Traçage : les limites de l'application anglaise pourraient être celles de StopCovid

Mickaël Bazoge |

L'application StopCovid du gouvernement français devrait entrer en phase de test dans le courant de la semaine prochaine, avec la version finale prévue pour le 2 juin1. Le Royaume-Uni va de son côté lancer l'expérimentation de sa propre application de traçage des contacts, NHS COVID-19, sur l'île de Wight qui compte 140 000 habitants. L'objectif est de la proposer à l'échelle du pays dans deux à trois semaines après le test.

Comme la France, le Royaume-Uni a décliné l'API Exposure Notification développée par Apple et Google, qui s'appuie sur un modèle décentralisé inspiré des travaux du DP-3T européen (lire : Entre Bubble et Apollo, la petite histoire du traçage commun d'Apple et de Google). D'autres pays, dont l'Allemagne, ont finalement décidé d'utiliser les outils des deux constructeurs américains.

L'approche centralisée vs l'approche décentralisée (infographie NHS).

Si l'approche centralisée est similaire des deux côtés de la Manche, il est à l'heure actuelle impossible de comparer les deux applications, mais on en sait davantage sur ce qui mijote au sein du NHSX, le labo R&D du système de santé britannique. Après téléchargement et consentement (sur la base du volontariat), NHS COVID-19 attribue à l'appareil un identifiant ID numérique persistant. Puis, chaque jour, elle génère un identifiant aléatoire qui est envoyé aux autres smartphones sur lesquels l'app est installée, tandis que l'appareil de l'utilisateur recueille les identifiants des smartphones à proximité.

Dès qu'un utilisateur signale qu'il a été testé positif au COVID-19, la base de données des contacts enregistrés par son smartphone va être envoyée sur le serveur du NHS. Tous ceux qui ont été en contact avec cette personne contaminée recevront alors une notification. Leurs données seront également téléversées vers le NHS, puisqu'eux aussi sont susceptibles d'avoir contaminé d'autres personnes2. C'est le modèle centralisé.

Le modèle décentralisé promu par Apple et par Google a un défaut, selon Cédric O le secrétaire d'État au numérique : en substance, le smartphone contient la liste de tous les crypto-identifiants des personnes contaminées à l'instant t, relève-t-il dans son billet Medium. Le protocole ROBERT, sur lequel le gouvernement français s'appuie pour StopCovid, utilise un serveur central qui stocke ces identifiants, il est « sensible en termes de données médicales et rend significativement plus compliquée l’identification dans la vie réelle des personnes malades par des hackers malveillants ».

Bien sûr, cela implique d'avoir confiance dans les services de l'État qui récupèrent non seulement l'identifiant de la personne contaminée, mais aussi ceux des contacts rencontrés et qui ont pu être contaminées à leur tour. Sans verser dans la paranoïa ou le complotisme, les pseudonymes générés par le serveur peuvent être interceptés par des malandrins.

La sécurité de NHS COVID-19 est sujette à caution puisque le serveur anglais utilise des identifiants pseudonymisés fixes (ROBERT prévoit de renouveler régulièrement ces identifiants et on peut espérer que la question de la sécurité du serveur sera particulièrement bétonnée), qui peuvent donc éventuellement permettre de remonter jusqu'aux utilisateurs et même à leur localisation, puisqu'ils doivent préciser la moitié de leur code postal. Le labo anglais a également indiqué qu'il pourrait demander un accès plus complet aux données de l'utilisateur, dont sa localisation.

C'est là que le bât blesse pour ce qui concerne l'app anglaise : la liste des différentes interactions enregistrées durant les 28 jours qui précèdent le signalement de diagnostic positif ne peut pas être supprimée. Mieux, ou pire selon le point de vue, le NHSX peut exploiter ces données à d'autres fins, mais toujours en lien avec la santé publique. Évidemment, on n'est pas obligé de voir le mal tout le temps, mais cela n'aide pas à avoir confiance dans l'application.

