Allemagne : l'API Exposure Notification d'Apple et de Google est kaputt 🆕
Oups. L'API Exposure Notification est confrontée à de sérieux problèmes sur iOS en Allemagne. Le Tagesschau rapporte le cas d'utilisateurs d'iPhone chez qui l'application Coronava-Warn-App n'a pas réalisé de vérification des contacts pendant dix jours. Autrement dit, si ces personnes ont rencontré des personnes s'étant déclarées positives au coronavirus durant cette période, elles n'ont pas été prévenues et elles n'ont donc pas pris les précautions sanitaires qui s'imposaient dans ce cas (test et quarantaine).
L'application est censée télécharger régulièrement (au moins toutes les 24 heures) et en tâche de fond les clés anonymisées des personnes testées positives dans sa région. En cas de contact de plus de 15 mn, l'utilisateur reçoit une notification lui indiquant la marche à suivre. Sauf que dans le cas de Coronava-Warn-App — mais des cas similaires se sont produits en Suisse, Italie et en Autriche —, il y a comme un os avec le téléchargement des clés en arrière-plan.
Selon les développeurs, en l'absence de mise à jour en tâche de fond, l'utilisateur n'est informé d'un risque de contamination que s'il ouvre l'application. Or, le principe d'une telle app est de la laisser faire son petit bazar sans avoir à la lancer régulièrement.
Le problème a été repéré il y a une semaine environ. Apple a été prévenu et, selon la publication, le constructeur a admis l'erreur. Il y a donc bel et bien un bug dans iOS. Le ministère de la Santé allemande explique que « les développeurs travaillent d'arrache-pied pour contourner les restrictions liées au système », mais ils sont pieds et poings liés à Apple, qui doit mettre à jour iOS. SAP, co-éditeur de l'application avec l'institut Robert-Koch, est convaincu que « d'ici la semaine prochaine » une solution « temporaire » sera trouvée. Ce bogue toucherait également des apps dans d'autres pays utilisant l'architecture d'Apple.
Sur Android, les développeurs se sont rendus compte que l'application cessait tout simplement de fonctionner en tâche de fond… Plutôt embêtant pour une app censée suivre les contacts en tout temps ! Fort heureusement, une mise à jour disponible depuis ce mercredi règle le problème.
Au passage, l'application a fait son apparition sur l'App Store français, ce qui ne sera pas inutile pour les frontaliers ou ceux qui comptent passer quelques jours de vacances outre-Rhin. En espérant que le gros bug iOS soit corrigé d'ici là…
Selon Bild, le problème sur Android concernait essentiellement des appareils Samsung et Huawei, les deux constructeurs s'arrogeant près de 60% du marché allemand. SAP, ne sait pas quantifier exactement le nombre de terminaux qui sont restés sur la touche pendant des semaines.
Android dispose d’un mécanisme permettant de bloquer les applications qui sont trop gourmandes en tâche de fond. C’est apparemment le même problème auquel avaient fait face les développeurs d’Orange lorsqu’ils travaillaient sur un prototype, avant le lancement du chantier StopCovid (lire : Le succès de StopCovid est aussi compromis par les protections d’Android).
Si l'application allemande s’offre actuellement une mauvaise campagne de publicité, ce problème était pourtant listé depuis des semaines sur la FAQ du site de l’application avec une série de manipulations à opérer dans les réglages d’Android pour contourner le problème… Ce qui est étonnant, c’est que d’une part, il a fallu des semaines à l'éditeur pour régler le problème, et d’autre part, que ce souci ait lieu alors que l'application utilise la technologie mise au point par Apple et Google. Or, celle-ci vise justement à éviter ce genre de tracas !
Mise à jour — Une solution « provisoire » a été mise au point au travers de la mise à jour 1.1.2. Elle contourne les restrictions liées à iOS, jusqu'à ce qu'Apple résolve le problème. Le ministère de la Santé conseille aussi de lancer l'app régulièrement pour éviter le problème d'absence de mise à jour en arrière plan.
On s’est beaucoup moqué de la France mais au moins ça fonctionne...
Du coup est-ce que c’est pareil pour tous les pays qui ont utilisé l’API (ça rime) ?
