Le Monde 28/04/2020
C’est une déconvenue inattendue pour le projet français d’application de suivi des contacts, StopCovid. Dimanche 26 avril, le gouvernement allemand a annoncé qu’il réorientait son projet d’application, jusque-là proche du modèle français « centralisé », pour adopter une approche « décentralisée ».
Depuis plusieurs semaines, les débats font rage sur la meilleure manière de concevoir ces outils. Sous certaines conditions, ils peuvent être une aide utile pour détecter et isoler des cas de Covid-19 « asymptomatiques », en retraçant la liste des personnes ayant été en contact avec une personne malade. Dans la quasi-totalité des pays démocratiques qui s’intéressent à ces applications, les projets misent sur l’utilisation du Bluetooth des smartphones pour détecter, et enregistrer, les contacts de plus de quinze minutes entre deux personnes.
Mais un autre point est loin de faire la même unanimité : le stockage des informations. La France, comme le Royaume-Uni et jusqu’à peu l’Allemagne, mise sur une approche « centralisée » : les données, non nominatives, seraient stockées sur des serveurs centraux et contrôlés par les autorités sanitaires. Une autre approche prévoit, en revanche, que les informations-clés, nécessaires au fonctionnement du service, soient stockées directement sur les smartphones des utilisateurs et circulent entre eux lorsque c’est nécessaire.
Ce modèle « décentralisé » est soutenu notamment par Apple et Google. Les deux géants, dont les logiciels sont utilisés sur la quasi-totalité des téléphones dans le monde, ont annoncé le 10 avril une interface logicielle commune, que les gouvernements sont incités à utiliser pour bâtir leurs applications. Mais plusieurs Etats, à commencer par la France qui évoque une question de « souveraineté nationale », estiment que les deux entreprises ne doivent pas contraindre les pays à utiliser leur outil commun.
Restrictions sur l’accès au Bluetooth
Or, pour l’instant, les applications « centralisées » fonctionnent mal. « Les modalités de fonctionnement des iPhone ne nous permettent pas de faire tourner correctement l’application sur ces téléphones, a regretté Cedric O, le secrétaire d’Etat chargé du numérique, dans un entretien au Journal du dimanche du 26 avril. C’est pourquoi nous sommes en discussion avec Apple, tout comme les autres pays européens et la Commission européenne. Nous avons besoin que l’entreprise puisse répondre à la demande des Etats, même si les iPhone ne représentent que 20 % du parc français. »
Principale critique : les conditions de développement des applications pour iOS, le logiciel central des iPhone. De manière générale, les développeurs d’applications se voient imposer un certain nombre de restrictions par Apple sur l’utilisation du Bluetooth pour protéger la vie privée des utilisateurs, et la durée de vie de la batterie. iOS limite ainsi fortement l’accès au Bluetooth des applications qui fonctionnent en « arrière-plan », c’est-à-dire qui ne sont pas directement utilisées par le propriétaire du téléphone, mais qui restent ouvertes.
L’application TraceTogether, utilisée à Singapour, qui fonctionne sur un modèle centralisé et a été développée avant l’interface commune de Google et d’Apple, connaît pour cette raison d’importantes difficultés sur iOS : l’utilisateur doit la laisser ouverte en permanence et ne pas basculer sur une autre application. Ce qui limite grandement les autres utilisations du smartphone, et ne favorise pas une adoption et une utilisation intensives de TraceTogether – pourtant cruciales pour qu’elle soit efficace.
Des problèmes similaires concernent également les versions les plus récentes d’Android de Google. TraceTogether est très mal notée sur le magasin en ligne de Google, semblant indiquer des problèmes techniques importants.
Le Parlement européen méfiant
Après la volte-face de l’Allemagne, la France semble de plus en plus isolée pour demander à Apple des modifications techniques. L’Australie, qui vient de lancer sa propre application « centralisée », appelée CovidSafe, devrait passer par la suite à un modèle « décentralisé » et recourir à l’interface de Google et d’Apple, selon les informations du Guardian.
