Allemagne : l'API Exposure Notification d'Apple et de Google est kaputt 🆕

Christophe Laporte |

Oups. L'API Exposure Notification est confrontée à de sérieux problèmes sur iOS en Allemagne. Le Tagesschau rapporte le cas d'utilisateurs d'iPhone chez qui l'application Coronava-Warn-App n'a pas réalisé de vérification des contacts pendant dix jours. Autrement dit, si ces personnes ont rencontré des personnes s'étant déclarées positives au coronavirus durant cette période, elles n'ont pas été prévenues et elles n'ont donc pas pris les précautions sanitaires qui s'imposaient dans ce cas (test et quarantaine).

L'application est censée télécharger régulièrement (au moins toutes les 24 heures) et en tâche de fond les clés anonymisées des personnes testées positives dans sa région. En cas de contact de plus de 15 mn, l'utilisateur reçoit une notification lui indiquant la marche à suivre. Sauf que dans le cas de Coronava-Warn-App — mais des cas similaires se sont produits en Suisse, Italie et en Autriche —, il y a comme un os avec le téléchargement des clés en arrière-plan.

Selon les développeurs, en l'absence de mise à jour en tâche de fond, l'utilisateur n'est informé d'un risque de contamination que s'il ouvre l'application. Or, le principe d'une telle app est de la laisser faire son petit bazar sans avoir à la lancer régulièrement.

Le problème a été repéré il y a une semaine environ. Apple a été prévenu et, selon la publication, le constructeur a admis l'erreur. Il y a donc bel et bien un bug dans iOS. Le ministère de la Santé allemande explique que « les développeurs travaillent d'arrache-pied pour contourner les restrictions liées au système », mais ils sont pieds et poings liés à Apple, qui doit mettre à jour iOS. SAP, co-éditeur de l'application avec l'institut Robert-Koch, est convaincu que « d'ici la semaine prochaine » une solution « temporaire » sera trouvée. Ce bogue toucherait également des apps dans d'autres pays utilisant l'architecture d'Apple.

Sur Android, les développeurs se sont rendus compte que l'application cessait tout simplement de fonctionner en tâche de fond… Plutôt embêtant pour une app censée suivre les contacts en tout temps ! Fort heureusement, une mise à jour disponible depuis ce mercredi règle le problème.

Au passage, l'application a fait son apparition sur l'App Store français, ce qui ne sera pas inutile pour les frontaliers ou ceux qui comptent passer quelques jours de vacances outre-Rhin. En espérant que le gros bug iOS soit corrigé d'ici là…

Selon Bild, le problème sur Android concernait essentiellement des appareils Samsung et Huawei, les deux constructeurs s'arrogeant près de 60% du marché allemand. SAP, ne sait pas quantifier exactement le nombre de terminaux qui sont restés sur la touche pendant des semaines.

Android dispose d’un mécanisme permettant de bloquer les applications qui sont trop gourmandes en tâche de fond. C’est apparemment le même problème auquel avaient fait face les développeurs d’Orange lorsqu’ils travaillaient sur un prototype, avant le lancement du chantier StopCovid (lire : Le succès de StopCovid est aussi compromis par les protections d’Android).

Si l'application allemande s’offre actuellement une mauvaise campagne de publicité, ce problème était pourtant listé depuis des semaines sur la FAQ du site de l’application avec une série de manipulations à opérer dans les réglages d’Android pour contourner le problème… Ce qui est étonnant, c’est que d’une part, il a fallu des semaines à l'éditeur pour régler le problème, et d’autre part, que ce souci ait lieu alors que l'application utilise la technologie mise au point par Apple et Google. Or, celle-ci vise justement à éviter ce genre de tracas !


Mise à jour — Une solution « provisoire » a été mise au point au travers de la mise à jour 1.1.2. Elle contourne les restrictions liées à iOS, jusqu'à ce qu'Apple résolve le problème. Le ministère de la Santé conseille aussi de lancer l'app régulièrement pour éviter le problème d'absence de mise à jour en arrière plan.

avatar raoolito | 

je note surtout qu’on va donc devoir avoir beaucoup d’app de tracage sur notre telephone. Dit autrement: est ce que toutes les app utilisant l’api apple/google sont compatibles entre elle par defaut ?

avatar Cactaceae | 

@raoolito

Je note surtout que ça ne fonctionne pas 🤷🏻‍♀️

avatar hirtrey | 

@raoolito

Aucune

avatar Florent Morin | 

@raoolito

Oui et non.

En fait, elles partagent la même base de données sur l’appareil. À ce niveau, c’est interoperable.

Par contre, c’est le serveur du pays qui distribue les clés. Et, selon les apps, les critères de diagnostic sont différents.

