StopCovid : un vote au Parlement et un avertissement de chercheurs de l'Inria

Stéphane Moussie |

La future application de traçage des contacts StopCovid fera finalement l'objet d'un vote au Parlement, rapporte l'AFP. Il n'en était pas question au départ, mais face à la demande des parlementaires de tous bords, le gouvernement a fini par céder. Les députés et sénateurs devront toutefois s'exprimer à la fin du mois sur une application qui ne sera pas encore finalisée à ce stade.

Quand le sera-t-elle ? Le mystère est complet. Le gouvernement préférant adopter la technologie de traçage mise au point par l'Inria au détriment de celle qui sera proposée par Apple et Google, il se retrouve face à un obstacle technique fondamental. Pour que StopCovid soit efficace, l'application doit exploiter en continu le Bluetooth de l'iPhone, or c'est impossible, sauf à utiliser le futur protocole californien ou bien bénéficier d'une très incertaine exception de la part d'Apple, ce que le gouvernement tente d'obtenir.

Image Inria

Les parlementaires n'auront pas l'application sur leurs smartphones pour voter en leur âme et conscience, mais ils pourront s'appuyer sur de nombreux avis, dont celui de chercheurs de l'Inria… qui mettent en garde contre les risques de traçage, alors même que leur institut est responsable du développement du protocole de traçage exploité par StopCovid.

Dans leur analyse destinée au grand public (accompagnée d'un site web, risques-traçage.fr), cette quinzaine de spécialistes de l'Inria et d'autres établissements soulignent différents problèmes, voire dangers, posés par les technologies de traçage de contacts, qu'il s'agisse de celle d'Apple/Google, de l'Inria ou d'autres encore.

Parmi les risques exposés, il y a ceux de l'identification des malades, de déclenchements de fausses alertes ou encore de fichage parallèle. Face à ces détournements, « la cryptographie n’apporte que des réponses très partielles », déclare le groupe de chercheurs, qui ajoute :

L’arbitrage de ces risques ne pourra pas être résolu par la technique. Il relève de choix politiques qui mettront en balance les atteintes prévisibles aux droits et libertés fondamentaux et les bénéfices potentiels qui peuvent être espérés dans la lutte contre l’épidémie. À notre connaissance, l’estimation des bénéfices d’un éventuel traçage numérique est aujourd’hui encore très incertaine, alors même que les scénarios que nous avons développés ici sont, eux, connus et plausibles.


avatar raoolito | 

ca promet...
retour à la case apple/google?

avatar maxime101286 | 

@raoolito

Il est trop tot pour cela. Le 8 mai serait une date idoine. Il faut se laisser un peu de temps pour pousser la réflexion plus en avant...

avatar Adodane | 

@raoolito

J’installe pas si c’est le cas !

avatar pilipe | 

@Adodane

Dans tous les cas je ne l’installe pas.

avatar showmehowtolive | 

J’ai plutôt confiance en Apple que dans une start up ou le gouvernement où ça finira hacké...
Quant à l’anonymat ce n’est pas possible car il faudra bien prévenir les gens qu’ils sont atteints donc il y aura forcément une base non anonyme.

avatar armandgz123 | 

@showmehowtolive

Bien sûr que si, ça peut être anonyme.. en attribuant à chaque identifiant un numéro aléatoire unique par exemple

avatar lasert | 

@armandgz123

Si le numéro n’est pas redéfini régulièrement, on n’est pas dans l’anonymat, il suffirait d’associer un numéro à une identité pour retracer la personne

avatar Godverdomme | 

C'est exactement ce que propose le protocole Apple/Google, trois token dont un change toutes les 10min et un toutes les 24h en plus de celui qui ne quitte pas le device

avatar Phiphi | 

Intéressant ce document de l’inria, vraiment extrêmement intéressant.
En résumé, quel que soit le système utilisé, les idées pour le détourner, et le rendre dangereux aussi bien pour les libertés que pour la santé, sont absolument pléthore, alors que les pré requis pour le rendre utile sont pratiquement impossible à atteindre.

avatar raoolito | 

@Phiphi

C'est la fete, donc soit on laisse un peu plus dans les mains de google et apple soit on laisse aussi mais on ne sait pas qui?
Ben quitte a choisir...

avatar DrStrange | 

@raoolito

Les technologies développées par Apple et Google ne mettent pas à l'abri des détournements décriés et cités par les experts de l'INRIA.
Malheureusement.
En tout cas pour moi ce sera NIET. Je l'installe pas. Même si c'est obligatoire (autant revenir au bon vieux 3310).

