Allemagne : l'API Exposure Notification d'Apple et de Google est kaputt 🆕
Oups. L'API Exposure Notification est confrontée à de sérieux problèmes sur iOS en Allemagne. Le Tagesschau rapporte le cas d'utilisateurs d'iPhone chez qui l'application Coronava-Warn-App n'a pas réalisé de vérification des contacts pendant dix jours. Autrement dit, si ces personnes ont rencontré des personnes s'étant déclarées positives au coronavirus durant cette période, elles n'ont pas été prévenues et elles n'ont donc pas pris les précautions sanitaires qui s'imposaient dans ce cas (test et quarantaine).
L'application est censée télécharger régulièrement (au moins toutes les 24 heures) et en tâche de fond les clés anonymisées des personnes testées positives dans sa région. En cas de contact de plus de 15 mn, l'utilisateur reçoit une notification lui indiquant la marche à suivre. Sauf que dans le cas de Coronava-Warn-App — mais des cas similaires se sont produits en Suisse, Italie et en Autriche —, il y a comme un os avec le téléchargement des clés en arrière-plan.
Selon les développeurs, en l'absence de mise à jour en tâche de fond, l'utilisateur n'est informé d'un risque de contamination que s'il ouvre l'application. Or, le principe d'une telle app est de la laisser faire son petit bazar sans avoir à la lancer régulièrement.
Le problème a été repéré il y a une semaine environ. Apple a été prévenu et, selon la publication, le constructeur a admis l'erreur. Il y a donc bel et bien un bug dans iOS. Le ministère de la Santé allemande explique que « les développeurs travaillent d'arrache-pied pour contourner les restrictions liées au système », mais ils sont pieds et poings liés à Apple, qui doit mettre à jour iOS. SAP, co-éditeur de l'application avec l'institut Robert-Koch, est convaincu que « d'ici la semaine prochaine » une solution « temporaire » sera trouvée. Ce bogue toucherait également des apps dans d'autres pays utilisant l'architecture d'Apple.
Sur Android, les développeurs se sont rendus compte que l'application cessait tout simplement de fonctionner en tâche de fond… Plutôt embêtant pour une app censée suivre les contacts en tout temps ! Fort heureusement, une mise à jour disponible depuis ce mercredi règle le problème.
Au passage, l'application a fait son apparition sur l'App Store français, ce qui ne sera pas inutile pour les frontaliers ou ceux qui comptent passer quelques jours de vacances outre-Rhin. En espérant que le gros bug iOS soit corrigé d'ici là…
Selon Bild, le problème sur Android concernait essentiellement des appareils Samsung et Huawei, les deux constructeurs s'arrogeant près de 60% du marché allemand. SAP, ne sait pas quantifier exactement le nombre de terminaux qui sont restés sur la touche pendant des semaines.
Android dispose d’un mécanisme permettant de bloquer les applications qui sont trop gourmandes en tâche de fond. C’est apparemment le même problème auquel avaient fait face les développeurs d’Orange lorsqu’ils travaillaient sur un prototype, avant le lancement du chantier StopCovid (lire : Le succès de StopCovid est aussi compromis par les protections d’Android).
Si l'application allemande s’offre actuellement une mauvaise campagne de publicité, ce problème était pourtant listé depuis des semaines sur la FAQ du site de l’application avec une série de manipulations à opérer dans les réglages d’Android pour contourner le problème… Ce qui est étonnant, c’est que d’une part, il a fallu des semaines à l'éditeur pour régler le problème, et d’autre part, que ce souci ait lieu alors que l'application utilise la technologie mise au point par Apple et Google. Or, celle-ci vise justement à éviter ce genre de tracas !
Mise à jour — Une solution « provisoire » a été mise au point au travers de la mise à jour 1.1.2. Elle contourne les restrictions liées à iOS, jusqu'à ce qu'Apple résolve le problème. Le ministère de la Santé conseille aussi de lancer l'app régulièrement pour éviter le problème d'absence de mise à jour en arrière plan.
je note surtout qu’on va donc devoir avoir beaucoup d’app de tracage sur notre telephone. Dit autrement: est ce que toutes les app utilisant l’api apple/google sont compatibles entre elle par defaut ?
@raoolito
Je note surtout que ça ne fonctionne pas 🤷🏻♀️
@raoolito
Aucune
@raoolito
Oui et non.
En fait, elles partagent la même base de données sur l’appareil. À ce niveau, c’est interoperable.
Par contre, c’est le serveur du pays qui distribue les clés. Et, selon les apps, les critères de diagnostic sont différents.
