ENTREPRISES & STRATÉGIES — Technologies

Cinq questions

Pourquoi l’app de traçage n’est qu’un gadget inutile



Même téléchargée près de 150 millions de fois en Inde, l’application de traçage locale ne touche que 11,5% de la population, tout au plus. (Photo: Shutterstock)

Même téléchargée près de 150 millions de fois en Inde, l’application de traçage locale ne touche que 11,5% de la population, tout au plus. (Photo: Shutterstock)

La France a commencé à déployer son app de traçage, StopCovid, en invitant 20 hackers éthiques, puis 15.000 autres, à en débusquer les failles. Cinq questions pour comprendre les limites de cette technologie.

À quoi sert une application de traçage? Une application de traçage, pour smartphone, permet d’établir que X a été en contact avec Y pendant un temps et à une distance donnés. Si jamais X a le coronavirus et le déclare dans l’application, Y sera informé qu’il l’a aussi potentiellement et qu’il devrait aller consulter un médecin et se faire dépister. En théorie, elle sous-entend que 100% de la population ait un smartphone et que 100% de la population la télécharge. Elle ne sera qu’un gadget au milieu d’une série d’instruments de lutte contre la propagation de la pandémie, comme les gestes barrières, les masques et les tests massifs.

Quelle est la probabilité qu’une population résidente (et frontalière, s’ils sont 200.000 comme au Luxembourg) télécharge une application de traçage volontairement? On n’en sait rien, mais même en Inde, où elle est «massivement» téléchargée, les quelque 150 millions d’Indiens qui l’ont fait ne représentent jamais que 11,5% de la population. La probabilité maximum de traçage de contacts se monte donc alors à 1,33%! En prime, depuis la disparition du projet européen, auquel l’Allemagne a tourné le dos après avoir donné des signes d’intérêt, la question des frontaliers se complique.

Faut-il la rendre obligatoire? C’est une question légitime, mais tout État qui la rendrait obligatoire serait rangé aux côtés de la Chine et des quelques pays qui l’ont fait au monde, aussitôt accusé de surveillance de masse. Et sans adhésion de la population, d’aucuns pourraient être tentés de désactiver le Bluetooth.

Quelle est la probabilité que l’application fonctionne réellement? On n’en sait rien non plus. Le Bluetooth (Low Energy, dans le cas de la France) n’est pas une technologie construite pour mesurer des distances et peut donc créer de faux positifs entre 1 et 4 mètres. La France a retenu un scénario de 20 minutes à 1 mètre. Quelqu’un qui restera à 4 mètres pendant 20 minutes pourra être considéré comme ayant été en contact avec une personne positive. Elle utilise les fréquences de 2,4GHz, comme de nombreux appareils, ce qui multiplie les risques d’interférences… quand elle fonctionne en intérieur.

Quelle est la probabilité qu’elle fonctionne au Luxembourg? Prenons par exemple, juste pour faciliter les calculs, 600.000 résidents. Le tableau ci-dessous montre la probabilité de retrouver deux contacts en fonction du nombre de personnes qui ont téléchargé l’application. Ce que disent ces chiffres, c’est que, si les trois quarts de la population l’ont téléchargée, les chances sont à peine supérieures à 50% (56,25%). Une chance sur deux, disent des experts, ça peut faire croire à un utilisateur qu’il est en sécurité, alors qu’il n’a qu’une chance sur deux d’être prévenu d’avoir croisé un porteur du virus.

Le trait rouge indique que, si la moitié de la population résidente la téléchargeait, l’application ne pourrait retrouver que 25% des contacts potentiels.

Et dans cette hypothèse, on imagine que 100% de la population résidente est équipée d’un smartphone.

Du Bounty pour rassurer

À l’occasion du lancement de son application, la France organise une opération de «Bounty», de récompense de ceux qui trouveront une faille, histoire de donner confiance aux utilisateurs. Elle est organisée par YesWeHack, le leader français et européen , avec lequel travaillent aussi des sociétés luxembourgeoises, comme Luxair. Avant le lancement, YesWeHack a fait travailler 20 hackers éthiques.

À la différence du «grey hacker» impliqué dans le vol de données du ministère luxembourgeois de la Justice, les «ethical hackers», s’ils découvrent quelque chose de grave dans le code, la programmation de l’application, doivent prévenir les autorités qui gèrent l’application, leur laisser le temps de réparer le problème avant de réessayer l’application. Ce n’est qu’ensuite qu’ils dévoileront au grand public les problèmes de l’application, avec tout ce que cela signifie en termes de réputation et de chance de convaincre le grand public.

Après cette première phase, YesWeHack a décidé de mettre ses 15.000 hackers sur les rangs de ce concours hors norme, dont l’unique but est de rassurer.