Interopérabilité des apps de traçage : bonnet d'âne pour la France et StopCovid
La souveraineté numérique a été un des arguments avancés par Cédric O et le gouvernement pour justifier de l'approche franco-française de StopCovid. Cette vision flatte peut-être l'égo national, mais c'est un vrai problème pour le reste de l'Europe qui a décidé de faire sans l'Hexagone. La France est en effet un des quelques pays européens à avoir choisi un modèle centralisé, contrairement à l'Italie, la Suisse, l'Allemagne, la Pologne et d'autres qui ont préféré l'API d'Apple et de Google1 et une approche décentralisée. Celle-ci autorise un certain niveau d'interopérabilité des applications entre elles, et c'est ce que la Commission européenne entend faciliter.
Bruxelles et les États membres se sont en effet mis d'accord sur un ensemble de spécifications techniques pour garantir la sécurité des échanges d'informations entre les apps de traçage nationales qui utilisent une architecture décentralisée. Concrètement, la Commission va mettre en place dans les trois semaines un « service passerelle » qui recevra et transmettra les données partagées par les apps et les serveurs nationaux de suivi des contacts.
Un test pilote débutera entre l'Allemagne, les Pays-Bas, la Pologne et l'Irlande. En Europe, la France fait quasiment cavalier seul2, ce qui l'exclut automatiquement de cette initiative visant à faciliter la vie des Européens en goguette sur le continent. Magnanime, la Commission précise que les travaux se poursuivent pour étendre l'interopérabilité aux apps de traçage centralisées. Thierry Breton, le commissaire en charge du marché intérieur, explique :
Alors que nous approchons de la saison touristique, il importe de faire en sorte que les Européens puissent utiliser l'application de leur propre pays où qu'ils se rendent dans l'UE. Les applications de traçage des contacts peuvent être utiles pour limiter la propagation du coronavirus, en particulier dans le cadre des stratégies nationales de levée des mesures de confinement.
L'absence de la France est d'autant plus dommageable que c'est la première destination touristique au monde. Cédric O, le secrétaire d'État au Numérique, avait proposé une solution assez peu satisfaisante à ce problème : télécharger les applications de traçage des autres pays…
@occam
C'est quand meme bien plus difficile chez nous. Je dirais que l'allemagne a connu l'enfer au sens propre, ca a du laisser des traces.
Et oui décentralisation pour eviter que tout remonte vers l'etat ( ex: le sanitaire) mais AUSSI un role accru du privé, des micro boulots en brouettes, une infrastructure assez délabrée etc..
Ils ont leurs soucis eux aussi. Mais l'acceptation des reformes Schreuder au debut des années 2000 est la raison directe de la prospérité actuelle. Aucune chance que ceux qui l'encense actuellement les aurait accepté meme sur une base de négociations
@BleuRooster
"Un peut de patriotisme & fierté serais bien venu!"
...comme en 1914 ? 🙄
Le patriotisme a au moins ceci de bien : le héros ne sait jamais qu'il est mort... pour rien.
@Sindanárië
🙂👍
Sinon j’ai toujours pas compris en quoi ne pas utiliser des API relève de la souveraineté numérique de la France.
@Furious Angel
Moi je pense à une sorte de démonstration technique.
Apres tout, ce sont les allemands qui ont changé d'avis tous seuls ( à tort ou a raison je ne juge pas mais je regrette que le projet européen ne puisse nous englober)
@raoolito
Mais là c’est pas le but...
@Furious Angel
Facile l’application en gros c’est bien une Application de géolocalisation?! Même les Militaires, Forces de l’ordre, Politique, Scientifique, Dirigeant de multinationales en plus des citoyens peuvent être tracés! par un pays étranger! (Je ne crois absolument pas à la protection de la vie privée avec tout les scandales pour preuve!)
C’est un peut comme la carte d’identité pour les sites porno, demain quand quelqu’un sera gênant ont pourra dire qu’il aime le porno gay par exemple 🤣
@BleuRooster
Non ce n’est pas une application de géolocalisation. Il n’y a aucun lieu enregistré. Et les API d’Apple et Google stockaient les données en local.