avatar Phiphi | 

@raoolito

Lis le document avant de commenter. Tu comprendras peut-être que les risques sont absolument les mêmes.

avatar raoolito | 

@Phiphi

Pas la peine vous l'avez lu. Donc vu que la question de l'utilisation de cette app n'est pas un débat pour moi, la question est juste par qui va-t-on être mangé ?

avatar Phiphi | 

@raoolito

Tu comprendrais pourtant que tu seras mangé par les mêmes quelle que soit la solution, et justement pas par ceux qui portent la solution, qui peuvent tout à fait être de bonne foi. Ça t’éviterait de dire n’importe quoi, ce qui ne peut guère t’aider à faire passer ton message, quel qu’il soit.
Ceci dit on est probablement d’accord d’une certaine façon, l’application ne fait plus débat pour moi non plus, et si elle existe hélas un jour elle ne passera pas par moi.

avatar raoolito | 

@Phiphi

En quelques explications accessibles aux béotiens, en quoi cette app pourrait apporter plus d'info comme jamais? Elle n'accède a quasi rien, et si je peux partir loin dans l'imaginaire je me dis que quiconque de mal intentionné avec des moyens techniques doit pouvoir creuser pareil d'une autre manière non?

avatar Phiphi | 

@raoolito

Bon tu lis le document qui et accessible au béotiens et tu pourras te poser les bonnes questions.

avatar raoolito | 

@Phiphi

Parce que je ne vous pose pas les "bonnes questions"
Vraiment très intéressante remarque, tres très...

avatar Phiphi | 

@raoolito

Non, ta question n’as absolument aucun rapport avec la problématique évoquée par l’INRIA.

https://risques-tracage.fr/docs/risques-tracage.pdf

Maintenant soit tu regardes, soit basta.

avatar raoolito | 

@Phiphi

13 pages?
Nan pas le temps
Bon ben je garderai mes mauvaises questions pour moi, et j'activerai l'app quelle qu'elle soit.
De tts façons toute methode pour combattre le virus doit être appliquée. Les dangers sur la vie privée n'intéressent pas les familles endeuillées et -pour l'instant je touche du bois- c'est pas le cas chez nous

avatar Phiphi | 

@raoolito

"13 pages?
Nan pas le temps"

Oh t’es pas obligé de tout lire et tu devrais avoir le temps si t’es en confinement mais tant pis pour toi c’est très instructif.

avatar raoolito | 

@Phiphi

Je ne suis pas en confinement, je n'ai heureusement eu aucun ralentissement dabs mon activité pro donc nan 13 pages si c'est pour lire qu'une partie c'est inutile

avatar Phiphi | 

@raoolito

Il y a quelques exemples qui se lisent en quelques minutes et qui t’éclaireraient... et cela aurait rentabilisé le temps que tu as perdu ici à la place. Mais bon 🤷‍♂️

avatar raoolito | 

@Phiphi

Ca va, repondre ici c rapide
Bon j'y jetterai un oeil donc

avatar John McClane | 

@raoolito

Je viens de parcourir ledit document, c’est très intéressant en effet.
Si tu veux le lire rapidement, tu peux aller directement aux encadrés verts, ils présentent des scénarios où le dispositif est détourné. J’avoue que ça m’a dissuadé de l’installer, alors qu’à la base j’étais pour !

Exemple :
Scénario 10 (Cambriolage) : M. Rafletou veut cambrioler la maison de l’oncle Canard. Avant d’entrer, il utilise une antenne pour détecter les signaux Bluetooth. Il sait que l’oncle Canard utilise TraceVIRUS, et s’il n’y a pas de signal c’est que la maison est vide.

avatar Phiphi | 

@John McClane

C’est d’ailleurs très troublant. Quand je regarde les avantages du protocole ROBERT, j’y découvre que l’Inria a poussé au plus loin possible l’impossibilité de récolter des données par l’utilisation normale du protocole. Et c’est ce même Inria qui nous dit !danger! avec un peu de bon sens, quelque astuce et parfois un détecteur BT cela peut être très dangereux. C’est bien de nous le dire mais c’est aussi la preuve que le faire à la va vite est hyper dangereux.
Par ailleurs, là où un tel système a le mieux fonctionné, à Singapour, il a atteint ses limites et n’a fait que retarder la catastrophe.
Il y a aussi un article de numérama qui apporte des précisions intéressantes. https://www.numerama.com/tech/619446-stopcovid-vs-apple-pourquoi-la-fran...

avatar John McClane | 

Merci pour le lien Numerama, je vais lire ça !

