SwissCovid: je télécharge, oui ou non? Huit questions et une réponse

L’app de traçage des contacts, destinée à lutter contre le virus, est lancée aujourd’hui.

Voici l’essentiel à savoir avant de télécharger sur son smartphone une app qui a déjà suscité plusieurs critiques

Jour J pour SwissCovid. Dès aujourd’hui, l’application suisse de traçage des contacts est officiellement ouverte à tous, comme l’a annoncé mercredi le Conseil fédéral. Chacun peut télécharger sur son téléphone cette app, conçue notamment par l’EPFL, qui a pour but de casser les chaînes de transmission du virus. Son objectif est d’alerter les personnes qui ont été en contact rapproché avec un porteur du virus les jours précédents, afin qu’elles s’isolent et se fassent tester gratuitement.

Une mission claire, un développement réalisé en Suisse, une loi spécifique votée par le parlement. À priori, tous les ingrédients sont réunis pour que SwissCovid soit un succès et parvienne à aider à l’élimination des foyers du virus – en complétant le traçage des contacts effectué de manière classique. Mais depuis plusieurs semaines, des voix critiques se sont élevées contre cette app, jugée par certains peu sûre et peu utile. Alors, faut-il télécharger et activer SwissCovid? Voici l’essentiel à savoir.

D’abord, comment fonctionne cette app?

Imagine que tu as téléchargé et activé SwissCovid. Tu prends le bus, le train, tu te rends au bureau, tu vas manger à midi sur des terrasses: autant d’occasions de côtoyer des gens à moins de 2 mètres de distance. Des gens qui, eux aussi, ont activé SwissCovid. Un jour, l’une de ces personnes, malade, se fait tester: le résultat est positif. Son médecin lui fournit un code, à inscrire de manière volontaire au sein de l’application. C’est ainsi que tu vas recevoir une alerte sur ton téléphone, indiquant que tu as récemment côtoyé cette personne infectée et qu’il serait bon de contacter, par téléphone, l’Office fédéral de la santé publique (OFSP) pour se mettre en quarantaine, voire se faire tester.

Tu ne connaîtras pas l’identité de la personne qui a émis cette alerte. Mais alors, comment as-tu pu être notifié personnellement? Car les téléphones équipés de l’app s’échangent régulièrement, via la technologie Bluetooth, des identifiants uniques – par exemple JFH49FKEN22JH –, modifiés toutes les quinze minutes. Ces codes, stockés dans les téléphones, sont ensuite utilisés pour alerter individuellement toutes les personnes croisées de manière rapprochée les derniers jours. De manière anonyme.

Tout le monde peut-il télécharger SwissCovid?

Pas vraiment. D’abord, il faut bien sûr posséder un smartphone. Ensuite, il faut savoir télécharger ce programme (gratuit) dans le magasin d’applications. Enfin – et c’est un point important –, il faut que ton téléphone soit relativement récent. Si tu possèdes un iPhone, cela doit être au moins un modèle 6S (lancé fin 2015) ou plus récent, car il doit être capable de faire tourner la version 13.5 du système d’exploitation iOS. Si tu possèdes un téléphone fonctionnant avec le système Android, tu dois pouvoir installer sa version 6. Si tu as des téléphones plus anciens, impossible d’installer SwissCovid: environ 18 à 20% des smartphones actifs en Suisse sont trop vieux et ne peuvent ainsi pas faire tourner cette app.

L’app va-t-elle me localiser?

Jamais. SwissCovid utilise Bluetooth pour repérer d’autres téléphones à proximité immédiate, mais jamais le GPS. Et même si l’app, avec Android, demande d’activer la fonction de localisation, elle n’utilise jamais cette fonction.

Puis-je utiliser l’app de manière anonyme?

Jamais le nom de l’utilisateur ou son numéro ne sont utilisés ou communiqués: ni aux autres utilisateurs de l’application, ni aux autorités, ni à Apple et Google. Il pourrait y avoir des cas extrêmes où l’utilisateur serait capable d’identifier quelle a été la personne détectée positive qui l’a alerté: par exemple si tu n’as été qu’en contact rapproché avec une seule personne les dix derniers jours. C’est possible, mais très rare.

Quel rôle jouent Google, Apple, Microsoft et Amazon?

Un rôle important. Si l’application a bien été développée en Suisse, elle utilise une mise à jour des systèmes pour smartphones iOS (Apple) et Android (Google) pour fonctionner de manière plus efficace, notamment pour que l’utilisation du Bluetooth en continu ne consomme pas trop d’énergie. Apple et Google n’ont pas accès aux données personnelles de l’application. Mais des voix critiques, dont Serge Vaudenay, professeur à l’EPFL, regrettent que le code source de la base logicielle fournie par ces deux géants ne soit pas rendu public. Selon le professeur, cela entre en contradiction avec la loi.

En revanche, le code source de l’app SwissCovid est accessible à tous. Il est hébergé sur la plateforme GitHub, appartenant à Microsoft. Cela n’a rien de surprenant, GitHub étant utilisé par des millions de développeurs.

Quant à Amazon, l’un de ses systèmes est utilisé pour optimiser le téléchargement de la liste des clés chiffrées lorsque les applications en font la requête. Mais les données sont stockées en Suisse, sur des serveurs informatiques de la Confédération.

SwissCovid pourrait-elle être piratée?

En théorie, tout système, aussi sûr soit-il, peut être piraté. La sécurité à 100% n’existe pas. Depuis plusieurs semaines, des experts externes adressent des requêtes et des remarques au Centre national pour la cybersécurité (NCSC), qui travaille sur mandat de l’OFSP. Des améliorations ont été effectuées et au moins trois mises à jour de l’app ont été faites et envoyées aux dizaines de milliers de personnes qui testent déjà, en phase pilote, SwissCovid. Serge Vaudenay estime qu’en raison de la situation exceptionnelle l’ensemble du projet et des tests s’est déroulé avec beaucoup de précipitation. On est loin des standards usuels pour un tel projet, selon lui. En face, la Confédération assure tout mettre en œuvre pour sécuriser au maximum l’app.

Ajoutons que la Suisse a opté pour un système décentralisé: un maximum d’informations demeurent dans le téléphone et ne vont donc pas sur un serveur central. Dans le cas hypothétique d’une attaque externe, il serait donc extrêmement compliqué de retrouver les identités des participants.

Vais-je être forcé à utiliser l’app?

Elle ne sera jamais obligatoire et il sera possible de la désinstaller en tout temps. Si le responsable d’un centre commercial, d’un restaurant ou d’un cinéma exige à l’entrée l’utilisation de l’app, il est susceptible d’être poursuivi en justice. En pratique, il est cependant possible que le cercle familial, l’employeur ou des amis insistent pour que des personnes utilisent SwissCovid. Il y aura ainsi peut-être une pression sociale.

Alors, est-ce utile et justifié d’utiliser SwissCovid?

Oui. Les bénéfices attendus – pour soi et pour l’ensemble de la société – sont très nettement supérieurs aux risques déjà identifiés: attaques externes, perte d’anonymat, vol de données ou création de faux positifs.

Source: Le Temps