C'est d'autant plus vrai que ni le code source de NHS COVID-19, ni son modèle de sécurité n'ont été publiés. En attendant que ces informations puissent être examinées, il subsiste un problème de confiance. Côté français, Cédric O a également promis la diffusion du code de StopCovid en open source « dès qu'il aura atteint une certaine maturité ». L'exigence de transparence s'appliquera « à l’ensemble de l’architecture du système, jusqu’au serveur back-end » et un comité de suivi sera mis en place.

Au-delà des approches et de leur mise en œuvre, il reste aussi à régler le problème technique du Bluetooth qui, sur iOS comme sur Android érige des barrières élevées pour empêcher les apps de faire n'importe quoi. L'API d'Apple et de Google permet la transmission et la réception des signaux Bluetooth, même si l'application est en arrière plan, loin tout au fond du panneau multitâche. Et même si le smartphone est en veille.

Mais voilà, sur iOS comme sur Android (depuis la version 8), ce fonctionnement est soit interdit, soit limité. Cela réduit à néant le bon fonctionnement et la pertinence même d'une application de traçage des contacts, comme on le voit avec l'app australienne COVIDSafe qui repose sur le même principe que NHS COVID-19 : dès qu'elle disparait de l'écran ou dès que l'iPhone est en veille, l'application arrête de diffuser ses signaux.

Le NHSX a annoncé avoir déniché une parade pour l'iPhone : l'application « écoute » passivement les autres appareils Bluetooth qui passent à proximité. Lors d'un contact, l'app sort de sa léthargie afin de récupérer les signaux et envoyer le sien, et aussi pour déterminer la durée du contact et établir la distance entre les deux personnes. Le problème de ce sparadrap, c'est que si une app iOS en arrière-plan (ou avec l'iPhone en veille) peut écouter les signaux, elle ne peut pas en émettre.

Dit autrement, deux utilisateurs d'iPhone avec leur smartphone en poche (donc en veille) ne pourront pas communiquer les signaux de l'application. Il faudrait une troisième personne possédant un appareil Android un peu ancien, qui lui est en mesure d'émettre des signaux tout le temps ; auquel cas, il sera en mesure d'éveiller les deux iPhone qui, dès lors, pourront s'envoyer et recevoir des informations… Pour StopCovid, Cédric O a fait miroiter une application pour iPhone « satisfaisante ». Si la solution technique est identique à celle du Royaume-Uni, l'utilité de l'application sera quasiment nulle.

L'application géorgienne Stop Covid (hum…) a trouvé une parade amusante pour rester au premier plan : au bout de quelques secondes, elle affiche un fond noir qui donne l'impression que l'iPhone est en veille ! Pour « réveiller » le smartphone, il faut appuyer un moment sur l'écran.

On verra rapidement ce que les forts en thème de l'Inria et de ses partenaires auront trouvé pour rendre l'application iOS viable. À en croire le secrétaire d'État au numérique qui s'est exprimé ce matin sur le sujet, Apple a refusé de donner les clés du Bluetooth de l'iPhone, ce qui a provoqué une menace bizarre de la part de Cédric O (« on saura s'en souvenir le moment venu » ?!).


  1. Encore faut-il que StopCovid passe sous les fourches caudines du débat et du vote des parlementaires, comme promis par le Premier ministre.  ↩

  2. L'app anglaise permet à l'utilisateur de signaler des symptômes du COVID-19, ce qui risque de multiplier les fausses alertes. Surtout quand on sait que le virus provoque une toux et de la fièvre, des symptômes assez courants.  ↩

avatar Eikiz | 

Et pendant ce temps-là les users donnent toutes leurs infos à Facebook, Google, Snapchat, criteo et j’en passe, mais ça c’est normal et le tracking ne les choque pas.
Oh wait, en fait ils n’y comprennent rien... cqfd