@Furious Angel
Euh au moins ça fonctionne on n’en sait rien😂😅
@Krysten2001
Ouais je me suis peut-être emballé ^^
@Furious Angel
Pas de soucis 😉
@Furious Angel
Oui vu que le « bug » vient d’iOS ça sera pareil partout vu qu’ils sont basés sur ces API.
@Furious Angel
A priori ce sont les allemand qui ont découvert le bogue en premier mais elles concerneraient toutes les apps utilisant le système de Google et Apple. Un dysfonctionnement similaire a été repéré dans l’app italienne
@cl97
Et ben... c’est une foirade internationale ces apps, et ça va pas aider à les populariser
Il y a une grosse différence entre
- iOS ne télécharge pas les alertes automatiquement (bug connu depuis 1 semaine)
- Android (bundle Samsung & Huawei) kill l’application en tâche de fond... donc l’application ne fonctionne plus du tout (bug connu depuis 5 semaines)
Alors oui, c’est pas cool... mais entendre le ministre de la santé a la radio qui dit « si vous avez un téléphone Android de Samsung ou de huawei: faites la mise à jour (dispo depuis mercredi soir) sinon vous n’êtes pas protégés! » ça fait bizarre !!!!
@fendtc
Protégés.. 🧐🙂😊😃😁😆🤣🥳
@mk3d
Il faut mettre le téléphone dans le masque, sinon on n’est pas bien protégés 😷🤪
Deleted
Ca me rappelle une vieille histoire à l’époque de la course à l’espace: russes et américains cherchaient un moyen d’écrire dans l’espace: les américains ont développé un stylo à encre spéciale dont la cartouche était pressurisé pour pouvoir écrire même sans gravité. Les Russes ont utilisé un crayon à papier!
(Mythe urbain ou réalité je ne sais pas, mais l’histoire est sympathique)
Moralité: oubliez ces apps inutiles et revenez à une technologie qui sauvent des vies depuis des siècles: le savon et l’eau courante!
@PierreBondurant
"réalité"
Ça.
@PierreBondurant
"Moralité: oubliez ces apps inutiles et revenez à une technologie qui sauvent des vies depuis des siècles: le savon et l’eau courante!"
Le nom de l’entreprise est probablement faux, l’histoire est ancienne, mais c’est pour mettre un contexte à l’anecdote qui est bien réelle.
Amazon développait donc à grands frais un système d’identification et de tri des cartons d’expédition pour détecter les cartons vides par erreur. Ce n’était donc certainement pas Amazon, peut-être Walmart, je ne sais plus. Bref. Donc camera, logiciel complexe, tapis roulant basculant, bras articulé, des cartons avec des motifs à l’intérieur... beaucoup de R&D.
Un ventilateur suffit, pour souffler les cartons vides hors du tapis roulant.
L’histoire est pleine de solutions très compliquées.
@fte
Je connaissais pas celle là, sympa aussi.
@PierreBondurant
Par moment on se demande si la simplicité n’est pas devenue obsolète.
Ton histoire est très sympa je l’a replacerai 👍
@PierreBondurant
Oui sauf que ce n'est en rien comparable.
Convaincre des milliards d'êtres humain d'adopter des mesures d'hygiène c'est loin d'être simple. Surtout quand ils n'ont pas d'eau propre, de savon et encore moins de masque.
Et pour la petite histoire, c'est Reynolds qui a conçu et commercialisé le stylo de l'espace.
Non seulement la Nasa n'a pas déboursé un cents, mais ils ont perçu une fortune en royalties et encore aujourd'hui.
https://www.spacepen.com/astronautspacepenwithengraving-1-1.aspx
Donc la vraie morale de l'histoire c'est :
-Faire simple ne vous coûtera pas cher
-Faire compliqué peut vous rapporter beaucoup !
@macinoe
Merci pour le lien.
Faire compliqué quand il y a une vraie raison et pas d’alternatives simples et efficaces, oui bien sûr, mais dans ce cas je ne vois pas la valeur ajoutée.
Avec les sommes déboursées, j’aurais bien vu à la place une énorme campagne de communication sur le thème de la propagation des virus, avec des explications sur comment le virus se transmet, comment il pénètre dans le corps et les mesures quotidiennes de prévention.
