Destinée à lutter contre l’épidémie, l’application Aarogya Setu (téléchargée par un Indien sur dix) est attaquée en raison de sa collecte de données et de sa gestion opaque. Le gouvernement a fait des concessions, mais des inquiétudes persistent.

Bangalore (Inde), correspondance.– Plus fort que Pokémon Go : avec 50 millions de téléchargements en 13 jours, Aarogya Setu (« Pont vers la santé » en hindi), l’application de traçage Covid-19 dévoilée le 2 avril par l’Inde, est entrée dans l’histoire. Elle vise à identifier et à localiser les malades, les personnes à risque, mais aussi les citoyens ayant pu être en contact avec eux.

Depuis le 29 avril, elle est obligatoire pour les employés des secteurs publics et privés. Les statistiques ont explosé, Aarogya Setu passant la barre des 100 millions de téléchargements, soit près d’un Indien sur dix. Sur les réseaux sociaux, le gouvernement s’en est félicité. « Incroyable ! L’Inde est le chef de file mondial de la technologie pour lutter contre le Covid-19. »

Loin de partager cet enthousiasme technophile, de nombreuses ONG s’insurgent contre un outil de surveillance massive. Les critiques adressées à Aarogya Setu sont légion. Non seulement elle est obligatoire, mais elle collecte trop d’informations sur les utilisateurs (identité, profession, déplacements sur les 30 derniers jours), notamment via GPS.

De plus, elle communique ses données avec un serveur central sans aucune transparence sur leur utilisation. « L’Inde ne dispose pas de l’équivalent français de la Commission nationale de l’informatique et des libertés, explique Apar Gupta, de l’Internet Freedom Foundation. Cette collecte se fait donc dans l’opacité la plus totale. » 

L’application Aarogya Setu. © Indranil Aditya/NurPhoto /AFP

Abhishek Singh, directeur de Mygov, département numérique du gouvernement indien, juge infondées ces inquiétudes : « Tout est mis en œuvre pour protéger la vie privée. Un identifiant anonyme est assigné à chaque utilisateur et jamais ses informations personnelles ne sont dévoilées. C’est seulement si l’application détecte que vous risquez d’être infecté que des informations remontent au serveur central et aux autorités médicales, pour décider des mesures sanitaires à mettre en œuvre. » Il met aussi en avant les résultats déjà obtenus. « Sur les personnes à risque identifiées via l’application, 24 % se sont révélées positives au Covid-19. Comparez cela à la moyenne de 4 % de positifs sur les 2 millions de tests effectués en Inde : c’est la preuve que l’analyse de données aide à contrôler la pandémie. » 

Mais l’absence de cadre légal pour l’utilisation des données ne permet pas de rassurer les défenseurs de la vie privée. Le 2 mai, avec 44 autres organisations, l’Internet Freedom Foundation a déposé une pétition auprès de la Haute Cour de l’État du Kerala. Le texte estime qu’il est illégitime de forcer un citoyen à télécharger l’application et que les données récoltées le sont sans son consentement et sans garantie de leur bon usage. « En réalité, Aarogya Setu collecte plus d’informations que l’utilisateur ne le pense, explique le hacker français Baptiste Robert, alias Elliot Alderson. Au moment de son inscription et à chaque fois qu’il consulte l’appli, ses données et sa localisation GPS sont transmises. » La différence est majeure avec les applications basées sur le Bluetooth, telles que StopCovid en France, qui permettent de savoir « si » l’on a croisé une personne à risque mais pas « où ». Le 5 mai, Baptiste Robert a révélé des failles dans l’application en identifiant des personnes à risque au sein du cabinet du premier ministre Narendra Modi.

Est-ce le signe que ces critiques ont porté ? Depuis deux semaines, le gouvernement a fait des concessions. L’obligation de télécharger a été supprimée le 18 mai. L’application est désormais seulement « conseillée » pour les employés. Pour Abhishek Singh, il ne s’agit pas d’un aveu d’échec mais d’une preuve de succès. « Compte tenu du fort taux d’adoption d’Aarogya Setu, l’obligation créait une polémique inutile », explique le directeur de Mygov. Le 27 mai, le code source de l’application a été rendu public. Des récompenses financières ont même été annoncées pour ceux qui trouveront des failles. Un « bug bounty » dans le jargon hacker et « un signe de bonne volonté de la part du gouvernement » pour Baptiste Robert.