Les raisons qui ont poussé l’Allemagne à passer à l’approche « décentralisée » ne sont pas entièrement claires : le porte-parole du gouvernement, Steffen Seibert, a expliqué lundi 27 avril que la décentralisation permettrait de davantage « créer la confiance », et faciliterait une large adoption de l’application par les citoyens. Mais selon une source gouvernementale anonyme citée par l’agence de presse Reuters, le refus d’Apple de changer de position sur le fonctionnement de l’utilisation Bluetooth aurait précipité ce revirement. Reste qu’outre-Rhin les critiques contre l’approche « centralisée », et ses risques potentiels pour la vie privée, avaient été très fortes ces dernières semaines. Les deux approches ont des avantages et des inconvénients en termes de protection de la vie privée, qui font l’objet de vifs débats depuis plusieurs semaines.
Au niveau européen, la position française reste également fragile. Il ne reste guère que le Royaume-Uni qui a confirmé, lundi, ne pas retenir la solution technique « décentralisée » d’Apple et de Google : le choix s’est porté sur l’application développée par Palantir en collaboration avec le National Health Service, le service de santé publique britannique. En Italie, où le projet d’application Immuni utiliserait aussi la géolocalisation des utilisateurs, le choix entre un système centralisé ou décentralisé n’a pas encore été fait. Et l’Espagne, initialement partisane de l’approche centralisée, pencherait désormais pour le protocole décentralisé, selon les informations de Reuters.
Malgré le soutien du commissaire européen Thierry Breton, qui s’est entretenu sur le sujet avec le PDG d’Apple, Tim Cook, le Parlement européen semble également méfiant vis-à-vis de l’approche « centralisée ». « Les données [issues de ces applications] ne doivent pas être stockées dans des bases de données centralisées, toujours à risques, et qui pourraient compromettre l’adoption à grande échelle de ces applications », estimait une résolution adoptée le 17 avril. A Bruxelles toujours, mais du côté du gouvernement national, la question ne se pose même plus. La Belgique a abandonné le 23 avril son projet d’application, jugeant que le contact tracing (« traçage des contacs ») réalisé de manière classique, « à la main », serait plus efficace.
Damien Leloup
Qui a conçu StopCovid ?
Le gouvernement dirige le projet, mais ce sont des chercheurs de l’Inria et de l'institut allemand Fraunhofer, ainsi que des développeurs du secteur public et privé, qui ont conçu l’application. Si l’Inria est chargée du pilotage, la technologie est au centre d’un projet européen mené à la fois par l’Allemagne, la France et la Suisse, le “Pan-European Privacy Preserving Proximity Tracing” (PEPP-PT, pour “Traçage de proximité paneuropéen préservant la confidentialité”). Il rassemble plus de 130 chercheurs de huit pays.
De leur côté, Apple et Google se sont associés pour fournir un socle technique commun iOS et Android aux concepteurs d'applis de contact tracing (partout dans le monde). Plusieurs pays européens n'excluent pas d’avoir recours à l’API des deux géants américains. En France, Cédric O, secrétaire d’Etat chargé du numérique, a fermé la porte à la solution proposée par les deux GAFA, pour une question de “souveraineté sanitaire et technologique”. StopCovid repose sur le protocole Robert, développé par l'Inria et des chercheurs allemands.
Le projet PEEP-TP suit l’approche adoptée par une autre application, lancée en mars à Singapour : Trace Together. Cette techno, promue par le gouvernement de la cité-État insulaire et utilisée par 620 000 personnes, est basée sur un protocole ouvert (open source), en plus du volontariat. Elle n’accède pas aux contacts de l'utilisateur, ni à ses données de géolocalisation, ce qui permet, selon ses développeurs, de respecter la vie privée, en rendant très difficile une quelconque traçabilité.
Toutefois, Trace Together et le PEEP-TP mélangent des méthodes décentralisées et centralisées. Dans le cas de Trace Together, il faut ainsi noter que si elles ne sont stockées que sur les smartphones durant une courte période, les données restent échangées avec un serveur géré par les autorités de santé. Ce sont elles qui seront chargées de déclarer les personnes malades.