Comme avec les masques obligatoires, ce qui manque c’est la pédagogie/communication: partout où je vais à Londres les gens touchent leur masques sans arrêt, laisse le nez à l’air libre, le soulève pour manger.... ça sert à rien au final.
Et tous ces masques en plastique vont finir dans l’océan, alors qu’un savon de Marseille à base d’huile végétale ne pollue que très peu.
C'est pourtant toute la logique de l'économie de marché face à une économie d'état planifiée.
Le premier cas réponds à tous les besoins qu'ils soient utiles ou pas, saugrenu ou non.
Dans le deuxième cas c'est un comité de planification qui s'est réuni des années auparavant qui décide.
@PierreBondurant
"Les Russes ont utilisé un crayon à papier!"
Pas mal ! Intéressant 🤔😬
@Sindanárië
D’ailleurs c’est aussi ce qu’on utilise en plongée sous-marine pour écrire sous l’eau!
https://www.dirdirect.com/OMS-Wrist-Slate-Flip-Up.html
@PierreBondurant
Oui une mine de plomb plus exactement. Souvenirs d’archéologie sous marine
@PierreBondurant
« Ca me rappelle une vieille histoire à l’époque de la course à l’espace: russes et américains cherchaient un moyen d’écrire dans l’espace: les américains ont développé un stylo à encre spéciale dont la cartouche était pressurisé pour pouvoir écrire même sans gravité. Les Russes ont utilisé un crayon à papier! »
Réalité !
Il y a aussi eu l’histoire de l’approvisionnement des moteurs en carburant. Pas facile de créer des tubes pour envoyer de l’hydrogène liquide en toute sécurité. Les américains ont pas mal travaillés sur le sujet. Les russes ont juste percés des petits canaux dans les tuyères pour acheminer le carburant, et ça marchait ..
Et au final, les russes se sont ruinés dans la course à l'espace, alors qu'elle a énormémént dynamisée l'économie américaine par la montée en compétence de dizaines de milliers de sous-traitant, la création de nouvelles industrie comme la micro informatique etc...
En l'espèce l'économie de moyen n'était pas une bonne stratégie.
@macinoe
Une des raisons de la course à l’espace, c’est aussi que la technologie d’une fusée est très proche de celle d’un ICBM (intercontinental balistique missile)
https://en.m.wikipedia.org/wiki/Intercontinental_ballistic_missile
Oui, c'était aussi une guerre de propagande et une guerre économique.
L'aspect scientifique complètement anecdotique ( ramener quelques cailloux lunaires ) étant un prétexte.
Plus ça va plus on se rend compte que la France avait parfaitement raison, et plus ça va plus on découvre l'extraordinaire mauvaise foi de ce site qui a promu indécemment l'API et tapé comme un sourd à coups de gourdin sur StopCovid. Comme ce « non mais oui » pour l'interopérabilité. C'est non, pas oui.
Ce site a flatté une interopérabilité entre les utilisateurs de l'API, interopérabilité qui n'existe pas. Ce site n'a eu de cesse de parler de l'isolement de la France quand on se rend compte que l'API n'est utilisé que pour 20 pays sur 200 contaminés - et de ce fait même s'il y avait une interopérabilité parfaite n'aurait été que quasi théorique car le peu de pays fait que cela n'a qu'une utilité très très limitée -, qu'il y a d'énormes problèmes de confidentialité, de batterie et maintenant un bug qui rend en grande partie inutilisable cette API. Deux géants sont incapables de coder correctement leur API, quand la France a réussi a préserver l'autonomie, malgré quelques soucis avec la CNIL. En fait les Français ont fait un excellent travail, travail dénigré violemment avec un parti pris inouï qui a fait que cette application a du mal à se déployer, et les responsables de ce mauvais déploiement par leurs attaques incessantes en accusent l'application elle-même, comme déjà dit, ils font comme les violeurs qui accusent la femme violée de l'avoir été.
Il y a souvent de la mauvaise foi dans les articles ici, mais concernant StopCovid et cette API, il a atteint des sommets. Certains de ses « journalistes » sont mûrs pour entrer en politique.
@Inconnu-Soldat
Faut en parler à la CNIL peut-être.
Et à Cédric O qui a lui-même dit que le procédé ne fonctionnait pas bien pour signaler les malades. Et pas seulement à cause d’un bug temporaire.