avatar scanmb | 

@Phiphi

Merci pour l’article 👍🏽

avatar scanmb | 

@Phiphi

Merci pour l’article 👍🏽

avatar scanmb | 

@Phiphi

Merci pour l’article 👍🏽

avatar jeanclaude S | 

La lecture de ce PDF prend environ 10 mn, si mes renseignements sont exacts ton premier message ici est à 18H35, celui-ci à 20h22. Un peu d'honnêteté intellectuelle t'aurait permis de trouver ces 10 petites minutes...

avatar raoolito | 

@jeanclaude S

Sauf que je commence à travailler vers 7h30 le matin avec les clients de Hongkong ( chine) puis je switch vers 17h avec ceux de Austin (texas-usa)jusqu’a 20h30 approximativement. Et là-dessus j’ai une heure de trajet à velo chaque jour

C’est bon, j’ai le droit de ne pas a oir le temps?

avatar byte_order | 

@raoolito
> De tts façons toute methode pour combattre le virus doit être appliquée.

Toutes ?! Vraiment ?
Vous êtes donc pour imposer de porter un gilet de couleur verte sous peine d'amende à tout contaminés dès l'apparition des premiers symptômes ?
Leur emprisonnement dans des camps ?
L’euthanasie ?

Si vous ne répondez pas oui à ces questions, alors vous devez continuer à vous posez la question du gains potentiels vs risques de chaque solution. Et cessez de croire que vous savez forcément mieux que tout le monde évaluer vous même ces gains et ces risques.

avatar raoolito | 

@byte_order

Je vais être extrêmement clair :
si vous tombez malade, je risque de tomber malade, ma famille risque de tomber malade et des gens peuvent en mourir.
Donc si pour que personne ne tombe malade je dois vous ligoter et vous enfermer dans la cave et vous nourrir avec un biberon pendant trois mois, ce sera sans aucune hésitation

j'insiste bien sur ce mot : AUCUNE hésitation ni aucun scrupule. Votre liberté vaut moins à mes yeux que la vie de mes proches, demandez-vous vous donc à quel moment vous avez placé vos desideratas devant l'interet et la santé de tous les autres gens que vous pouvez croiser sur une journée

avatar byte_order | 

@raoolito
> Votre liberté vaut moins à mes yeux que la vie de mes proches,

Pareil.
C'est pas pour autant que cela me donne le *droit* de violer unilatéralement votre liberté pour autant.

C'est un peu pour ça que les lois ne sont pas faites par chaque individu comme bon leur semble, parce que votre position, c'est juste la loi de la jungle, hein.

Mais je retiens que vous êtes dans le camps des gens qui n'hésiteraient pas à emprisonner voir tuer des malades contagieux pour se protéger, merci de l'avoir si clairement dit.

Cela éclairera vos avis à propos d'autre sujet d'une lumière plus nette.

> demandez-vous vous donc à quel moment vous avez placé vos desideratas
> devant l'interet et la santé de tous les autres gens que vous pouvez croiser
> sur une journée

Qu'est-ce qui vous permet de croire que j'ai forcément mis mes désidératas devant l'intérêt et la santé des autres !? Je suis en confinement depuis le 3 mars, en auto-confinement les deux premières semaines suite à un voyage en Italie mi-février. Légalement, rien ne m'y forçait (c'était 16 jours plutôt, pas de symptomes) . J'ai 2 semaines de plus de confinement que la majorité de la population, alors vos accusations d’égoïsme et d'individualisme, vous savez ce que j'en fais...

Et votre position (vous et vos proches plutôt que tous les autres que vous et vos proches), c'est pas *précisément* mettre *vos* désidératas devant l'intérêt et la santé des autres !?

Merci de vous appliquez à vous même votre propre exigence de questionnement.

Votre liberté s'arrête à celles des autres. Et vous pouvez être sûr que chacun vous le rappellera, violemment au besoin.
Votre santé ne vaut pas moins que celles des autres, mais pas plus non plus !

avatar jcp25 | 

@Phiphi
Risques tracage
-
Merci pour ce document très intéressant.
JC

avatar Phiphi | 

@jcp25

C’est tout simplement le document sur lequel pointe l’article de Stéphane 😉

avatar raoolito | 

@Phiphi

Je dis certainement une grosse betise mais depuis ios13 apple a deja activé sur tous ses devices et mac un système de traçage a base de Bluetooth qui tourne donc en tache de fond en permanence depuis 6/7 mois sur des milliards d'appareils dans le monde.

avatar Phiphi | 

@raoolito

Heu. Tu parles des trucs pour localiser les devices perdus ? Je ne crois pas que ça utilise le BT ! Sinon je ne vois pas à quoi d’autre tu peux penser.

avatar raoolito | 

@Phiphi

Oui oui c'est avzc le Bluetooth

https://9to5mac.com/2019/06/05/ios-13-macos-catalina-find-my/

avatar Phiphi | 

@raoolito

Effectivement. Cela peut sans doute servir à des usages détournés. Aucun tiers ne peut interpréter la transmission mais l’existence d’une transmission peut sans doute permettre des choses. Intéressant.

avatar byte_order | 

@raoolito

Uniquement après appairage.