Directeur du Software Freedom Law Center à Delhi, Prasanth Sugathan reste sur sa faim. « En l’absence d’accès au code source du serveur central, l’application seule ne nous sert pas à grand-chose », explique cet ingénieur juriste. Comment les données sont-elles exploitées ? Quels organes gouvernementaux ou entreprises y ont accès ? Les réponses à ces questions se trouvent dans la boîte noire du serveur.

« Des algorithmes sont utilisés pour identifier les zones à risque », explique Abhishek Singh. Ministre des nouvelles technologies, Ravi Shankar Prasad affirme que le centre de développement de l’informatique avancée de Pune, une ville près de Bombay, utilise les données et l’intelligence artificielle pour « trouver des solutions face au Covid-19 ». Un organisme sans adresse mail et dont le téléphone ne répond pas. De quoi imaginer les scénarios les plus dystopiques, alors que plusieurs États indiens prévoient d’utiliser des drones pour surveiller les foyers infectieux. « C’est une des applications les plus téléchargées au monde et nous n’avons aucune idée de ce qui en est fait », résume Prasanth Sugathan.

Désormais théoriquement facultatif, le téléchargement d’Aarogya Setu reste cependant fortement encouragé sur le terrain. Alors que le trafic aérien reprend, l’application est nécessaire pour embarquer. « On peut remplir un formulaire à la place, mais celui-ci est long. Beaucoup seront donc tentés de la télécharger », prédit Prasanth Sugathan. Il en va de même pour accéder à certains bureaux, hôpitaux, trains, centres commerciaux, ainsi qu’au métro de Bangalore, la capitale technologique du pays.

Le gouvernement envisage aussi d’obliger les fabricants à installer l’application par défaut sur leurs nouveaux téléphones, ce à quoi la marque chinoise Xiaomi a déjà consenti. De quoi faire gonfler à coup sûr les téléchargements. Du « volontariat contraint » pour Baptiste Robert, qui prédispose à des dispositifs de surveillance dangereux. « On habitue insidieusement les citoyens à lâcher du lest sur leur vie privée au motif du virus. Le problème, c’est qu’ils trouveront demain normal que le gouvernement ait accès à leur GPS en permanence. »

« Alors que les mesures de confinement sont progressivement levées, il y a plus d’interactions et Aarogya Setu va devenir un outil puissant », se réjouit pour sa part Abhishek Singh. Pourtant, l’efficacité des applications de traçage ne fait pas consensus. En Islande, Rakning C-19 a été installée par 40 % de la population, un record mondial. « Cela n’a pas vraiment changé la donne », confesse Gestur Pálmason, responsable de la gestion de la pandémie. Il est difficile, de toute évidence, de comparer la petit île du nord de l’Europe au géant de l’Asie du Sud. Mais justement, « seuls 30 % des Indiens ont un smartphone », souligne Apar Gupta, de l’Internet Freedom Foundation. En privé, beaucoup confient d’ailleurs avoir effacé l’application, inquiets pour leurs données, ou tout simplement la batterie de leur smartphone. « Or, pour fonctionner efficacement, les applis ont besoin d’une proportion d’utilisateurs importante, représentative de la population », ajoute-t-il.

Le 1^er juin, un groupe de hackers a affirmé que les données de 7 millions d’Indiens ont été dérobées via l’application bancaire et de paiement gouvernementale BHIM, ce que les autorités démentent. Toujours est-il que le gisement de données d’Aarogya Setu doit lui aussi être protégé. Depuis le 22 mai, le Massachusetts Institute of Technology a rétrogradé sa note de sécurité à 1 sur 5. « C’est une véritable mine d’or qui va inévitablement attirer des appétits, juge le hacker Baptiste Robert. D’où l’importance de rendre son fonctionnement transparent pour maximiser la sécurité. »

À terme, le gouvernement a annoncé l’ouverture du code source du serveur central. Pour Prasanth Sugathan, ce serait une vraie victoire pour la deuxième population mondiale : « En Inde, il existe une importante communauté de développeurs informatiques. Si l’on veut qu’Aarogya Setu soit utile et sûre, il faut travailler main dans la main avec eux. »