@FloMo
Avis de la CNIL :
L’essentiel
Conformément à ce qu’elle avait annoncé en mai dernier, la Présidente de la CNIL a décidé de diligenter des vérifications sur l’application StopCovid. Trois contrôles ont ainsi été organisés en juin afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.
Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus, la CNIL a constaté que ce problème était résolu sur la nouvelle version de l’application, déployée fin juin. Elle demande cependant à ce que cette nouvelle version soit généralisée à tous les utilisateurs de Stopcovid.
Pour le reste, la CNIL estime que cette nouvelle version respecte pour l’essentiel le RGPD et la loi Informatique et Libertés.
Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier. Elle a en particulier relevé certains manquements ponctuels relatifs à l’analyse d’impact, au recours au re-captcha Google, dans l’information fournie au public et dans les contrats de sous-traitance.
Source : cnil.fr
C’est vrai super négatif comme avis 😂😂
@hirtrey
« la solution Apple Google n’est pas jugée apporter, à date, des garanties suffisantes en matière de respect de la vie privée et de protection des données de santé. »
https://www.gouvernement.fr/sites/default/files/cfiles/dossier_de_presse_-_stopcovid.pdf
Ça impose une certaine forme d’exemplarité, non ?
@FloMo
Justement il y a la CNIl qui vérifie ce que fait l’application et rends des avis. La boîte noire de GA, difficile à vérifier.
Pour l’API, il n’y avait rien du tout au début, qu’une documentation mais le code n’était pas publié.
@hirtrey
GA est open-source depuis quelques jours. Et, ho grande surprise, ça correspond parfaitement aux spécifications diffusées.
@FloMo
Le 21 mai, ( date du document de ton lien) les sources n’était pas disponible.en 2 mois tu peux faire bcp de modif
@hirtrey
On peut aussi dire que l’open-source de chacune des solutions ne sert à rien car tu peux publier une app différente du code source utilisé.
@hirtrey
Sachant que la CNIL (publique) a juste réagit à une enquête de Mediapart.
A la sortie, le respect de la vie privée avait été considéré comme parfait.
@FloMo
Mais c’est pas simple de faire parfait pour une première version. Surtout ce qui touche à la vie privée.
La CNIL a vérifié l’application et le site MacG et a rendu un avis parfait. Il faudra me donner le lien.
@hirtrey
Pour l’aspect vie privée, le seul moyen d’être quasiment parfait est de ne pas prendre de risque.
Et c’est précisément ce qu’a fait GA en effectuant les diagnostics sur une zone sécurisée de l’appareil plutôt que transférer ça via le web.
De même, les pseudonymes sont générés localement et reste stockés dans une zone sécurisée.
À moins de craquer physiquement les iPhone ou trouver une faille du système d’exploitation, ce qui n’est pas donné à tout le monde, on n’a pas accès aux données.
La seule donnée qui transite, c’est la clé de chiffrement des personnes contaminées ainsi que la date à laquelle elle a été utilisée. Et avec ça, on ne fait pas grand-chose.
Contrairement à un diagnostic qui peut être accessible via piratage de serveur, ce qui est beaucoup plus courant. Surtout en France récemment.
@FloMo
J’avais fournis le lien vers une faille concernant l’API de GA.
@hirtrey
Et ?
Ce que demande le RGPD est de mettre tous les moyens en œuvre pour limiter le risque.
Après, tous les systèmes ont des failles.
J’en ai moi-même relevé un paquet concernant StopCovid avant que ça parte sur les appareils.
Mais si le socle est mauvais, tu ne peux rien faire.
Il suffirait que StopCovid fasse du traitement local (avec ou sans GA) pour que cette app soit presque parfaite.
@FloMo
Et pourquoi ne parler que des failles de StopCovid et jamais de celles de l’API GA ?
Parti pris ?
@hirtrey
Les failles de sécurité sont communes.
Les problèmes liés à la vie privée spécifiques.
@FloMo
C’était pas ma question.
@FloMo
« Contrairement à un diagnostic qui peut être accessible via piratage de serveur, ce qui est beaucoup plus courant. Surtout en France récemment. »
Ah bon, des données diagnostiques, c’est à,dire des dossiers médicaux ont été piratés récemment ?
J’espère pour ta crédibilité que tu ne parles pas de l’affaire Doctolib.