Leur protocole Robert prévoit que StopCovid ne demande aucune donnée personnelle : ni état civil, ni numéro de téléphone. Les datas sont anonymisées, chacun étant identifié par un “code unique” chiffré et enregistré en local, directement sur les smartphones. Dès que l'on est en contact avec un autre utilisateur de l'appli, son identifiant est stocké dans notre historique, ce qui donne une liste d'identifiants anonymes. Comme pour Trace Together, "Robert" est en partie centralisé. Quand une personne se signale elle même comme atteinte par le Covid, son identifiant chiffré sera envoyé au serveur central, ce qui lui permet de constituer une base de données de personnes infectées. Pour les autres utilisateurs, rien ne sera envoyé au serveur central, par contre l'application ira comparer régulièrement leur historique d'identifiants avec la base de donnée du serveur central. Ainsi, si l'un des identifiants stockés sur le serveur est présent dans votre historique, StopCovid pourra vous envoyer une alerte. L'anonymat devrait être respecté dans le cadre strict du RGPD (Règlement général sur la Protection des données).
Mais comme nous l’expliquait récemment Hubert Guillaud, responsable de la veille à la Fing (Fondation internet nouvelle génération), “rien ne nous dit que la police et les autorités de santé n’auront jamais accès aux données. Et rien ne nous dit non plus que les données collectées par de telles applications de contact tracing ne pourraient pas être désanonymisées”.
À noter que le 26 avril, l'Allemagne, qui était main dans la main avec la France pour soutenir un protocole semi-centralisé à travers Robert, conçu par des chercheurs des deux pays, a finalement fait machine arrière : le gouvernement allemand soutient désormais le protocole décentralisé DP3T, davantage compatible avec l'API de Google et Apple. Le ministre de la Chancellerie Helge Braun et le ministre de la Santé Jens Spahn ont ainsi déclaré que Berlin adopterait une approche de contact tracing “fortement décentralisée”.
Sera-t-il possible de vous géolocaliser ?
"L'application ne géolocalisera pas les personnes. Elle retracera l’historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure, ni transmettre aucune donnée", affirme Cédric O, secrétaire d'État chargé du Numérique.
Le protocole DP3T, Robert ainsi que les solutions développées par le PEEP-TP ne font pas usage du GPS, mais seulement du Bluetooth. Cette technologie de courte portée repose sur la proximité des appareils, ce qui empêche donc toute géolocalisation.
Toutefois, en utilisant des bornes de collecte telles que celles utilisées par les publicitaires, ou en croisant les données avec celles d’autres applis, ainsi que celles de tous les utilisateurs, il resterait théoriquement possible de reconstituer les allées et venues d’une grande partie des citoyens “volontaires”. En outre, les opérateurs de téléphonie pourraient facilement utiliser les données de géolocalisation de leurs clients pour faire des liens et les identifier. Mais là, il s'agirait de pratiques interdites par la loi française et d'un scénario dystopique.
Quid du risque de piratage ?
L’appli StopCovid ne sera pas exempte du risque de hacking, quelqu’un de malintentionné pouvant potentiellement pirater les appareils des utilisateurs. Car il faut savoir que le Bluetooth, tout comme le NFC, est une technologie peu sécurisée. Reste la possibilité pour un hacker d’attaquer le serveur central, toutefois il est plus simple de protéger adéquatement le serveur que l'ensemble des smartphones des usagers. C'est d'ailleurs l'argument de Cédric O pour justifier le recours à un système qui n'est pas totalement décentralisé. En effet, si aucun serveur central n'est utilisé, alors la liste d'identifiants des malades devra être stockée en local sur les smartphones de chaque utilisateur. Elle sera donc plus facilement accessible et potentiellement plus exposée.
Enfin, notez que des applications reprenant les termes Stop Covid sont déjà disponibles en ligne. Nous vous déconseillons fortement de les télécharger. Bien que certaines aient été conçues par des organismes étrangers officiels, elles seront inutiles et pourraient représenter un risque de sécurité. Par ailleurs, il existe déjà des systèmes de contact tracing similaires mais là encore, nous vous déconseillons d'y recourir, d'autant que certains se basent sur la géolocalisation pour fonctionner...
