooth
- Signalements d’exposition
iPhone : réglages > notifications d’exposition > activer les notifications d’exposition
Android : paramètres > Google > notifications d’exposition au COVID-19 > utiliser les notifications d’exposition