@BleuRooster
Mon Dieu, t'as aucune idée de comment ça marche, mais t'en as beaucoup 🙄
Ni StopCivid, ni l'API ont la possibilité de tracer qui que ce soit. Il s'agit uniquement de savoir que QUELQU'UN a à un moment donné rencontré QUELQU'UN infecté QUELQUE PART. Ni le quand ni le où sont utiles. Si tu es inquiet que ça se pourrait, rassure toi, pour accéder au GPS nécessaire au traçage StopCovid devrait te demander la permission sur iOS que tu devrais donner activement et le réitérer et confirmer plusieurs fois.
La grande différence entre la solution française et par exemple allemande est que la solution allemande stocke les ID randomisées rencontrées ces deux dernières semaines localement sur le téléphone. StopCovid envoie tout sur un serveur, qui s'occupe à faire le lien entre des numéros marqués comme "maintenant infecté, pouvait transmettre la maladie depuis 14j" - et prévient derrière les numéros ayant été en contact avec un de ces numéros.
La solution allemande est différente, car la liste de "tes" rencontres reste sur ton téléphone et le quitte pas. Régulièrement, elle charge d'un serveur les numéros ayant été diagnostiqués COVID+, les compare localement à tes rencontres et te notifie en cas de concordance.
En gros: les pays utilisant l'API d'Apple et google ont sur leur serveur uniquement une liste de numéros qui se sont déclarés infectés, alors que les serveurs Français ont toutes les rencontres de toutes les ID. Certes randomisés et (a priori) inutilisables pour en tirer plus que quelques statistiques, mais quand-même.
--
En tout cas si j'ai tout bien compris 😃
@Caliguvara
« Certes randomisés et (a priori) inutilisables pour en tirer plus que quelques statistiques, mais quand-même. »
Tu fais bien de préciser « a priori », car en croisant avec les données réseau, il est au minimum possible de déterminer l’adresse IP pour chaque « pseudo »...
Donc même si une adresse IP ne permet pas forcément d’identifier une personne (sauf si on utilise l’app depuis une connexion fixe avec IP fixe), les FAI ont les statistiques (obligation légale) pour être capable d’identifier les personnes derrière les IPs qu’ils attribuent dynamiquement (ou non), y compris sur réseau mobile, dans le cas où une autorité leur demanderait (normalement que dans le cadre d’une enquête dans une procédure judiciaire).
@Caliguvara
> La grande différence entre la solution française et par exemple allemande
La grande différence c'est où est fait le traitement qui estime si tel contact pseudonymisé a été exposé suffisamment au virus ou pas :
- centralisée : le calcul est fait sur un serveur sous contrôle du pays éditeur de la solution
- décentralisée avec l'API d'Apple/Google : le calcul est fait dans la boite noire de l'API, le pays éditeur de la solution ne peut que modifier les paramètres acceptées par l'API de la boite noire.
Et la boite noire, elle, n'est pas open source.
On parle quand même d'un diagnostic de santé !
Vous confierez l'analyse d'une image d'un scanner pour diagnostiquer un risque de cancer à une entreprise étrangère vendeuse de smartphone, vous ? Vos assureurs seront ravis de l'apprendre...
> StopCovid envoie tout sur un serveur
*Lors* que vous vous déclarez avoir été posté positif.
Tant que vous ne le faites pas, non, StopCovid n'envoie rien sur un serveur.
Par contre, elle consulte régulièrement ce serveur pour savoir si une notification concernant son utilisateur doit être affichée, l'invitant à se faire tester et s'auto-confiner en attendant le résultat du test. Cette interrogation régulière n'envoie pas les infos des contacts !
"Tant que vous ne le faites pas, non, StopCovid n'envoie rien sur un serveur."
Ça, c'est exact. Et je rectifie en effet mon commentaire précédent dans le sens suivant que "la Corona-Warn-App (allemande) envoie en cas de demande de l'utilisateur (Suite à un diagnostique positif et vérification) ses ID des 14 derniers jours. StopCovid envie dans cette même situation ses propres ID, mais aussi toutes les ID rencontrées (même celles qui n'entrent pas dans la limite du temps).