avatar cherbourg | 

@Eikiz

Ils n’y comprennent ou sont un peu/beaucoup dans le déni ?
😉

avatar Inconnu-Soldat | 

Surtout cela fait quinze jours que le France Bashing joue à plein et qu'apprend-on finalement, alors qu'ici les commentaires furieux contre la France pullulent(on est des nuls on est en retard etc) ? On apprend que l'Australie voit son système qui ne marche pas bien et qu'elle attend de voir ce qui va se passer avec Apple et Google. On apprend que l'Allemagne, énorme machine, puissante et riche, n'a encore rien lancé et hésite. On apprend que le Royaume-Uni va faire un test et devra attendre trois semaines pour lancer son application. Comme nous, donc. On apprend qu'aucun pays n'a encore utilisé l'API d'Apple Google. Aucun. Alors être en retard par rapport à qui ? Par rapport à quoi ? Dans tous les articles aucune analyse de fond : en Europe combien de pays ont une application prête ? Combien utiliseront l'API ? Dans le monde combien de pays ont une application prête ? Combien utiliseront l'API d'Apple Google ? Et pour ceux qui l'ont quels résultats ? Si tous les bavards critiques s'appliquaient à eux-mêmes ce qu'ils reprochent au pouvoir alors ils devaient la mettre en sourdine. Toutes leurs attaquent sont fondées sur une analyse faible, des informations parcellaires et tronquées, parfois fausses. Leurs réactions ne viennent que d'un fond qui les aveuglent, la perfusion, comme sous héroïne, de l'idée hallucinogène sous d'addiction à la médisance, de la volonté des décréter que la France, quoi qu'elle dise ou fasse, est le plus pourri de tous les pays.

avatar c0by | 

@Inconnu-Soldat
C’est bien de reprendre les éléments de langage LREM, leur communication. Tu as bien appris ta leçon.
Petit point de détail qui a son importance, les commentaires critiques ne sont pas envers la France mais envers le gouvernement, le président de la république et sa femme.

avatar Inconnu-Soldat | 

Voilà l'argumentation la plus intelligente du siècle. On vient d'apprendre que c'est la femme de Macron qui développe l'application.
A part ça ?
En quoi la France est-elle en retard par rapport aux autres pays ? En quoi d'autres pays sont-ils tellement en avance qu'ils aient pu utiliser une API pas encore distribuée ?
Combien de pays ont-ils une application qui marche et par combien d'habitants est-elle utilisée ? quelles ont les analyses qui nous donnent l'efficacité d'une telle application ?
Quels sont les pays qui ont pris la même voie que la France ?
Tiens je vais demander à madame Macron.
Pour votre gouverne, monsieur l'étiqueteur, je ne suis ni adhérent, ni sympathisant de LREM, n'ai voté pour Macron (que je n'aime pas) que parce qu'il n'y avait pas le choix au second tour des présidentielles comme une bonne majorité des Français. Quant à vous je me moque bien de quel bord politique vous êtes et si votre bord politique vous entraîne à avoir de tels arguments j'espère bien qu'il ne gouvernera jamais.

avatar Steve Molle | 

@Inconnu-Soldat

En attendant, nous n’utilisons pas de la propagande fangeuse des réseaux macronnards, ni aucune autre d’ailleurs. Et nous ne diffusions pas les mensonges contenus dans cette propagande.

avatar byte_order | 

@Steve Molle
Nous ?
Vous êtes propriétaire de iGen ?!

Non. Alors *vous* n'avez exactement que le même droit que quiconque ici : exprimer votre opinion, ni plus ni moins.

avatar J'en_crois Pas_mes yeux | 

@Inconnu-Soldat "Voilà l'argumentation la plus intelligente"
OK, alors ne perds pas ton temps et le notre en en faisant une tartine
Garde ton intelligence pour débattre avec ceux qui peuvent t'enrichir
A moins que tu ne sois que de la chair à canon sans valeur ni importance sacrifié à l'autel de sa naïveté ?

