Traçage des contacts : Apple et Google insistent sur la confidentialité
Apple et Google savent qu'ils sont attendus au tournant avec leur initiative commune, désormais baptisée « Exposure Notification », sur les applications de traçage des contacts. Les gouvernements, notamment en Europe, demandent des garanties sur les données et la confidentialité. Alors que la première version de l'API devrait être disponible dès le 28 avril, les deux compères ont mis en ligne une foire aux questions qui donnent quelques précisions attendues.
Apple et Google détaillent le fonctionnement de la technologie de traçage : l'appareil — iOS comme Android — de l'utilisateur émet régulièrement un signal en Bluetooth comprenant un identifiant sécurisé (une suite de numéros aléatoire qui n'est pas liée à l'identité de l'utilisateur) qui change toutes les 10 à 20 minutes. Les autres téléphones environnants sont à l'affût de ce signal et émettent leurs propres signaux.
Au moins une fois par jour, le système va télécharger une liste des signaux qui ont été vérifiés comme appartenant à des personnes contaminées par le COVID-19. Chaque appareil va vérifier cette liste en la comparant avec une liste des diagnostics positifs récupérée depuis un serveur. S'il y a correspondance entre les signaux, l'utilisateur en sera notifié et il prendra connaissance de la marche à suivre pour casser la chaîne de transmission du coronavirus.
Cette technologie passera d'abord par une API qui permettra aux deux plateformes de communiquer. Le chiffrement de l'algorithme de l'API passe du protocole HMAC au AES. Beaucoup d'appareils intègrent des fonctions d'accélération matérielle pour le chiffrement AES, ce changement va donc améliorer les performances de traitement. Ensuite, et comme c'était prévu dès le départ, elle sera enchâssée dans les systèmes d'exploitation dans quelques mois. Il ne sera plus nécessaire de télécharger une application tierce ; lorsque l'utilisateur aura été en contact avec une personne contaminée, il sera invité par l'OS à télécharger une application. Il faudra posséder un iPhone 6s au minimum pour utiliser ce système.
L'accent est mis sur la confidentialité : le consentement de l'utilisateur est obligatoire, les applications utilisant l'API devront provenir d'organismes officiels. Par ailleurs, l'utilisateur peut désactiver la technologie de traçage à tout moment. Le système ne collecte aucune donnée de localisation, et il ne donne aucune information sur les contacts rencontrés. Apple et Google peuvent désactiver le système pays par pays quand il n'est plus jugé nécessaire.
Si un utilisateur accepte de participer au programme de prévention et d'alerte, les données seront stockées et gérées en local, sur l'appareil. Aucune donnée n'est partagée aux autorités de santé, à l'exception de ces deux scénarios :
- si un utilisateur choisit de signaler un diagnostic positif à son application, cette information — qui assure la confidentialité de l'utilisateur — sera ajoutée à la liste des diagnostics des autorités sanitaires ;
- si un utilisateur est informé quand son application est entrée en contact avec une personne contaminée au COVID-19, le système partagera la date du contact, la durée et la puissance du signal Bluetooth. Aucune autre information ne sera partagée.
Il reviendra aux autorités de santé de déterminer la durée minimale du temps d'exposition, par exemple 5 mn en présence d'une personne positive au COVID-19. La limite maximale pour le délai de détection est fixée à 30 minutes afin d'éviter les abus. La distance entre les deux personnes sera calculée en prenant en compte la force du signal Bluetooth entre les deux appareils. Plus ils sont proches, plus le signal est fort.
Enfin, ni Apple ni Google ne disposent des informations liées à un individu spécifique. Les données ne seront pas monétisées (ça va mieux en le disant…).
C’était effectivement à une société tierce et non un gouvernement de mettre en place un système comme ça.
C’est encore mieux d’avoir les deux plus grands du secteur, qui publient les détails, et avec un système qui sera examiné en long et en travers par pleins de chercheurs car utilisé dans pleins de pays.
J’espère que l’assemblée fera le bon choix.
@banabap
Un peu comme en Chine?
@pagaupa
peux-tu argumenter ?
si tu trouves un commentaire de lui, avec plus de 10 mots, t'aura le prix nobel de la découverte. même au site de Figaro il écrit avec le même pseudo et comme ici, avec seulement 6-7 mots pas plus.
@themasck
Oui! « Tous surveillés » sur arte.
@pagaupa
c'est cela votre argument , me demander de voir un documentaire ?
marenostrum avait raison ; vous êtes à cinq mots.
la chine n'est pas pire que les USA dans le domaine du suivi des individus .
ce qui dérange c'est que la chine le dit contrairement aux états unis qui le cachent.