La chaîne de transmission se vérifie ainsi de manière centralisée (comme en France, sur un serveur) ou de manière décentralisée (en Allemagne et tout autre pays utilisant l'API) où la vérification de contacts se fait localement sur chaque téléphone. StopCovid vérifie régulièrement si une de mes ID précédentes est sur une liste ayant été en contact avec un ID rouge. Corona-Warn-App télécharge cette liste rouge."
Par contre toute l'information concernant l'API est, à ce que j'ai cru comprendre, tout à fait OpenSource.
@Caliguvara
> Corona-Warn-App (allemande) envoie en cas de demande de l'utilisateur
> (Suite à un diagnostique positif et vérification) ses ID des 14 derniers jours.
Euh, non, c'est pas *ses* ID, mais bien *les* clés des ID rencontrées durant les 14 derniers jours.
> StopCovid envie dans cette même situation ses propres ID,
Y'a pas de "propres" ID, là aussi c'est la liste des ID rencontrées durant les 14 derniers jours.
Y'a polémique ici, car selon le decrèt voté, elle était censée n'envoyer que la liste des ID rencontrées durant les 14 derniers jours qui ont été à moins de 1m pendant plus de 15min.
> même celles qui n'entrent pas dans la limite du temps).
Nan, ça c'est faux. C'est 14j max.
> Par contre toute l'information concernant l'API est, à ce que j'ai cru comprendre,
> tout à fait OpenSource.
Le protocole, oui.
l'API, c.a.d. dire le contract d'appel aux fonctions offertes par l'API, oui.
L'implementation de cette API faite par Apple sur iOS et par Google sur Android, *non*.
En particulier, impossible de vérifier réellement ce que fait le calcul déterminant si vous avez été exposé ou juste en contact sans risque d'exposition. Seuls les paramètres d'entrée de ce calcul sont documenté publiquement.
On ne peut pas non plus vérifier que les données stockées dans la boite noire de l'API ne font effectivement l'objet d'aucun autre traitement que celui promis. C'est invérifiable.
On parle beaucoup de confiance, ou pour être plus précis, de défiance.
Je ne vois aucune raison de plus se méfier de *mon* gouvernement que d'une entreprise privée étrangère, moi. D'autant quand le premier montre plus de transparence que la seconde.
@byte_order
dans la limite du temps, je me referais pas au 14j mais aux 15mn - my bad 😉
Par contre, et là c'est un sûr et certain, Corona-Warn-App n'envoie que* et uniquement les ID génères ces 14 derniers jours sur le serveur de la Telecom, et en aucun cas les ID rencontrées, que ce soient des rencontres brèves ou durants. La documentation et le code sont disponibles, Jens Spahn (ministre de la santé en Allemagne) a également été très clair sur le sujet. Et croyez moi, étant allemand habitant en France j'ai bien compris ses propos et les sources officielles. 😉
https://github.com/corona-warn-app
D'ailleurs le Chaos Computer Club (étant la référence officieuse au niveau européen concernant tout ce qui touche à la sécurité informatique et la protection des données) a donné une recommandation uniquement pour l'application allemande (analysée en détail). En vrac, le CCC recommande uniquement une solution qui devra se baser sur le volontariat, la mise à disposition du code source, un fonctionnement non centralisé en pair-à-pair, une récolte des données minimale et, bien évidemment, le chiffrement des données qui seront strictement conservées en local. StopCovid manque cette recommandation de plusieurs points, malheureusement.
je ne sais pas qui à tort ou raison,
mais le melon carafon qu'a pris MacG est impressionnant de béatitude
@MickaëlBazoge
serratiopepsidase pour les œdèmes aux chevilles
y'a pas mieux , ideal aussi pour les abcès dentaires et les hémorroïdes
satisfait ou remboursé
@MickaëlBazoge
serratiopepsidase pour les œdèmes aux chevilles
y'a pas mieux , ideal aussi pour les abcès dentaires et les hémorroïdes
satisfait ou remboursé
@alan1bangkok
"serratiopepsidase pour les œdèmes aux chevilles
y'a pas mieux , ideal aussi pour les abcès dentaires et les hémorroïdes
satisfait ou remboursé"
Vous pouvez suivre ce conseil @Macg, il semblerait que vous ayez affaire à un connaisseur 😅😂
@Sindanárië
t'es meilleur quand tu t'exprimes à
l'aide d'un gif
@alan1bangkok
« ideal aussi pour les abcès dentaires et les hémorroïdes »
Temps de se référer aux classiques :
« Il est plus facile de traiter une angine avec des suppositoires que des hémorroïdes avec des bains de bouche. »
——Pierre Dac
Et n’oublions pas — Desproges nous le rappelle — que les rois de France avaient, par la grâce de Dieu, le don de guérir les hémorroïdes et les pustules buboniques par un simple baiser apposé sur la partie affectée.