avatar c0by | 

@Inconnu-Soldat

Hum, le confinement doit vraiment vous pesez, prenez le temps de respirerez, coupez BFM. Apprenez aussi à lire cela peut servir en ces temps.
Quel est votre source pour sortir de telles bêtises dignes de la porte parole gouvernementale ? Pauvre Brigitte, elle n’avait pas besoin de ça avec tout ce qu’elle prend déjà en voulant vendre le mobilier inaliénable de l’état au profit d’une fondation privée.
Et de nouveau les éléments de langage LREM, repris aussi en boucle par certains médias et zélateurs comme vous.
Qui a eu l’outrecuidance de dire que vous étiez LREM ? Pas moi en tout cas, relisez. Cela est vraiment méchant, méchant.
Vous êtes un bon zélateurs, un peu lourd, faites plus courts, allez à l’essentiel et respirez, cela ira bien mieux après.

avatar byte_order | 

@c0by
> faites plus courts

Ah cette génération TL;DR...

avatar raoolito | 

@c0by

reprendre les éléments de langage LREM
appris ta leçon
envers la France mais envers le gouvernement, le président de la république et sa femme

magnifique, ca catalogue immédiatement la personne ayant tenue ces propos. en général on arrete de discuter à ce moment ce sera croyance rouge contre croyance bleu marine contre croyante beige, contre croyance rose, contre croyance..

rien que de tenir ces propos ou on attaque une personne parce qu'elle est le conjoint d'une autre qu'on déteste ca place le niveau intellectuel en dessous d'une vieille tombe en fin de concession.
Oui, vous avez appris à parler avec votre leçon...

avatar c0by | 

@raoolito

Ba il m’avait bien « gonflé » avec ses très très long copier/coller HS utilisant consciemment ou non les mêmes éléments de langage que l’on voit / lit en boucle alors que le sujet de cette application est très intéressant aussi bien sur le fond que la forme.
Merci en passant à MacGé pour la couverture et au quelques contributeurs qui enrichissent la discussion.

avatar stefdefrejus | 

Sans rentrer dans le débat « idéologique » de la pertinence ou pas d’une telle app, le risque est l’utilisation excessive de la batterie. Si l’app doit vider les batteries de ses utilisateurs et rendre les terminaux inutilisables à partir de midi, elle sera aussi vite desinstallée qu’autre chose.

avatar Carbonized | 

J'utilise mon smartphone à moto toute la journée avec liaison bluetooth (casque + smartwatch) et GPS allumés en permanence, et je tiens largement la journée.
Quand à l'utilité de l'application, elle est certaine à condition que suffisamment de personnes l'utilisent.
En Corée le tracking des positifs au Covid est le chœur du système de défense et cela fonctionne parfaitement : pas de confinement et une vie presque normale.

avatar Florent Morin | 

@Carbonized

La liaison Bluetooth est gérée par iOS et non par une app pour les communications. Pour la partie audio, c’est pareil : iOS fournit une API spécifique aux développeurs Spotify et autres. L’aspect basse consommation est donc optimal.
C’est ce que propose l’API COVID de Apple / Google : un accès protégé et optimisé utilisant le Bluetooth sans exposer sa sécurité.

avatar byte_order | 

@FloMo
> C’est ce que propose l’API COVID de Apple / Google :
> un accès protégé et optimisé utilisant le Bluetooth sans exposer sa sécurité.

Du tout. l'API proposé est fonctionnellement de plus haut niveau : c'est une API de gestion de notification à l'exposition à un virus. Elle impose de facto la façon dont le tracking de cette exposition mais également la notification se fait. On peut la trouver mieux, moins bien, mais le fait est qu'elle impose l'essentiel de l'architecture fonctionnelle de la solution, ce n'est pas une API permettant que l'accès protégé et optimisé au BlueTooth sans exposer sa sécurité, non, loin de là.

> - limiter le pouvoir de l’app et augmenter celui de l’utilisateur.

Quelle bonne blague. L'utilisateur est propriétaire de son libre arbitre, du terminal iOS y compris de la puce BlueTooth. Et pourtant, c'est Apple qui garde le contrôle sur ce qu'il a le droit de vouloir faire avec.

