Déjà téléchargée par plus de 500.000 détenteurs de smartphones sous Android, l'application Wiqaytna est depuis son lancement, assimilée par certains à un outil de tracking dont la vraie vocation serait de surveiller ses utilisateurs en les géolocalisant en permanence et de s’approprier les contacts de leurs répertoires. Des rumeurs qui ont d’ailleurs donné lieu, mardi 2 juin, à une mise au point du ministère de la Santé.

Pour en savoir plus, Médias24 a interrogé l’informaticien Omar El Hyani qui a publié sur Facebook une synthèse d’un travail d’audit de cette application réalisé par une équipe d’experts indépendants.

Une copie moins rassurante que l’application singapourienne ?

Selon lui, l’application Wiqaytna qui serait basée sur celle mise en place par le gouvernement de Singapour (TraceTogether) a été adaptée au contexte national mais avec une omission qui le dérange.

En effet, l’ingénieur affirme que si le code source de l’application mobile sur Google et Apple a bien été publié sur Github, il constate et regrette la non-publication du code source du serveur distant (backend) où se passe une partie du traitement des données récoltées.

« En adaptant certains points au contexte marocain comme collecter les numéros de téléphone, traiter les informations sur un Cloud Google et sur un serveur dont le code n'est pas ouvert, il y a des inquiétudes sur la protection de la vie privée et l'anonymat des personnes qui installent l'application.

« Selon moi, pour l’instant, ce n’est pas une application qui protège à 100 % les données personnelles.

Comment les développeurs marocains justifient le système d’alerte par téléphone

« Les développeurs marocains qui ont adapté l'application singapourienne justifient la collecte des numéros de téléphone par le fait que beaucoup de Marocains ne se connectent pas tous les jours à l'internet.

« Toujours selon eux, une partie du traitement sur les serveurs s’explique par le fait que la majorité des téléphones des Marocains sont des appareils d'entrée de gamme qui disposent de très peu de mémoire et d’une capacité de calcul souvent réduite.

« A partir de là, la collecte des numéros de téléphone est nécessaire pour que les équipes du ministère de la Santé puissent prévenir plus facilement les personnes en contact avec des personnes infectées.

Un code source sensible mais très attendu

« Dans une récente tribune à Medias24, j'ai réclamé l'ouverture du code source de toute la solution et par la suite le ministère a répondu favorablement en ouvrant le code source de l'application mobile, mais il manque la deuxième partie côté serveur qui n'a toujours pas été ouverte », regrette El Hyani.

A la question de savoir pour quelle raison devrait-on rendre public ce fameux code source, notre interlocuteur commence par définir son utilité avant d’expliquer les risques.

« Ce code sert à connaître l’utilisation qui sera faite des données collectées par l’application. C’est comme une recette de cuisine avec l'ensemble des instructions données à un logiciel pour voir comment il procède, où les informations sont envoyées, comment elles sont traitées, le type de calcul…

« Le risque est que certains esprits malintentionnés puissent utiliser les données de ce code source serveur à des fins illégitimes.

« En effet, si on connaît la nature des données transmises par l'application dont le code source est ouvert, à savoir les numéros de téléphone et les coordonnées des personnes contacts avec les infectés, on ne sait pas exactement quel sera le sort des centaines de milliers de données dans le serveur.

« Concrètement, s'il y a une faille dans le serveur, des hackers pourront utiliser les très nombreux numéros de téléphone et les coordonnées des personnes inscrites dans l'application pour, par exemple, les vendre sous forme de fichiers à des sociétés qui vous inonderont de publicités », explique l’élu de la FGD.

« Sachant que Singapour vient de publier, après plusieurs mois d'attente, le code source de ce serveur les autorités marocaines affirment attendre de garantir le niveau de sécurité du serveur pour le faire.

Aucun risque d’être géolocalisé ou de voir son répertoire pillé

Concernant l’inquiétude de plusieurs internautes d’être géolocalisés avec une application qui demande l'autorisation d'accéder à la localisation GPS de l'appareil, El Hyani explique que c'est un requis d'Android pour l'activation du Bluetooth sur l'application et que par conséquent les localisations sont collectées localement sur le téléphone, et non transmises au serveur.

De plus, il rappelle que la CNDP a autorisé l’application pour du tracing (traçage des infectés) et pas pour le tracking à savoir la localisation.

Dans sa synthèse, l’informaticien dément des rumeurs véhiculées sur Whatsapp accusant l’application d’aspirer tous les numéros du répertoire téléphonique alors que Wiqaytna n'y a aucun accès direct.

« Quand on voit les éléments collectés à partir du téléphone c'est plutôt rassurant mais ce qui n'est pas encore clair c'est le traitement qui sera fait au niveau du serveur.

« Si les développeurs marocains ont été plutôt rassurants, on ne sera tranquille à 100% que quand on connaîtra le code source côté serveur », conclut El Hyani qui nous confirme avoir téléchargé Wiqaytna mais qu’en cas d’évolution négative, il n’hésitera pas à désinstaller l’application de traçage du Covid-19.