Les données santé fuirent joyeusement dans le monde entier. À ma connaissance, même si j’admets que ça tient parfois du miracle, en France, il n’y a eu à ce jour aucun piratage de masse de dossiers médicaux.
« L’orgueil français »
C’est assez médiocre comme critique.
Interroge toi au propos de ton propre orgueil avant de l’attribuer à un peuple entier.
@Bigdidou
> Ah bon, des données diagnostiques, c’est à,dire des dossiers médicaux ont été piratés récemment ?
> J’espère pour ta crédibilité que tu ne parles pas de l’affaire Doctolib.
MAIF et Covéa (MMA, MAAF, GMF) a minima, pour ce qui est public. Le reste n’est qu’à l’état de rumeurs.
@FloMo
« MAIF et Covéa (MMA, MAAF, GMF) a minima, pour ce qui est public. »
Aucune données médicale compromise à ma connaissance.
Les attaques auxquelles sont soumis les mutuelles établissements de santé en France sont des rançongiciels.
Les mêmes qui piratent l’Angleterre et les établissements de soins dans le monde entier (dont le mien, une fois).
« Le reste n’est qu’à l’état de rumeurs. »
Sans commentaire;
@Bigdidou
Je suis en interne. Je peux rien dire qui serait compromettant.
Si ce n’est que ce qui a été révélé publiquement confirme l’orgueil à la française : ça n’arrive qu’aux autres.
@FloMo
« Je suis en interne. Je peux rien dire qui serait compromettant. »
Eh bien c’est extrêmement inquiétant.
Ta réaction, je veux dire.
Je ne sais pas si tu t’en rends compte, mais c’est très difficile de savoir avec toi à,quel interlocuteur on a à faire.
Personne n’a jamais entendu parler d’un tel piratage avec la compromissions de dossiers ou même d’informations médicales parcellaires.
Ni les professionnels, et certainement encore moins les gens dont les données seraient compromises.
C’est le genre de chose qui font la une des journaux nationaux, et encore plus de la presse médicale papier ou en ligne.
Toi, tu balances ça alors que c’est totalement inutile dans ton argumentation, puis en expliquant que tu dois te désengager parce que chut, c’est secret.
Si c’est secret, n’en parle pas du tout.
Après, que tu sois dans un tel secret, et qu’un tel secret existe, permets-moi l’étonnement.
Nous verrons ce qui apparaît dans la presse ces prochains jours.
Sinon, tes mutuelles ont-elles entendu parler du RGPD que tu cites à l’envie ?
« Si ce n’est que ce qui a été révélé publiquement confirme l’orgueil à la française : ça n’arrive qu’aux autres. »
Si ça t’amuses.
Français moi même, j’ignore ce « qui n’arriverait qu’aux autres » dans la tête des français. Je suis au contraire très inquiet.
Peut-être qu’en tant que membre du staff de MacG tu pourrais songer à un peu de retenue dans tes insultes à un peuple entier, que tu en fasses partie ou non ?
Un peu de retenue en général, d’ailleurs.
@Bigdidou
Ça ne me concerne pas les serveurs : je suis prestataire pour les apps.
Vu que les piratages sont publics, il n’y a rien de secret par définition.
Mais ce sont les mêmes boîtes externes qui font partout en France les audits de sécurité de tout le monde. Y compris StopCovid.
C’est ce que je veux dire.
@FloMo
« Vu que les piratages sont publics, il n’y a rien de secret par définition. »
???
Il n’existe aucune information publique à ce jour à propos de données médicales personnelles qui auraient été compromises par un piratage, ce que tu sembles affirmer.
« Pour le reste, c’est opaque à mon niveau. Je n’ai pas l’info. »
OK, j’abandonne.
@Bigdidou
> Il n’existe aucune information publique à ce jour à propos de données médicales personnelles qui auraient été compromises par un piratage, ce que tu sembles affirmer.
Je n’affirme surtout pas ça.
Je dis juste qu’il n’y a pas de conséquences sans cause. Qu’il y a un nombre important de piratages sur des services français en ce moment. Et que le principe de précaution devrait être la norme.
Les organisations de santé devraient avoir un niveau de protection au moins équivalent à celui des banques.
Le sujet est pris trop à la légère.
Pages