L'augmentation du pouvoir de l'utilisateur ? Rires.
L'augmentation de la protection de l'utilisateur "pour son bien", mais par un tiers (par ailleurs intéressé). Ni le libre arbitre de l'utilisateur ni son pouvoir de contrôle n'est renforcé ici, au contraire il n'a d'autre choix que d'accepter les choix fait par autrui.

C'est comme si vous disiez que votre banque vous offre l'accès à son coffre fort mais en garde la clé (et le droit de révoquer comme elle le veut l'accès) vous confiait plus de pouvoir !

On peut défendre la proposition COVID d'Apple/Google, mais par pitié, cessez de répeter que des solutions propriétaires mis en avant par des tiers, par ailleurs non désintéressé à l'affaire, renforce le pouvoir de l'utilisateur, c'est ridicule.

avatar Florent Morin | 

@byte_order

Je suis content que ça vous fasse rire.

Mais quand un utilisateur bloque à une app l’accès aux notifications, au GPS ou autre.. le pouvoir est du côté de l’utilisateur et pas du côté de l’app. Par app, j’entends le développeur. Mais, dans le cadre de la sécurité, celui qui en aurait pris le contrôle.

Après, je ne vois pas quel est l’intérêt supplémentaire d’Apple et Google étant donné qu’ils ont accès aux données GPS, GSM, Bluetooth et tout ce qui s’affiche à l’écran.
S’ils veulent, ils se servent. C’est bien plus précis que l’API COVID. Et bien moins anonyme.

Si on n’a confiance ni en Google, ni en Apple, il faut jeter son smartphone.

En tout cas, une app faite pour fonctionner sur iOS / Android dépend de toutes manières de Apple / Google. Et passe par leurs systèmes. Quelle que soit la solution.

Il est donc surprenant d’envisager une solution souveraine car elle ne l’est pas, par définition.

avatar byte_order | 

@FloMo
> Mais quand un utilisateur bloque à une app l’accès aux notifications, au GPS ou autre..
> le pouvoir est du côté de l’utilisateur et pas du côté de l’app

Et quand un utilisateur voudrait pouvoir utiliser une app en lui donnant l'accès au BT même en tâche de fond et que c'est l'AppStore qui lui bloque l'accès à cette app, c'est toujours lui qui a le pouvoir ?!?

Merci de ne pas regarder que la moitié pleine du verre du libre arbitre : un utilisateur doit pouvoir décider tout autant de bloquer ou de NE PAS bloquer. Ici, quelqu'un d'autre décide à sa place en lui laissant juste le droit de décider de tout bloquer ou juste ce que ce tiers à décider de bloquer sans lui demander son avis. Un "pouvoir" sous tutelle.

> Après, je ne vois pas quel est l’intérêt supplémentaire d’Apple et Google

La dépendance de solutions de santé publique à une API dispo que sur leurs plateformes, et sous leur contrôle.

> Si on n’a confiance ni en Google, ni en Apple, il faut jeter son smartphone.

Pour rappel, y'a plein de smartphones qui ne sont pas produits par Apple ni Google, et sur lesquels il est même possible d'installer des OS qui ne sont pas propriétaires.

> En tout cas, une app faite pour fonctionner sur iOS / Android dépend
> de toutes manières de Apple / Google. Et passe par leurs systèmes.

Pour iOS, clairement.
Pour Android, nettement moins. AOSP n'empêche pas de produire des versions d'OS "compatibles" Android sans pour autant être intégralement sous le contrôle de Google. Les ROM alternatives, Samsung, Huawei & co ajoutent ou modifient Android, de facto Android est plus la définition d'une plateforme logicielle qu'un OS unique. Un peu comme les distributions Linux, quoi.

> Il est donc surprenant d’envisager une solution souveraine car elle ne l’est pas,
> par définition.

C'est pas une excuse pour renoncer à tenter d'avoir une solution la plus souveraine possible, quand bien même elle ne peut l'être à 100%. C'est pas tout ou rien.

avatar Florent Morin | 

@byte_order

Dans ces cas-là, autant cibler uniquement les Android qui n’utilisent pas de versions Google.