Donc on est obligé d’avoir l’app du pays où on va.
@FloMo
C’est quoi cette réponse ! Il pose une question simple, et la raison est aussi simple. C’est NON
@hirtrey
#amabilité
@Furious Angel
Pas sur de telle réponse.
@hirtrey
C’est vrai qu’une réponse détaillée qui explique les raisons, c’est pourri, on veut juste un mot de trois lettres écrit en majuscule
@Furious Angel
On le connaît le pigiste de MacG pour embobiner les lecteurs ( StopCovid qui vole le numéro de CB par exemple)
Et la réponse à la question n’était pas “oui et non" c’est simplement un non, elle se sont pas compatible.
Ensuite d’expliquer le pourquoi elles ne le se sont pas, OK si il veut.
@hirtrey
Tu te fais du mal à contribuer à un site que tu aimes si peu. Va t’aérer.
@Furious Angel
Mon abonnement va jusqu’à 2022, et j’ai grand plaisir à lire MacG.
@hirtrey
Pour s’exciter à ce point sur une réponse (pourtant précise), ça montre quand même un souci
@Furious Angel
J’ai assez lu la personne dans les commentaires.
La réponse était tout sauf précise, un non c’est un non, c’est pas un “oui et non“.
@hirtrey
Allez on se détend, on respire, ça va bien se passer
@Furious Angel
😂 je suis relax, dans mon jardin avec café et croissant
@hirtrey
Profites-en pour lire mes derniers articles 😁
Je n’en ai écrit aucun sur StopCovid / EN. Ça évite les débats enflammés. 😉
@hirtrey
Il y a quelques jours, avant que le nombre de cas augmente, qu’aurait-on pu répondre à la question « La pandémie est-elle en train de se terminer ? » ?
Un OUI définitif ?
Un NON définitif ?
Aucune réponse n’aurait pu être définitive.
Si j’avais répondu NON et que plus tard la compatibilité avait été activée, on aurait pu me rétorquer ultérieurement que j’étais mal informé.
C’est en quelques sortes « La compatibilité de Schrödinger » 😉
@hirtrey
StopCovid qui vole les numéros de CB ? 😂
Merci de me citer.
Pour le reste, la CNIL a donné sa réponse en mettant en demeure le Ministère de la Santé par rapport au respect de la vie privée.
Ainsi que Cédric O quand il a reconnu l’inefficacité de la solution.
@FloMo
Relis tes commentaires
@hirtrey
Et relis les tiens. 😁
@FloMo
Pas besoin
@hirtrey
😂
@hirtrey
Wouah… vu tes interventions je vais tellement te bloquer toi ♥️
@AlexG
Je ne vais pas survivre à ton blocage. Quel grand malheur 💕
@hirtrey
https://www.larousse.fr/dictionnaires/francais/humilit%c3%a9/40659?q=Humilit%c3%a9#40566
😘
@AlexG
Tu ne m’as pas bloqué 😂
@hirtrey
« Tu ne m’as pas bloqué 😂 »
Les gens qui t’annoncent un blocage ne résistent pas longtemps, en général.
La curiosité est trop forte, j’imagine :D
@Bigdidou
C’est aussi du à l’application qui affiche la pseudo de la personne bloquée sans la réponse.
Pourtant une simple requête sql ne devrait pas retourner ces commentaires et réponse aux personnes bloquées.
@hirtrey
Précisément : pas pour le moment, mais c’est prévu dans l’API. Juste inactif.
Si on regarde le code fourni par Google côté serveur, les pays « partenaires » peuvent s’échanger leurs clés de déchiffrement.
Si les 17 pays européens qui ont choisi la solution G/A se disent partenaires, il suffira de télécharger uniquement l’app de son pays et, éventuellement, préciser dans quels pays ont est allé.
Potentiellement, sans rien changer au code des apps, le mécanisme peut être actif sur l’ensemble de l’Europe.
Sauf que ça téléchargera trop d’infos, donc pour le côté pratique, mieux vaut pouvoir limiter les pays peut-être.
Donc OUI, les apps sont compatibles.
NON, ce n’est pas activé.
@FloMo
Donc la réponse est bien non elle ne sont pas compatible. Preuve, un italien qui va en Allemagne devra installer l’Application Allemande.
La question n’était pas « seront elle un jour »
@FloMo
De mon point de vue, linteroperabilite c'est le loin le premier et quasi unique vrai avantage de l'api a/g
Ils attendent quoi pour l'activer 😡 que les gafam le fassent pour eux ca aussi ?