S’ils s’en désistaient, c’était par mesquinerie.
@occam
faut reconnaître que pour déposer de doux baisers sur les chevilles de MacG les fanboys se précipitent . On ne saura trop leurs conseiller de porter un masque et un bonnet d'âne sponsorisé pour faire référence à l'article
« Sinon j’ai toujours pas compris en quoi ne pas utiliser des API relève de la souveraineté numérique de la France. » c’est parce que les deux n’ont rien à voir bien entendu !!
Mais encore faut-il s’y connaître un peu en informatique pour le comprendre, ce qui n’est pas le cas des personnes prenant des décisions relevant du numérique en France (et probablement ailleurs dans le monde aussi)
C’est la fierté nationale de la république de la grande nation de... ah ben non, ça c’était valable il y a 300 ans, mais notre esprit y est encore.
même la solution de API Apple/Google, ça couterait pareil au contribuable. on a vu le prix qui payent les allemands. donc ça ne changerait pas grand chose.
MacG use ce sujet depuis des jours parce que ça incite les gens à participer. c'est bien.
Donc en gros il n’y a que quatre pays qui ont non l’interopérabilité, mais un bout d’interopérabilité et encore juste possible et encore pour pas tout de suite et comme à son habitude MacG s’acharne contre la France. Au passage ni l’Espagne, ni le Portugal, ni la Grèce, ni la côte Dalmate, enfin sans doute plus de 70 % des lieux touristiques de l’été n’auront d’interopérabilité cet été ce qui prouve le haut degré d’objectivité de cet article dont l’auteur fera tout pour démontrer comment la France est à la ramasse.
On a donc d’un côté juste quelques pays minoritaires qui vont hypothétiquement faire un petit truc à moitié valide et de l’autre tous les principaux pays touristiques qui ne seront pas concernés mais l’auteur se focalise sur la France, tout en oubliant volontairement qu’est étudiée une possibilité logicielle générale et que la France peut mettre à jour son application juste le temps de la validation par les stores. Au fait Apple n’a toujours pas dévalidé StopCovid.
Il est délicieux de voir ceux qui disent que toutes ses applications sont inutiles s’inquiéter de cette non interopérabilité. En fait seul du StopCovid bashing les intéresse et tout biais pour l’attaquer leur fait ventre, y compris approximations, mauvaise foi, mensonges, occultations, oublis, analyses biaisées etc.
> Donc en gros il n’y a que quatre pays qui ont non l’interopérabilité, mais un bout d’interopérabilité et encore juste possible et encore pour pas tout de suite
Le boulot est quand même pas mal mâché...
https://github.com/google/exposure-notifications-server
Aujourd'hui, les clés servant à chiffrer les pseudonymes de contact à risque (et leur période de validité) font ce chemin :
- du malade vers le serveur
- tri / stockage sur le serveur
- signature / redistribution sur les iOS / Android.
Ce qui doit être fait en plus :
- chiffrement / redistribution sur d'autres serveurs.
C'est tout. Rien d'exceptionnel.
@FloMo
> Ce qui doit être fait en plus :
> - chiffrement / redistribution sur d'autres serveurs.
>
> C'est tout. Rien d'exceptionnel.
C'est pas tout à fait exact.
Ce qui doit être fait en plus :
- établir les accords de redistribution avec les serveurs des solutions des autres pays de l'UE
- chiffrement / redistribution sur d'autres serveurs.
Je crains que l'étape 1 prenne plus de temps que vous ne le croyez.