Mais ça limite l’intérêt du projet. 😊

Je pense qu’Apple et Google aurait abusé si la solution cloud passait par chez eux.
Mais ce n’est pas le cas. Et les limites posées sont clairement justifiées. En particulier le fait de bloquer l’accès au GPS quand on utilise l’API COVID.

avatar byte_order | 

@FloMo
> Et les limites posées sont clairement justifiées.

On peut en débattre, mais pas de prétendre qu'elles renforcent le pouvoir de contrôle de l'utilisateur alors qu'elles ne sont pas sous son contrôle, et encore moins de ne les lever s'il le souhaitait.

avatar c0by | 

@FloMo

Merci pour ces compléments qui sont les plus clair que j’ai lu, cela mériterait d’en faire un article 👍

avatar Florent Morin | 

@c0by

J’avoue y penser. Ça mérite une vulgarisation maintenant qu’Apple a quasiment finalisé son API.

avatar Steve Molle | 

« Confiance dans les services de l’état...»

Vous avez confiance en Sibeth, Castaner, Darmanin ou Penicaud vous ????

avatar geooooooooffrey | 

C'est marrant, pourquoi pour évoquer 3 des membres du gouvernement vous utilisez leur nom de famille, et pour une 4ème son prénom ?

avatar Steve Molle | 

Peut-être parce que son prénom est particulièrement bien nommé...

avatar Sir Rendal | 

@Steve Molle

Toi aussi tu as l’air bien nommé

avatar Sindanárië | 
avatar Sir Rendal | 

@Sindanárië

🤣🤣

avatar Steve Molle | 

Tu n'aimes qu'on s'en prenne à tes héros, je comprends ! La bise à Benalla !

avatar Sir Rendal | 

@Steve Molle

Si tu n’as pas compris l’indécence ou la bêtise (au choix) de ton message. Alors il n’y a plus rien à faire.

avatar Steve Molle | 

Chut. Taisez-vous les marcheurs. Tentez d'être dignes un minimum.

avatar Sindanárië | 

@Steve Molle

"Tentez d'être dignes un minimum."

Et ça s’applique qu’aux autres c’est ça ? 🤔

avatar Steve Molle | 

Je n'ai matraqué aucun personnel soignant qui réclamait des moyens moi....mutilé personne...ni detourné les moyens de l'Etat pour mes propres intérêts..etc etc etc.

avatar Sindanárië | 

@Steve Molle

Ok
mais le parallele entre la bêtise et le prénom de Ndiaye c’est guère mieux que ce qui te révolte, ou nous révolte chez ce gouvernement.
Quoi qu’on pense de la dite porte parole et de sa moralité 😉

avatar Steve Molle | 

@Sindanárië

C’est que tu n’as suivi aucune de ses déclarations .... constate et tu pourras en conclure toi aussi qu’elle porte bien son prénom.

avatar occam | 

@Steve Molle

Voyons cela d’un peu plus près.

1. Avez-vous été matraqué pour avoir réclamé plus de moyens en tant que soignant ?
Si oui, où et quand ? Par qui ?
Si non, l’un de vos proches ? Où et quand ? Par qui ?

2. Avez-vous été mutilé ?
Si oui, où et quand ? Par qui ?
Avez-vous déposé plainte ?
Si non, l’un de vos proches ? Où et quand? Par qui ?

3. Quand vous évoquez le détournement des moyens de l’État à des fins privées, vous vous référez à qui concrètement ? Dans quelles circonstances ?

4. Quel est le rapport concret entre les points 1, 2 et 3 et l’app StopCovid ?

À défaut de voir étayés les faits et leur rapport concret au sujet en cause, nous serions en droit de conclure qu’il ne s’agit, dans ce qui précède, que de l’habituelle fumisterie réthorique des brasseurs d’amalgame.

avatar Eyquem | 

@geooooooooffrey

Sûrement parce que son prénom est plus facile à retenir que son nom ! Faut pas chercher la petite bête en insinuant qu’il l’abaisse parce que c’est une femme 🤦‍♂️

avatar geooooooooffrey | 

Pénicaud aussi est une femme. Et retenir « Pénicaud » c’est pas plus compliqué que « Muriel » ?

avatar Eyquem | 

@geooooooooffrey

Pas vraiment non, ça se retient. Alors que Ndialé est compliqué à prononcer et à retenir.

avatar byte_order | 

@Eyquem
> Pas vraiment non, ça se retient. Alors que Ndialé est compliqué à prononcer et à retenir.