@raoolito
Le respect de la vie privée est un sacré avantage aussi !
Les GAFAM n’ont pas la main sur l’activation vu que ça se passe côté serveur. Les données sont hébergées par les gouvernements.
Et les traitements de diagnostic sont effectués sur les smartphone à partir des réglages fournis par les gouvernements (via l’app).
L’API G/A :
- stocke les pseudonymes reçus et générés et clés de chiffrement en local
- partage les pseudonymes via Bluetooth
- effectue le diagnostic à partir des clés de chiffrement (pour déchiffrer les pseudonymes) et des réglages fournis par les gouvernements
- fourni à l’app les clés de chiffrement nécessaires au diagnostic si l’utilisateur se déclare malade.
L’app (à la main du gouvernement) :
- configure le diagnostic dans le framework G/A
- demande au framework, après validation utilisateur, les clés de chiffrement si ce dernier se déclare malade
- envoie les clés de chiffrement au serveur
- reçoit les clés de chiffrement du serveur
- demande un diagnostic au framework en lui fournissant les clés de chiffrement des personnes signalées
- avertit l’utilisateur après avoir reçu un diagnostic positif du framework.
Et le serveur du gouvernement reçoit, signe et renvoie des clés de chiffrement.
La signature est ensuite vérifiée auprès des serveurs Apple pour s’assurer que l’utilisateur n’a pas reçu de données bidons pour le diagnostic.
@FloMo
Ah ok 🙏
@Florent Morin
> L’app (à la main du gouvernement) :
C'est quoi la suite ? A la botte ?
@vince29
C’est normal que ce soit à la main du gouvernement. (Ou du moins une organisation de santé gouvernementale)
@raoolito
Je l’ai dit dans Un commentaire l’autre jour.
En ce moment l’UE valide ces jours ci c’est peut être déjà fait le cadre afin d’autoriser l’interiperabilite.
Donc là c’est un souci politique.
Après il restera plus qu’à mettre en place les passerelles
@hirtrey
certes, il apporte une explication en plus c’est sympa non?
@raoolito
Oui c’est sympa, mais à ce jour c’est pas “oui et non“
Si il avait écrit “à ce jour non“ et ensuite expliquer pourquoi j’aurais pas réagis
💭 🤿
@FloMo
ah ok
mais du coup, si je suis dans un endroit ou kpassent beaucoup de ressortissants européens, c’est à moi de remplir mon telephone d’app de tracage ?
@raoolito
C’est ça.
@FloMo
Miracle 😂😂👍🏻
💭... grosse fatigue...
Si je comprends l'article, l'application fonctionne super bien sur Android depuis que les développeurs de l'application ont amélioré leur code, et le titre laisse supposer que l'API de Google est kapput
Les développeurs de Apple travaillent d'arrache-pied pendant que chez Google on se tourne les pouces c'est cela ?
Qu'est ce que je suis content d'avoir un iPhone... Merci igen pour cet article clair et précis.
@raoolito
De mon côté l’application japonaise COVID-19 qui est sur l’API exposure notifications communique bien avec d’autres app et effectue des Check (dans les logs)
Ou « Comment passer pour des 🤡 »
@Cactaceae
Mais non c’est Apple qui l’a développé, c’est donc parfait, aucune faille (😂😂😂).
Non non, mais à part ça l'API d'Apple et de Google est de loin la meilleure solution pour une application de traçage, et la France a eu entièrement tort de partir sur une solution souveraine. Pas vrai MacG ?
@webHAL1
La solution souveraine n’a pas de solution à ses problèmes techniques pour le moment.
Et elle n’a toujours pas réglé ses problèmes de vie privée avec la CNIL.
Côté Apple, le bug est ciblé et la solution de contournement existe.
Et aucun soucis côté vie privée. Les apps étrangères sont disponibles en France et ont été passé au crible par la CNIL comme toute autre app de traçage.
Mais c’est vrai que ce n’est pas normal. L’impact de ce bug n’est pas neutre. D’autant qu’il concerne toutes les apps utilisant les traitements en tâche de fond.
@FloMo
Quelques problèmes mineurs concernant la vie privée sont absolument sans comparaison avec une application qui ne fonctionne tout simplement pas.
Et sinon, les applications de traçage reposant sur l'API d'Apple et de Google ne sont pas compatibles entre elles. Elles le seront un jour. Peut-être. Pour l'instant elles ne le sont pas. Affirmer autre chose revient à mentir.
Pages