Désactiver la collecte d'informations dans TousAntiCovid
Très utilisée pour les attestations et le pass sanitaire, l'application TousAntiCovid recueille aussi des informations à caractère privé. Pour éviter toute exploitation de données sensibles, désactivez cette collecte automatique.
Téléchargée à plus de 25 millions d'exemplaires à la fin juillet 2021, l'application TousAntiCovid connaît un succès nettement supérieur à celui de StopCovid, le premier outil gouvernemental de suivi de contacts destiné à enrayer l'épidémie de Covid-19 en France qui l'avait précédée en 2020. Une popularité incontestable, mais surtout due à ses fonctions "annexes", à savoir la conservation des attestations de déplacement pendant les périodes de confinement et la présentation du fameux pass sanitaire avec son QR Code, désormais obligatoire pour accéder à de nombreux lieux publics (voir notre fiche pratique Utiliser le pass sanitaire avec l'application TousAntiCovid). De fait, même si elle sont toujours présentes, les fonctions de suivi de contacts, à travers le Bluetooth et le Cahier de rappel, ne semblent pas constituer le principal motif d'utilisation de l'application.
Quel est le risque de fuite de données avec TousAntiCovid ?
Toutefois, une tâche risque de gâcher le tableau. Trois chercheurs en sécurité viennent de publier en effet une alerte relative à la confidentialité des informations recueillies par TousAntiCovid, qu'ils partagent en ligne dans une analyse minutieuse des risques encourus, preuves à l'appui. Comme ils l'expliquent clairement, l'application s'est enrichie depuis le mois de juin de diverses fonctions, et en particulier d'une collecte d'informations d'utilisation destinées en principe à des analyses statistiques, s'appuyant notamment sur un journal d'événements très détaillé, qui enregistre la plupart des actions effectuées par l'utilisateur, avec un horodatage précis.
Déplorant tout publication officielle sur l'usage réel des données ainsi récoltées, les chercheurs soulignent qu'elles posent un grave problème de sécurité en permettant de recouper des informations à caractère privé censées être cloisonnées grâce aux deux protocoles utilisés par l'application – Robert, pour le traçage de contacts via Bluetooth, et Cléa, pour le traçage de contacts par QR-codes dans les lieux publics. Selon leurs travaux et leur démonstration, il serait possible de mettre en correspondance différentes sources de données qui devraient être indépendantes, d'identifier des utilisateurs et même de récupérer des informations sur la vie privée de certains utilisateurs (test positif, statut vaccinal, relations sociales…). On serait ainsi bien loin de l'anonymat promis. D'autant que ce système de collecte est activé par défaut, le consentement de l'utilisateur n'étant pas demandé, et que la politique de confidentialité de l'application n'indique pas la nature réelle du traitement des données récoltées. Leur verdict est sans appel : pour ces chercheurs, "la collecte de statistiques contredit le principe de minimisation des données et met en danger les propriétés de sécurité et de protection de la vie privée".
Oubli, négligence; erreur technique : peu importe. Toujours est-il que cette possibilité de récupérer et de croiser des données confidentielles apporte de l'eau au moulin de tous ceux qui craignent d'être fichés et pistés. Cette exploitation potentielle d'informations risque surtout de freiner l'utilisation de TousAntiCovid et, par là-même, de nuire à la lutte contre la pandémie de Covid-19.
Rien ne dit que ces données soient effectivement exploitées. Mais pour éviter toute fuite d'informations à caractère personnel, mieux vaut ajuster quelques réglages dans l'application TousAntiCovid, en attendant que le Gouvernement corrige le tir dans une prochaine version – l'application étant mise à jour à un rythme très soutenu, au point parfois de semer la confusion chez les utilisateurs réguliers…
Comment éviter la collecte d'infos personnelles via TousAntiCovid ?
Plusieurs actions sont possibles, selon votre utilisation de l'application et votre degré de méfiance.
- Ouvrez l'application TousAntiCovid sur votre mobile.
- Descendez en bas de l'écran d'accueil et appuyez sur Paramètres.
- Faites encore défiler l'écran vers le bas et, à la section Statistiques et mesure d'audience, appuyez sur l'interrupteur activé par défaut pour désactiver la collecte automatique d'informations.
- Si vous ne souhaitez, remontez à la section précédente, Mes données sur le serveur, et appuyez sur le bouton Effacer sur le serveur pour supprimer les pseudo-identifiants échangés avec d'autres mobiles et stockés sur le serveur de 'application.
Enfin, pour être certain de ne pas être pisté, désactivez le Bluetooth, la géolocalisation et même les données sur votre mobile, quand vous n'en avez pas impérativement besoin.