Oh, mais comme on comprends. Du coup, la solution intelligente c'est de la surnommer "si bête" ?! Je crains que la bétise soit assez bien partagée, en fait.

avatar Steve Molle | 

Ha c'était donc ça le sous-entendu ? Décidément les marcheurs ont un point commun : la petitesse d'esprit.

avatar byte_order | 

dit celui qui étiquette sans savoir le moins du monde quoi que ce soit à qui il répond pourtant, a recourt à l'attaque personnelle, à l'insulte...

avatar Sindanárië | 

@Steve Molle

"Vous avez confiance en Sibeth, Castaner, Darmanin ou Penicaud vous ????"

Bah au moins ils relancent l’industrie du cirque 🎪😬

avatar narugi | 

@Steve Molle

J’ai plus confiance en l’État que dans des entreprises que je ne connais que par des produits...
Cependant, je nuance mon propos car le fait est que l’app sera vraiment pas utile sur iOS. J’aurai aimé que Apple aide les nations qui la sollicitait. Mais bon ils ont voulu faire autrement.

avatar Florent Morin | 

@narugi

Apple a aidé les nations : la majorité des pays ont adopté son API COVID. C’est la France qui fait figure d’exception avec 2-3 autres pays.

Il suffit de regarder l’historique de l’API pour voir que les doutes exprimés par les nations ont été pris en considération :

- chiffrement plus fort
- amélioration de la confidentialité des identifiants
- personnalisation de l’algorithme permettant de déterminer la contagiosité.

Et cela correspond chronologiquement aux points soulevés par le gouvernement.

Là où Apple (comme Google) n’a pas flanché, c’est qu’il est hors de question d’exposer la sécurité des utilisateurs juste pour pouvoir centraliser les traitements. Et il est clair que le protocole ROBERT se coupe de mécanismes de protection des données évidents, qui ont fait leurs preuves depuis 12 ans. Et c’est encore plus vrai avec les appareils récents.

Enfin, pour ce qui est de l’aide aux nations, des développeurs indépendants ont mis sur GitHub des exemples de code depuis des semaines à partir des spécifications. Apple a mis en ligne récemment une documentation d’API qui permet de tout tester dans la dernière beta. Un code d’exemple est même fourni et documenté.

Clairement, ça va être difficile de reprocher quoi que ce soit à Apple.

avatar Steve Molle | 

@FloMo

Merci de rappeler cette évidence mais aussi et surtout le plus important l’architecture et le fonctionnement respectueux de la vie privée de cette API.

avatar francoismarty | 

La solution d'Apple est centralisée aussi, il me semble.
Il faut un serveur qui stockera les crypto-identifiants des personnes infectées, qui seront ensuite récupérés par les smartphones.
La solution française, ne stocke que les crypto-indentifiants des contacts des personnes infectées.
Donc ça se discute niveau sécurité des données stockées.
La solution dite centralisée, permettrait aussi une mise à jour simple de l'algorithme de détection, ce dernier se trouvant sur un serveur. Cela est rendu plus compliqué par le système décentralisé et le passage obligé par le store, et le téléchargement des mises à jour par les utilisateurs.

avatar Florent Morin | 

@francoismarty

Excellentes remarques. 👍

En fait, le système d’Apple est décentralisé dans le sens où les traitements sont effectués sur les appareils des utilisateurs :
- la génération de l’identifiant
- la récupération des contacts Bluetooth
- le fait de déterminer le risque.

L’aspect centralisé est juste un stockage et un partage des identifiants anonymes des personnes malades. C’est indispensable à un moment donné.