Justement ce n’est pas le première fois que la France fait cavalier seul. Le problème c’est qu’elle oublie que quand elle le fait, elle le fait mal.
Vous avez oublié le Secam contre le Pal ? Moi non.
La décision de la France d’utiliser la norme vidéo Secam alors que l’europe entière était en Pal, a fait chier tous les professionnels de la video durant plus de 30 ans.
Vous avez oublié la TNT en Mpeg 2 alors que l’europe optait déjà pour le Mpeg 4 ? Moi pas.
Résultat quand nous sommes passés à la TV HD, il a fallu acheter des décodeurs Mpeg 4 car les téléviseurs vendus en France n’étaient pas équipés. Ça nous a coûté plus cher, et ce n’était pas ergonomique d’avoir un boitier externe.
Vous répondez non seulement à côté mais en plus en oubliant le principal, ce ńest qu’une minorité de pays peu touristique l’été qui vont peut-être avoir un possible petit bout d’interopérabilité. La France qui est attaquée ne fait aucun cas plus cavalier seul que l’Espagne, le Portugal, enfin avec quelques autres pays la très grande et majoritaire partie des pays touristiques. Donc cet article à charge est lui aussi à côté de la plaque. Je vous conseille de relire ce que j’ai écrit, de l’intégrer et peut-être aurez-vous une remarque adéquat à faire. Tant qu’à comparer on peut aussi parler de Villepin, avaliser seul, à l’ONU, au nom de la France s’opposer à la guerre du golfe. On peut toujours chercher et trouver un exemple d’un cavalier seul péjoratif alors qu'il peut y en avoir cent positifs.
@Inconnu-Soldat
Et maintenant, je répond à côté ?
https://www.igen.fr/app-store/2020/09/lue-va-faire-dialoguer-les-applications-de-suivi-des-contacts-sans-stopcovid
Y a bientôt de quoi faire un StopCovidGeneration
@geooooooooffrey
Avec ou sans abonnement ? 🤨🧐😀
Deux abonnements même.
API Apple/Google ou pas, le résultat en France aurait été le même: se plaindre avant, pendant et après (et ne pas l’installer).
#JamaisContents
@Kimaero
"#JamaisContents"
#Capricieux, plutôt
Vous continuez à raconter n'importe quoi au sujet de StopCovid...
L'interoperabilité fait partie intégrante du projet depuis le départ car c'est une exigence de l'UE.
Les Pays européens développant une app de traçage se sont accordées dès le mois d'avril sur le format d'échange de données entre les serveurs nationaux.
StopCovid peut s'interfacer avec n'importe laquelle des apps existantes ailleurs en Europe (dont la Suisse bien qu'elle soit hors UE).
Si Olivier Véran a pu suggérer aux trans frontaliers d'installer plusieurs apps c'est simplement que l'interoperabilité, si elle est prévue, n'est pas encore une réalité.
@SyMich
Mais si mon iPhone avec StopCovid croise un iPhone italien avec Immuni, est-ce que les 2 se détectent et enregistrent la clé émise par l'autre ???
C'est ainsi qu'on l'a conçu. Peu importe d'ailleurs que ce soit l'app italienne ou l'app allemande. C'est la totale compatibilité avec l'API Google/Apple l'important.
Le blocage du protocole EN pour les apps bluetooth "communes" s'est passé comment du coup ?
Apple a fait une exception pour StopCovid ?
http://www.davidgyoungtech.com/2020/04/24/hacking-with-contact-tracing-beacons
@SyMich
Ça te surprend vraiment ? Ça fait depuis le début que MacG raconte n'importe quoi sur les applications de traçage, et en particulier sur StopCovid.
On se rappelle par exemple du grand moment de rigolade à la lecture de l'argument comme quoi l'aspect "souveraineté" de StopCovid n'était pas atteint... car l'application était développée par des sociétés n'ayant pas un actionnariat 100% français !
