Jour J pour SwissCovid. Dès jeudi, l’application suisse de traçage des contacts est officiellement ouverte à tous, comme l’a annoncé mercredi le Conseil fédéral. Chacun peut télécharger sur son téléphone cette app, conçue notamment par l’EPFL, qui a pour but de casser les chaînes de transmission du virus. Son objectif est d’alerter les personnes qui ont été en contact rapproché avec un porteur du virus les jours précédents, afin qu’elles s’isolent et se fassent tester gratuitement.

Une mission claire, un développement réalisé en Suisse, une loi spécifique votée par le parlement. A priori, tous les ingrédients sont réunis pour que SwissCovid soit un succès et parvienne à aider à l’élimination des foyers du virus – en complétant le traçage des contacts effectué de manière classique. Mais depuis plusieurs semaines, des voix critiques se sont élevées contre cette app, jugée par certains peu sûre et peu utile. Alors, faut-il télécharger et activer SwissCovid? Voici l’essentiel à savoir.

Notre éditorial: SwissCovid, un devoir d’excellence absolue

■ D’abord, comment fonctionne cette app?

Imaginez que vous avez téléchargé et activé SwissCovid. Vous prenez le bus, le train, vous vous rendez au bureau, vous allez manger à midi sur des terrasses: autant d’occasions de côtoyer des gens à moins de 2 mètres de distance. Des gens qui, eux aussi, ont activé SwissCovid. Un jour, l’une de ces personnes, malade, se fait tester: le résultat est positif. Son médecin lui fournit un code, à inscrire de manière volontaire au sein de l’application. C’est ainsi que vous allez recevoir une alerte sur votre téléphone, indiquant que vous avez récemment côtoyé cette personne infectée et qu’il serait bon de contacter, par téléphone, l’Office fédéral de la santé publique (OFSP) pour se mettre en quarantaine, voire se faire tester.

Vous ne connaîtrez pas l’identité de la personne qui a émis cette alerte. Mais alors, comment avez-vous pu être notifié personnellement? Car les téléphones équipés de l’app s’échangent régulièrement, via la technologie Bluetooth, des identifiants uniques – par exemple JFH49FKEN22JH –, modifiés toutes les quinze minutes. Ces codes, stockés dans les téléphones, sont ensuite utilisés pour alerter individuellement toutes les personnes croisées de manière rapprochée les derniers jours. De manière anonyme.

Lire aussi: Plusieurs applications de traçage jugées dangereuses

■ Tout le monde peut-il télécharger SwissCovid?

Pas vraiment. D’abord, il faut bien sûr posséder un smartphone. Ensuite, il faut savoir télécharger ce programme (gratuit) dans le magasin d’applications. Enfin – et c’est un point important –, il faut que votre téléphone soit relativement récent. Si vous possédez un iPhone, cela doit être au moins un modèle 6S (lancé fin 2015) ou plus récent, car il doit être capable de faire tourner la version 13.5 du système d’exploitation iOS. Si vous possédez un téléphone fonctionnant avec le système Android, vous devez pouvoir installer sa version 6. Si vous avez des téléphones plus anciens, impossible d’installer SwissCovid: environ 18 à 20% des smartphones actifs en Suisse sont trop vieux et ne peuvent ainsi pas faire tourner cette app.

■ L’app va-t-elle me localiser?

Jamais. SwissCovid utilise Bluetooth pour repérer d’autres téléphones à proximité immédiate, mais jamais le GPS. Et même si l’app, avec Android, demande d’activer la fonction de localisation, elle n’utilise jamais cette fonction.

Un contre-exemple: A Singapour, le traçage par app dégénère en surveillance de masse

■ Puis-je utiliser l’app de manière anonyme?

Jamais le nom de l’utilisateur ou son numéro ne sont utilisés ou communiqués: ni aux autres utilisateurs de l’application, ni aux autorités, ni à Apple et Google. Il pourrait y avoir des cas extrêmes où l’utilisateur serait capable d’identifier quelle a été la personne détectée positive qui l’a alerté: par exemple si vous n’avez été qu’en contact rapproché avec une seule personne les dix derniers jours. C’est possible, mais très rare.

■ Quel rôle jouent Google, Apple, Microsoft et Amazon?

Un rôle important. Si l’application a bien été développée en Suisse, elle utilise une mise à jour des systèmes pour smartphones iOS (Apple) et Android (Google) pour fonctionner de manière plus efficace, notamment pour que l’utilisation du Bluetooth en continu ne consomme pas trop d’énergie. Apple et Google n’ont pas accès aux données personnelles de l’application. Mais des voix critiques, dont Serge Vaudenay, professeur à l’EPFL, regrettent que le code source de la base logicielle fournie par ces deux géants ne soit pas rendu public. Selon le professeur, cela entre en contradiction avec la loi.

En revanche, le code source de l’app SwissCovid est accessible à tous. Il est hébergé sur la plateforme GitHub, appartenant à Microsoft. Cela n’a rien de surprenant, GitHub étant utilisé par des millions de développeurs.

Quant à Amazon, l’un de ses systèmes est utilisé pour optimiser le téléchargement de la liste des clés chiffrées lorsque les applications en font la requête. Mais les données sont stockées en Suisse, sur des serveurs informatiques de la Confédération.

Une prise de position (et des avis de nos lecteurs): Prudence avec les applications de traçage, avertit le CICR

■ SwissCovid pourrait-elle être piratée?

En théorie, tout système, aussi sûr soit-il, peut être piraté. La sécurité à 100% n’existe pas. Depuis plusieurs semaines, des experts externes adressent des requêtes et des remarques au Centre national pour la cybersécurité (NCSC), qui travaille sur mandat de l’OFSP. Des améliorations ont été effectuées et au moins trois mises à jour de l’app ont été faites et envoyées aux dizaines de milliers de personnes qui testent déjà, en phase pilote, SwissCovid. Serge Vaudenay estime qu’en raison de la situation exceptionnelle l’ensemble du projet et des tests s’est déroulé avec beaucoup de précipitation. On est loin des standards usuels pour un tel projet, selon lui. En face, la Confédération assure tout mettre en œuvre pour sécuriser au maximum l’app.

Ajoutons que la Suisse a opté pour un système décentralisé: un maximum d’informations demeurent dans le téléphone et ne vont donc pas sur un serveur central. Dans le cas hypothétique d’une attaque externe, il serait donc extrêmement compliqué de retrouver les identités des participants.

Voir les arguments durant la conférence de presse du Conseil fédéral, mercredi 24 juin:

■ Vais-je être forcé à utiliser l’app?

Elle ne sera jamais obligatoire et il sera possible de la désinstaller en tout temps. Si le responsable d’un centre commercial, d’un restaurant ou d’un cinéma exige à l’entrée l’utilisation de l’app, il est susceptible d’être poursuivi en justice. En pratique, il est cependant possible que le cercle familial, l’employeur ou des amis insistent pour que des personnes utilisent SwissCovid. Il y aura ainsi peut-être une pression sociale.

■ Alors, est-ce utile et justifié d’utiliser SwissCovid?

Oui. Les bénéfices attendus – pour soi et pour l’ensemble de la société – sont très nettement supérieurs aux risques déjà identifiés: attaques externes, perte d’anonymat, vol de données ou création de faux positifs.


Notre test:

Retrouvez  tous nos articles sur la crise sanitaire