Donc on est obligé d’avoir l’app du pays où on va.

avatar hirtrey | 

@FloMo

C’est quoi cette réponse ! Il pose une question simple, et la raison est aussi simple. C’est NON

avatar Furious Angel | 

@hirtrey

#amabilité

avatar hirtrey | 

@Furious Angel

Pas sur de telle réponse.

avatar Furious Angel | 

@hirtrey

C’est vrai qu’une réponse détaillée qui explique les raisons, c’est pourri, on veut juste un mot de trois lettres écrit en majuscule

avatar hirtrey | 

@Furious Angel

On le connaît le pigiste de MacG pour embobiner les lecteurs ( StopCovid qui vole le numéro de CB par exemple)

Et la réponse à la question n’était pas “oui et non" c’est simplement un non, elle se sont pas compatible.

Ensuite d’expliquer le pourquoi elles ne le se sont pas, OK si il veut.

avatar Furious Angel | 

@hirtrey

Tu te fais du mal à contribuer à un site que tu aimes si peu. Va t’aérer.

avatar hirtrey | 

@Furious Angel

Mon abonnement va jusqu’à 2022, et j’ai grand plaisir à lire MacG.

avatar Furious Angel | 

@hirtrey

Pour s’exciter à ce point sur une réponse (pourtant précise), ça montre quand même un souci

avatar hirtrey | 

@Furious Angel

J’ai assez lu la personne dans les commentaires.
La réponse était tout sauf précise, un non c’est un non, c’est pas un “oui et non“.

avatar Furious Angel | 

@hirtrey

Allez on se détend, on respire, ça va bien se passer

avatar hirtrey | 

@Furious Angel

😂 je suis relax, dans mon jardin avec café et croissant

avatar Florent Morin | 

@hirtrey

Profites-en pour lire mes derniers articles 😁

Je n’en ai écrit aucun sur StopCovid / EN. Ça évite les débats enflammés. 😉

avatar Florent Morin | 

@hirtrey

Il y a quelques jours, avant que le nombre de cas augmente, qu’aurait-on pu répondre à la question « La pandémie est-elle en train de se terminer ? » ?

Un OUI définitif ?
Un NON définitif ?

Aucune réponse n’aurait pu être définitive.

Si j’avais répondu NON et que plus tard la compatibilité avait été activée, on aurait pu me rétorquer ultérieurement que j’étais mal informé.

C’est en quelques sortes « La compatibilité de Schrödinger » 😉

avatar Florent Morin | 

@hirtrey

StopCovid qui vole les numéros de CB ? 😂
Merci de me citer.

Pour le reste, la CNIL a donné sa réponse en mettant en demeure le Ministère de la Santé par rapport au respect de la vie privée.

Ainsi que Cédric O quand il a reconnu l’inefficacité de la solution.

avatar hirtrey | 

@FloMo

Relis tes commentaires

avatar Florent Morin | 

@hirtrey

Et relis les tiens. 😁

avatar hirtrey | 

@FloMo

Pas besoin

avatar Florent Morin | 

@hirtrey

😂

avatar AlexG | 

@hirtrey

Wouah… vu tes interventions je vais tellement te bloquer toi ♥️

avatar hirtrey | 

@AlexG

Je ne vais pas survivre à ton blocage. Quel grand malheur 💕

avatar hirtrey | 

@AlexG

Tu ne m’as pas bloqué 😂

avatar Bigdidou | 

@hirtrey

« Tu ne m’as pas bloqué 😂 »

Les gens qui t’annoncent un blocage ne résistent pas longtemps, en général.
La curiosité est trop forte, j’imagine :D

avatar hirtrey | 

@Bigdidou

C’est aussi du à l’application qui affiche la pseudo de la personne bloquée sans la réponse.
Pourtant une simple requête sql ne devrait pas retourner ces commentaires et réponse aux personnes bloquées.

avatar Florent Morin | 

@hirtrey

Précisément : pas pour le moment, mais c’est prévu dans l’API. Juste inactif.

Si on regarde le code fourni par Google côté serveur, les pays « partenaires » peuvent s’échanger leurs clés de déchiffrement.

Si les 17 pays européens qui ont choisi la solution G/A se disent partenaires, il suffira de télécharger uniquement l’app de son pays et, éventuellement, préciser dans quels pays ont est allé.

Potentiellement, sans rien changer au code des apps, le mécanisme peut être actif sur l’ensemble de l’Europe.

Sauf que ça téléchargera trop d’infos, donc pour le côté pratique, mieux vaut pouvoir limiter les pays peut-être.

Donc OUI, les apps sont compatibles.
NON, ce n’est pas activé.

avatar hirtrey | 

@FloMo

Donc la réponse est bien non elle ne sont pas compatible. Preuve, un italien qui va en Allemagne devra installer l’Application Allemande.
La question n’était pas «  seront elle un jour »

avatar raoolito | 

@FloMo

De mon point de vue, linteroperabilite c'est le loin le premier et quasi unique vrai avantage de l'api a/g
Ils attendent quoi pour l'activer 😡 que les gafam le fassent pour eux ca aussi ?

avatar Florent Morin | 

@raoolito

Le respect de la vie privée est un sacré avantage aussi !