Et pour ce qui est de l'interopérabilité, à en croire MacG il fallait absolument utiliser l'API d'Apple et de Google. Résultat ? Aucune des applications européennes reposant sur celle-ci ne sont pour l'instant compatibles entre elles. Vous savez, la fameuse API d'Apple et de Google. Celle qui était mieux que n'importe quelle autre solution. Celle qui allait permettre d'économiser plein d'argent (comment ? Vous me dites que les frais de fonctionnement de l'application allemande sont 10 fois plus élevés que ceux de la française ?!). Celle qui garantissait une sécurité parfait (ah, des experts ont lancé une alerte sur ce point en particulier ?!).
@SyMich
"c'est simplement que l'interoperabilité, si elle est prévue, n'est pas encore une réalité. "
Pourquoi faire aujourd’hui ce qu’on pourrait remettre à après-demain... gné ?😁
@Sindanárië
Il faut peut-être attendre que tous les pays aient lancé leur propre app et qu'ils la testent chacun de leur côté avant de faire communiquer tout ça... personnellement ça ne me surprend pas.
D'autant que pour l'instant la plupart des frontières sont encore fermées donc l'interoperabilite ce n'est peut-être pas la,priorité (et j'imagine qu'une fois qu'elle sera activée, il faudra faire de nouveaux tests!)
@Sindanárië
> Pourquoi faire aujourd’hui ce qu’on pourrait remettre à après-demain... gné ?
Parce qu'on manque de temps et que tout ne peut pas être fait avec le même niveau d'urgence ?
#jdcjdr
@SyMich
L’une des exigences de l’UE c’était également une architecture décentralisée. Il me semble que c’est important de le rappeler.
@SyMich
Le protocole Exposure Notification permet une interopérabilité du fait de l’échange des clés de diagnostic.
Seules les clés et leurs périodes de validité transitent. Mais c’est suffisant pour faire un diagnostic.
Les pseudonymes sont stockés sur les appareils et échangés exclusivement via Bluetooth.
Clés + pseudonymes = diagnostic.
Il suffit juste d’avoir les clés des 2 pays.
L’interoperabilité est là évidente.
Par mesure de sécurité, depuis iOS 13.4.1 et 13.5, le protocole Exposure Notification est bloqué dans l’API Bluetooth. Donc StopCovid ne peut pas l’implémenter. Et donc l’app ne reçoit aucun pseudonyme.
Pas de pseudonyme, pas de diagnostic.
Ça voudrait dire que toutes les autres apps vont implémenter ROBERT ?
Ou alors que l’interoperabilité est limitée ?
Ou autre chose ?
Oui mais enfin bon, reconnais que ça a été développé avec les pieds ce machin là. Alors on vas donner l’excuse du temps impartis qui était court. Mais enfin... faire faire des applications sensibles par des boites à peine sorties du cursus de la promo Minitel... c’est léger léger 😬😈
Vous donneriez vos données à ces truands là vous ?
Non. Hormis quelques gogos décérébrés, personne n’y songerait…personne.
https://www.ladepeche.fr/2019/03/05/des-soignants-manifestent-devant-lars-a-toulouse-et-se-font-gazer-par-les-forces-de-lordre,8050982.php
https://www.leparisien.fr/faits-divers/gilets-jaunes-l-onu-reclame-a-la-france-une-enquete-sur-l-usage-excessif-de-la-force-06-03-2019-8025750.php
https://www.liberation.fr/direct/element/le-conseil-de-leurope-sinquiete-de-la-repression-des-manifestations-de-gilets-jaunes_93138/
https://www.mediapart.fr/journal/international/070220/violences-policieres-la-france-de-nouveau-prise-partie-au-parlement-europeen
https://www.ladepeche.fr/2019/05/27/les-syndicats-enseignants-et-la-fcpe-denoncent-les-violences-policieres-lors-des-manifestations,8223788.php
https://www.ladepeche.fr/2019/03/10/gilets-jaunes-alarmes-par-les-blessures-des-ophtalmologistes-demandent-a-macron-un-moratoire-sur-lusage-du-lbd,8059798.php
https://rsf.org/fr/actualites/violences-commises-envers-les-journalistes-en-france-rsf-lance-un-cri-dalarme
https://rsf.org/fr/actualites/violences-policieres-rsf-depose-plainte-contre-x-paris-avec-13-journalistes
https://www.amnesty.fr/liberte-d-expression/actualites/france-gilets-jaunes-histoire-dune-repression
Pages