Y'a pas de BT scanning en tâche de fond permettant des interactions avec des périphériques *non* appairés.
Hors, dans le cas d'un tracing social, par définition, les smartphones croisés ne seront *jamais* appairés préalablement.

avatar Phiphi | 

@byte_order

D’après le document chaque matos devient un beacon pour tous les passants non appairés. Il n’y a pas connexion et échanges de données mais il y a bien un identifiant détecté et renvoyé à Apple.

avatar byte_order | 

@Phiphi
Le "beacon" est un échange de données, hein. Globalement, cela fait partie du mécanisme de scanning BT. Rien de magique ici.
Et si iOS ne permet pas à une app de faire cela en tâche de fond, point de solution confortable, tant en terme d'usage que d'autonomie.

avatar Phiphi | 

@byte_order

Oui certainement. Ce que je pointais essentiellement c’est que tu disais « uniquement après appairage » ce qui est faux.

avatar jcp25 | 

@Phiphi

Ce qui prouve que j'avais lu en diagonale (pas bien) et pas cliqué sur le lien (pas très explicite alors que ton post était très clair !)
Mais la lecture du PDF est très intéressante !

avatar Phiphi | 

@jcp25

Et bien si j’ai pu te rendre service ça me fait plaisir.

avatar maxime101286 | 

Selon RTS info :
L'appli suisse pour retracer les contacts à bout touchant
L'application suisse qui retrace les chaînes d'infections au Covid-19 et qui doit permettre de maîtriser la pandémie doit être prête d'ici au 11 mai. DP-3T doit avertir ses utilisateurs lorsqu'ils sont en contact avec des personnes infectées et ainsi s'isoler ou se faire tester. L'interruption des chaînes de transmission doit contribuer à freiner l'épidémie jusqu'à ce qu'un vaccin soit disponible sur le marché.

L'application fonctionne sur la base du Bluetooth et doit protéger la sphère privée des utilisateurs. Elle pourra être téléchargée sur base volontaire, selon les informations actuelles des autorités suisses. Aucune donnée ne doit être sauvegardée de manière centralisée. Des clarifications sont encore en cours concernant la protection des données. Le projet européen, , auquel sont associées l'EPFL et l'ETHZ, a connu un arrêt la semaine dernière. Les chercheurs se sont disputés autour de la conception et de la transparence de l'application.

et plus en avant...
DP-3T

https://tech.newstatesman.com/security/pepp-pt-vs-dp-3t-the-coronavirus-...

https://github.com/DP-3T

avatar Maestrorocco | 

@maxime101286

Dans tous les cas ça nécessite une dérogation d’Apple non ?

avatar maxime101286 | 

@Maestrorocco

dérogation ? A lecture rapide, les deux utilisent le bluetooth. Et les deux pourront n'être que distribué par des organismes affiliés aux Etats...

"De l'autre côté du fossé se trouve DP-3T, un groupe d'universitaires soucieux de la confidentialité qui a développé une solution entièrement décentralisée pour le suivi des contacts des coronavirus qui conserve les données sur les combinés, plutôt que de les envoyer à une base de données centralisée gérée par, par exemple , service de santé d'un pays. C'est le principal point de discorde entre les groupes: centralisation vs décentralisation"

avatar maxime101286 | 

@Maestrorocco

et :

"Apple et Google font également partie de l'équipe de décentralisation. Les deux sociétés s'associent pour développer un système décentralisé de recherche de contacts. Encore plus instructif, les entreprises ont déclaré que seules les applications vraiment décentralisées pourront fonctionner en continu en utilisant Bluetooth sur les combinés Apple et Android, ce qui signifie que pour que les applications centralisées puissent fonctionner en continu, un téléphone devrait être laissé déverrouillé à tout moment."

Le truc du gouvernement semble le plus foireux... ils sont plus à une plantée près...

Pages

CONNEXION UTILISATEUR