Moi au moins j'argumente monsieur Pagaupa !!
les américains et les chinois sont different quand même. les premiers n'ont jamais vécu sous une dictature. pour les chinois ça ne pose aucunement un problème. les premiers aiment plus l'argent que les derniers, etc.
les premiers pensent êtres les maitres du monde , les deuxièmes le sont économiquement et veulent que leur philosophie le devienne .
tout dépend où on se range après. mais de manière neutre on peut observer qui y en a plus de chinois qui vivent aux USA que des américains qui vivent en Chine. bref l'Amérique donne plus envie de vivre pour le moment.
il ne reste aux états unis que la liberté d'entreprendre .
pour le reste notre liberté de communiquer de se déplacer s'amenuise partout dans le
monde .
@marenostrum
. « pour les chinois ça ne pose aucunement un problème. »
Oui bien sûr, les riches disent aussi que les pauvres n’ont pas de besoins.
Ou qu’ils sont habitués à leur travail, quand il est pénible!
Je préfère être limitévà 5 mots comme tu dis que d’écrire des conneries pareilles!
les chinois n'ont jamais eu un président Blond par ex. et pourtant ils sont jaunes. :D
@themasck
« ce qui dérange c'est que la chine le dit contrairement aux états unis qui le cachent. »
C’est justement ce que dénonce ce documentaire. Et l’implication d’Amazon dans ce programme de surveillance.
Inutile de m’aboyer dessus!
@papagau
Tu a mal compris , Amazon est parti viré de chine par Alibaba .
Ce même Alibaba qui a offert 1 million de masques à la France et qui a déployé l’application de suivi / flicage Covid en chine.
@themasck
Justement. Amazon reproduit aux etats-unis, le meme modèle qu’en chine. Sauf que cette fois, c’est une boite privée qui loue son programme de surveillance aux États-Unis.
@themasck
« Ce même Alibaba qui a offert 1 million de masques à la France »
De où sors-tu cette info? Depuis quand l’amazon chinois fait-il des cadeaux?
@papagau
Bah c’est pas la France mais l’Europe
https://www.clubic.com/pro/entreprises/alibaba/actualite-888794-covid-19-jack-alibaba-offre-2-masques-europe.html
@themasck
C’est different!
Et tu n’en connais pas la raison.
@papagau
tu veux une info , je te la donne , ça ne te convient pas .
@themasck
L’info est que la chine ne fait jamais rien gratuitement.
@papagau
je suis d'accord avec toi .
@themasck
"@papagau"
T’es dyslexique ? 🤔
@themasck
« marenostrum avait raison ; vous êtes à cinq mots ».
Comme si marenostrum était une référence! 😂😂
@pagaupa
"Comme si marenostrum était une référence! 😂😂"
Si si, tu la trouves dans les catalogues de bricolage, section consommables pour poêle !
@themasck
"la chine n'est pas pire que les USA dans le domaine du suivi des individus .
ce qui dérange c'est que la chine le dit contrairement aux états unis qui le cachent.
Moi au moins j'argumente monsieur Pagaupa !!"
Les Etats Unis le cachent? Premier toupet.
https://lepetitjournal.com/new-york/covid-19-et-geolocalisation-quel-cadre-legal-aux-etats-unis-279290
@pagaupa
Rien compris.
@victoireviclaux
À quoi?
@pagaupa
A rien
@banabap
Oui, on devrait aussi déléguer toute la santé de nos concitoyens à Google et à Apple, c'est toujours mieux quand le privé s'en occupe...
@taxtax
L’état dans ce cas la doit jouer pas tout à fait comme contre pouvoir mais plutôt comme « policier ».
Une entreprise peut être « punie », contrôlée (dans le sens de vérification).
Mais qui surveille l’état ?
Dans le cas de la France je ne me fais bien sûr aucun soucis mais dans le cas d’autres pays par contre...
On ne sait pas quelles conséquences sur la population auront un suivi par l’état de cette même population. Alors que si c un collectif d’entreprises l’état a tout intérêt à démanteler ça au plus vite.
Ça fais beaucoup pluss peur, et donne de nombreuses incompréhensions pour la population mais c’est le plus « sûr » à mon sens
@taxtax
Sans les médecins généralistes et les spécialistes (pneumologues, ORL, etc.) privés, qui ont travaillé sans relâche depuis le début de la pandémie en rassurant des patients, en les traitant, en évitant qu’ils se précipitent engorger un peu plus les urgences des hôpitaux, le système de santé n’aurait pas tenu le coup ! Les mêmes à qui nos chers politiciens pourrissent la vie depuis de nombreuses années par démagogie ou par idéologie... Mais bon, ce n’est pas politiquement correct de dire ça !
C’est encore mieux d’avoir les deux plus grands du secteur, qui publient les détails, et avec un système qui sera examiné en long et en travers par pleins de chercheurs car utilisé dans pleins de pays.
Et qu'est-ce qui va empêcher l'Etat de rajouter une géolocalisation dans son appli en plus de ce système (perdant ainsi tout l'intérêt de l'anonymisation) ?
@bibi81
"Et qu'est-ce qui va empêcher l'Etat de rajouter une géolocalisation dans son appli en plus de ce système (perdant ainsi tout l'intérêt de l'anonymisation) ?"
