Intervention de Cédric O

Monsieur le sénateur, vous évoquez la question des serveurs : cela me semble faire référence à un reproche que nous a fait La Quadrature du Net sur l’utilisation des captchas.

Je m’en excuse par avance, nous allons aborder un sujet un peu compliqué. Les captchas, ce sont ces systèmes de sécurité qui permettent de vérifier que vous êtes bien un être humain ; on les trouve sur certains sites, où l’on vous demande de reconnaître des feux rouges ou des voitures. Or, aussi étrange que cela puisse paraître, il n’existe pas de captcha français sur les portables.

Il s’agira d’ailleurs de l’un des acquis, certes collatéral, mais essentiel, de cette opération : Orange a développé un captcha français pour portable. Un tel captcha est très compliqué à développer, si bien que nous ne l’aurons ni aujourd’hui ni le 2 juin, mais dans deux semaines.

À la suite à l’avis rendu par la CNIL – en fait, cela fait un mois que nous étudions le sujet –, nous avons travaillé avec l’Anssi pour « encapsuler » – pardonnez-moi d’utiliser cet anglicisme, mais je ne connais pas de meilleur terme – les captchas dans une webview – encore une fois, je suis désolé du caractère ésotérique de ma réponse, mais le sujet est technique –, afin d’éviter toute fuite de données problématique. Avec l’Anssi, nous avons pris en charge cette question, qui, à dire vrai, m’a donné beaucoup de souci, et avons trouvé une solution.

Concernant les garanties apportées en termes de sécurité informatique, comme je l’ai dit, nous prenons toutes les mesures possibles : nous avons par exemple autorisé des « hackers éthiques » à attaquer nos serveurs. Ils vont trouver des failles, car l’on en trouve toujours. C’est la meilleure manière d’obtenir le maximum de garanties.

Il est impossible d’affirmer qu’il n’y a aucune faille : il y en a même dans les plus importants fichiers informatiques, y compris ceux des agences de renseignement. Ce serait un peu présomptueux de ma part de vous dire le contraire s’agissant du fichier StopCovid.

Dernier point, l’application n’a pas besoin d’être ouverte en permanence. Effectivement, le Bluetooth doit être activé, mais, je le dis au passage, la plupart des Français gardent aujourd’hui leur Bluetooth allumé, ce qui accroît effectivement les risques d’attaque. Toutefois, je ne pense pas que ceux qui, dans cet hémicycle, gardent constamment leur Bluetooth ouvert aient été attaqués. Là encore, il s’agit d’une question de proportionnalité : si c’est utile, cela en vaut la peine.