Les GAFAM n’ont pas la main sur l’activation vu que ça se passe côté serveur. Les données sont hébergées par les gouvernements.

Et les traitements de diagnostic sont effectués sur les smartphone à partir des réglages fournis par les gouvernements (via l’app).

L’API G/A :
- stocke les pseudonymes reçus et générés et clés de chiffrement en local
- partage les pseudonymes via Bluetooth
- effectue le diagnostic à partir des clés de chiffrement (pour déchiffrer les pseudonymes) et des réglages fournis par les gouvernements
- fourni à l’app les clés de chiffrement nécessaires au diagnostic si l’utilisateur se déclare malade.

L’app (à la main du gouvernement) :
- configure le diagnostic dans le framework G/A
- demande au framework, après validation utilisateur, les clés de chiffrement si ce dernier se déclare malade
- envoie les clés de chiffrement au serveur
- reçoit les clés de chiffrement du serveur
- demande un diagnostic au framework en lui fournissant les clés de chiffrement des personnes signalées
- avertit l’utilisateur après avoir reçu un diagnostic positif du framework.

Et le serveur du gouvernement reçoit, signe et renvoie des clés de chiffrement.

La signature est ensuite vérifiée auprès des serveurs Apple pour s’assurer que l’utilisateur n’a pas reçu de données bidons pour le diagnostic.

avatar raoolito | 

@FloMo

Ah ok 🙏

avatar vince29 | 

@Florent Morin
> L’app (à la main du gouvernement) :

C'est quoi la suite ? A la botte ?

avatar Florent Morin | 

@vince29

C’est normal que ce soit à la main du gouvernement. (Ou du moins une organisation de santé gouvernementale)

avatar Christophe Laporte | 

@raoolito

Je l’ai dit dans Un commentaire l’autre jour.

En ce moment l’UE valide ces jours ci c’est peut être déjà fait le cadre afin d’autoriser l’interiperabilite.

Donc là c’est un souci politique.

Après il restera plus qu’à mettre en place les passerelles

avatar raoolito | 

@hirtrey

certes, il apporte une explication en plus c’est sympa non?

avatar hirtrey | 

@raoolito

Oui c’est sympa, mais à ce jour c’est pas “oui et non“
Si il avait écrit “à ce jour non“ et ensuite expliquer pourquoi j’aurais pas réagis

avatar Sindanárië | 

💭 🤿

avatar raoolito | 

@FloMo

ah ok
mais du coup, si je suis dans un endroit ou kpassent beaucoup de ressortissants européens, c’est à moi de remplir mon telephone d’app de tracage ?

avatar Florent Morin | 

@raoolito

C’est ça.

avatar hirtrey | 

@FloMo

Miracle 😂😂👍🏻

avatar Sindanárië | 

💭... grosse fatigue...

avatar Godverdomme | 

Si je comprends l'article, l'application fonctionne super bien sur Android depuis que les développeurs de l'application ont amélioré leur code, et le titre laisse supposer que l'API de Google est kapput

Les développeurs de Apple travaillent d'arrache-pied pendant que chez Google on se tourne les pouces c'est cela ?

Qu'est ce que je suis content d'avoir un iPhone... Merci igen pour cet article clair et précis.

avatar heero | 

@raoolito

De mon côté l’application japonaise COVID-19 qui est sur l’API exposure notifications communique bien avec d’autres app et effectue des Check (dans les logs)

avatar Cactaceae | 

Ou « Comment passer pour des 🤡 »

avatar hirtrey | 

@Cactaceae

Mais non c’est Apple qui l’a développé, c’est donc parfait, aucune faille (😂😂😂).

avatar webHAL1 | 

Non non, mais à part ça l'API d'Apple et de Google est de loin la meilleure solution pour une application de traçage, et la France a eu entièrement tort de partir sur une solution souveraine. Pas vrai MacG ?

avatar Florent Morin | 

@webHAL1

La solution souveraine n’a pas de solution à ses problèmes techniques pour le moment.
Et elle n’a toujours pas réglé ses problèmes de vie privée avec la CNIL.

Côté Apple, le bug est ciblé et la solution de contournement existe.
Et aucun soucis côté vie privée. Les apps étrangères sont disponibles en France et ont été passé au crible par la CNIL comme toute autre app de traçage.

Mais c’est vrai que ce n’est pas normal. L’impact de ce bug n’est pas neutre. D’autant qu’il concerne toutes les apps utilisant les traitements en tâche de fond.

avatar webHAL1 | 

@FloMo

Quelques problèmes mineurs concernant la vie privée sont absolument sans comparaison avec une application qui ne fonctionne tout simplement pas.

Et sinon, les applications de traçage reposant sur l'API d'Apple et de Google ne sont pas compatibles entre elles. Elles le seront un jour. Peut-être. Pour l'instant elles ne le sont pas. Affirmer autre chose revient à mentir.

Pages

CONNEXION UTILISATEUR