L’utilisateur devra donner son accord pour activer la géolocalisation. Vu comment cette appli sera scrutée, ça ne passera pas inaperçu.
@banabap
Pour info
https://youtu.be/Hf1JR0HP4rM
« Cette technologie passera d'abord par une API qui permettra aux deux plateformes de communiquer. «
Pas vraiment une API, mais plutôt un format commun du Beacon BLE a envoyer
Ok je suppose que les datas soient anonymisées (correctement), ces datas ont-elles une valeur commerciale ? Apple ou Google vont-ils gagner de l'argent ou des compétences grâce à ces datas ? Seront-elles librement accessibles par les gouvernements ?
@J'en_crois Pas_mes yeux
C'est écrit dans l'article.
"ni Apple ni Google ne disposent des informations liées à un individu spécifique"
Ça ne répond à aucune de mes questions.
"Les données ne seront pas monétisées"
Là ça répond (probablement) à ma question.
Ma lecture avait manqué ce point dans cet article très riche.
@bidibout
« C'est écrit dans l'article. »
Ob bin alors! Si c’est écrit dans l’article...on est sauvé ! On peut dormir sur nos deux oreilles.
@pagaupa
Tu sais pas que l’Article est Là Vérité ?
Gougnafier 😬
Merci mais non, on connaît la chanson.
« faudra posséder un iPhone 6s au minimum pour utiliser ce système »
😭
@Kubusiu
C’est pour te forcer à acheter le nouvel SE à la batterie anémique et au processeur bridé 😬
"Alice's phone periodically donwloads the broadcast beacon keys of everyone who has tested positive to COVID-19 in her region."
On peut savoir comment ce téléchargement "régionnalisé" se fait sans transmission d'information personnelle de localisation du téléphone d'Alice au "cloud" !?!
En quoi c'est important ?
Soit a partir de l'ip, soit a partir de la region choisie a l'installation de l'app (ou eventuellement manuellement si tu t'es déplacé)
donc oui sans doute qu'on peut geolocaliser la personne a un instant t dans une zone de 100kms sur 100 kms mais c'est pas foncièrement différent de ce qu'on peut déja faire.
@vince29
C'est pourtant une des questions les plus importantes, vu que l'intérêt de l'API de Google-Apple est la communication via bluetooth pour éviter d'utiliser le gps et de ne pas géolocaliser l'utilisateur. Maintenant si c'est fait de manière cachée...
L'utilisateur ne sera pas plus ni moins géolocalisé qu'en accédant à un site quelconque.
1 fois par jour ils auront donc une localisation très approximative de l'endroit ou tu te trouves via ip qui downloade le fichier.
J'imagine qu'il doit être possible de télécharger le fichier 'france' via tor pour les plus parano.
@vince29
> donc oui sans doute qu'on peut geolocaliser la personne a un instant t
> dans une zone de 100kms sur 100 kms
Vous etes naïf si vous pensez qu'une adresse IP n'est localisable qu'à 100 km près.
> L'utilisateur ne sera pas plus ni moins géolocalisé qu'en accédant à un site quelconque.
Oui. D'où l'importance que *ce* site, lui, puisse être contrôlé de manière transparente sur la façon dont il fonctionne.
Je vois mal Apple ou Google permettre de contrôler ce que fait véritablement leur serveur dans leur infrastructure "StopCovid".
> J'imagine qu'il doit être possible de télécharger le fichier 'france' via tor pour
> les plus parano
Oh mais moi je m'en fous, mais je souligne juste que parmi les paranos, y'en a qui justifient leur préférence à Apple plutôt qu'à des états, alors que dans les faits, techniquement parlant, y'a rien qui permet d'être moins paranos, pourtant.
En effet n'importe qui peut télécharger des bases de geolocalisation d'IP pour connaître par exemple le pays (voire région voire ville voire répartiteur) de la personne qui consulte le site web.
C'est pratiquen comme cela je sais que Ursula qui rêve de me rencontrer habite à moins de 4,238 km. Bon dès fois Ursula elle déc*nne un peu parce que son adresse est sur un autre continent et qu'elle parle pas ma langue.
Après je ne sais pas quelle est la précision qui peut être obtenue avec les portables.
> Oui. D'où l'importance que *ce* site, lui, puisse être contrôlé de manière transparente sur la façon dont il fonctionne.
Savoir une fois par jour que ton adresse IP se connecte? Je ne pense pas que Google ou Apple en ait particulièrement besoin...
Mais bon on peut le mettre sur un serveur étatique et demander à Google ou Apple d'adapter leur appli.
Le problème c'est que le serveur va pas tenir le coup et qu'ils vont vite fait déléguer ça à un CDN :)
@byte_order
Dans tous les cas, le téléphone a une idée approximative de où tu te trouves notamment grâce aux antennes réseaux
Pages