Mais l’idée principale est de minimiser le risque :
- traiter le moins d’informations possibles
- les traiter le plus possible « hors ligne »
- limiter le pouvoir de l’app et augmenter celui de l’utilisateur.

Pour déterminer le risque, l’API COVID fournit dans sa dernière version des paramètres qui peuvent être fournis par un serveur. Ce sont en gros des curseurs pour ajuster l’algorithme de sorte à ne pas avoir des choses délirantes. Et tout ceci peut être synchronisé depuis un serveur : c’est d’ailleurs l’exemple donné par Apple dans son code.

Le fait de n’envoyer que la liste des contacts est une fausse sécurité et plutôt même un danger à plusieurs niveaux dans le cadre du COVID.
En général, une attaque informatique (c’est là qu’est le risque) s’appuie sur l’injection d’un code malicieux dans l’app et/ou dans le réseau de l’utilisateur. L’app étant jeune, elle est plus soumise au risque. Contrairement à l’OS qui est bien rodé pour contrer les attaques.
Donc, donner plus de pouvoir à l’app, c’est donner plus de pouvoir à celui qui va l’attaquer.
La génération des identifiants étant centralisée, la récupération de l’identifiant du malade qui va se
déclarer est assez simple dès lors qu’on a accès à l’app.
L’ensemble des identifiants des personnes rencontrées est aussi accessible.
Et, si on n’utilise pas l’API COVID, l’accès au GPS reste possible.
Donc l’attaquant possède :
- les identifiants de l’utilisateur
- sa géolocalisation
- les identifiants de ses contacts
- les horaires des contacts.
Dès lors, il suffit que l’une des personnes du groupe soit assez peu prudente sur les réseaux sociaux pour que les informations soient croisées et permettent de faire le rapprochement avec les autres. C’est du Big Data assez basique, tel que consommé par Cambridge Analytica par exemple.

A contrario, l’approche décentralisée n’expose « que » les informations utiles.
Par défaut, l’app n’a accès à rien.
Quand elle reçoit la liste des identifiants de malades pour analyse, elle les fournit à l’API COVID. Et là, une alerte sera levée s’il y a un identifiant qui correspond à un contact.
Quand l’utilisateur se déclare malade, l’app demande une autorisation d’accès aux identifiants de l’utilisateur et uniquement ceux correspondant à des contacts sont remontés.
Le GPS est bloqué.
Et, si l’utilisateur veut empêcher l’app d’accéder au COVID, c’est un curseur dans les réglages de l’OS. Pratique pour contrer une attaque.

Sachant que potentiellement, il serait possible d’y ajouter du bruit dans les données pour rendre toute analyse 100% inopérante. Sans compromettre le diagnostic.

avatar Adodane | 

@FloMo

Le système de Google/Apple est centralisé aussi et privé, propriétaire.
Seulement eux savent ce que contient ce cloud de données ( données personnelles, de géolocalisation, etc ) , seulement eux peuvent traiter les données, et même choisir de les retenir. Ils gèrent grâce à leur api ce qui est envoyé dans ce cloud centralisé et comment.

C’est simple : ces données essentielles ne nous appartient plus à partir du moment où elles se trouvent dans ce cloud ! 🤷‍♀️

avatar Florent Morin | 

@Adodane

Dans l’approche Apple / Google + la majorité des gouvernements, les données sont sur votre appareil.

Les seules données qui sortent vont dans un cloud qui est géré par une gouvernementales.
C’est juste un « passe-plat ».

Ces données sont des identifiants anonymes aléatoires générés sur l’appareils de l’utilisateur toutes les 10 minutes (jusqu’à 30 minutes, au choix du gouvernement)

Et, parmi ces identifiants, les seuls qui sortent sont :
- ceux des personnes malades
- uniquement ceux envoyés à d’autres utilisateurs en Bluetooth.

Tout le reste se passe sur le smartphone.

Le code source fourni et la documentation sont très clair sur ce point.

Pages

CONNEXION UTILISATEUR