Qui développe StopCovid ?
L’application StopCovid est développée par Lunabee Studio, une firme basée à Chambéry. Celle-ci compte des noms comme Carrefour, Station F ou B&B Hotels parmi ses clients. C’est toutefois loin d’être le seul acteur impliqué.
StopCovid se construit sous l’égide de l’Institut national de recherche en sciences et technologies du numérique (Inria) avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’Institut national de la santé et de la recherche médicale (Inserm) apporte également son expertise scientifique au projet, tout en ayant développé, en parallèle, l’IA vocale AlloCovid pour accompagner les personnes par téléphone.
Il faut aussi savoir qu’Orange et les entreprises Capgemini et Dassault Systèmes œuvrent également en coulisse pour le bon fonctionnement et déploiement de la plateforme StopCovid. Enfin, Withings est chargé d’amener StopCovid sur des appareils connectés hors smartphones, comme des bracelets connectés.
Anthony Nelzin-Santos | 26/03/2020 à 09:00
Impensable la semaine passée, le partage des données de localisation des téléphones mobiles va devenir une réalité. Huit opérateurs européens, dont Orange, ont accepté de partager les données de localisation des mobiles avec la Commission européenne. Il ne s’agit pas de créer un système de clôture électronique sur le modèle taïwanais, mais d’utiliser la masse des données pour analyser l’efficacité des mesures de confinement et coordonner la réponse à la pandémie... (Texte intégral)
Le traçage automatisé des contacts à l'aide d'une application sur-smartphone- comporte de nombreux risques, indépendamment des détailsde fonctionnement de cette application. Nous sommes spécialistes encryptographie, sécurité ou droit des technologies. Notre expertise réside notamment dans notre capacité à anticiper les multiples abus,détournements et autres comportements malveillants qui pourraient émerger. Nous proposons une analyse des risques d'une telle application, fondée sur l'étude de scénarios concrets, à destinationde non-spécialistes... ( Texte intégral)
HTTPS://RISQUES-TRACAGE.FR/ Contact : contact@risques-tracage.fr
Stopcovid un traçage dit « anonyme » !
Orange, Thales, Dassault Systèmes et quelques autres... font partie de l’équipe projet Stopcovid , projet qui consiste à mettre au point une application sur smartphone de traçage des individus, traçage que l’on nous certifie anonyme…
« …Les prises de position s’accumulent contre elle et son avenir semble chaque jour plus incertain.la CNIL a rendu son avis à son sujet : elle exige que le gouvernement démontre l’utilité concrète de StopCovid, ce qu’aucune étude ou analyse ne soutient actuellement, mais s’est arrêté en chemin en n’interdisant pas ce projet.
Ce projet a été mis en place avec l’idée que l’on pourrait combattre la diffusion du virus SARS-CoV-2 en retraçant les chaînes de transmission entre individus … »
« Mais à quoi sert une application de signalement si l’on ne peut pas dépister dans le même temps ?
C’est à dire si on ne peut connaitre l’identité des individus ?
En pratique, une application anonyme n’aurait aucun intérêt : l’application doit envoyer à des personnes ciblées des alertes du type « vous avez été au contact de personnes malades, mettez-vous en quarantaine ». Du moment que chaque alerte est envoyée à des personnes ciblées, le système n’est plus anonyme : trivialement, il suffit qu’un tiers (un patron, un conjoint, etc.) puisse consulter votre téléphone pour constater que vous avez reçu une alerte. Des chercheurs·ses de l’INRIA ont produit une excellente liste de quinze scénarios de ce type, démontrant à quel point il était simple de lever ce prétendu « anonymat ». (texte intégral)
Signez cette initiative citoyenne européenne et garantissez que la Commission européenne fasse tout pour faire des vaccins et des traitements anti-pandémiques un bien public mondial, librement accessible à tous.
SAUV-NATUR
Saint Leu la Forêt