« Contact tracing » : les limites du Bluetooth, les risques sur la vie privée et l’anonymat
La paille, la poutre et le Covid-19
Notre dossier sur les protocoles du Contact tracing, les risques et les enquêteurs :
Le 23 avril 2020 à 16h00
30 min
Logiciel
Logiciel
Les projets d'applications de « contact tracing » font polémique. Elles sont accusées d'attenter à la vie privée et de reposer sur une mesure Bluetooth bien trop approximative. Nous avons tenté de résumer les nombreux livres blancs et analyses de risques rédigés par les chercheurs impliqués.
Plus d'une vingtaine d'applications de « contact tracing » ont d'ores et déjà été répertoriées sur Wikipedia et GDPRhub, le wiki de l'ONG de défense de la vie privée noyb.eu.
Nous avons déjà expliqué pourquoi le « contact tracking » ne fonctionnera (probablement) pas, détaillé les différents protocoles et initiatives et exposé pourquoi les termes du débat, qui ne sauraient être réduits aux seules applications Bluetooth, semblaient avoir été mal compris – parce que mal présentés par les autorités.
Ici, nous tenterons de résumer les principales critiques formulées à leur sujet.
Quand la solution Apple/Google est mal comprise
« Coronavirus : un conseiller du gouvernement met en garde contre une application Google-Apple », titrait la semaine passée l'AFP. Auditionné au Sénat, Aymeril Hoang, l'expert numérique du Conseil scientifique Covid-19, avait en effet « mis en garde contre une éventuelle application Google/Apple de traçage des contacts, estimant qu'une telle application devait rester du ressort de l'Etat ». Mais avec des arguments erronés...
« Si j'ai bien compris », rapportait l'AFP, Google et Apple comptent proposer « une application clef en main, entièrement packagée, où les États (...) n'auraient plus qu'à mettre leur logo ». À l'en croire, « cela veut dire que sur un plan technique, Google et Apple définissent eux-mêmes » quand une personne doit être prévenue qu'elle a croisé une personne contaminée (distance entre les deux, temps d'exposition...).
« Cela veut dire également qu'ils gardent » les identifiants des téléphones concernés, qu'ils définissent le « protocole » de fonctionnement : « à titre personnel, je pense que cela pose d'énormes enjeux de souveraineté numérique ». Selon M. Hoang, le gouvernement est pour l'instant dans une « logique de collaboration (...) et de négociation » avec Apple et Google.
« Si ces négociations n'aboutissaient pas, et si nous n'avions pas d'autres choix que de reprendre la solution clef en main de Google et Apple, je pense qu'il y (aurait) des arbitrages et des priorités à établir, que ça (devrait) tous nous interroger collectivement et en premier lieu la représentation nationale sur ce que cela signifie en termes d'indépendance et de souveraineté sur ces questions numériques », avait-il précisé.
En l'espèce, le projet (voir notre analyse) ne vise pas à fournir une « application clef en main ». Leur communiqué conjoint précise qu'ils veulent « aider les gouvernements et autorités de santé à réduire la propagation du virus, tout en plaçant la vie privée et la sécurité des utilisateurs au centre du design ».
Il s'agira tout d'abord, en mai, de fournir « aux autorités de santé » des API permettant d'améliorer l'interopérabilité et la précision des mesures de proximité effectuées par les terminaux Android et iOS. L'objectif est de permettre aux autorités sanitaires de s'en servir dans les applications qu'elles rendront elles-mêmes publiques dans leurs stores respectifs.
Dans les mois qui suivront, la fonctionnalité de « contact tracing » sera par la suite installée directement dans les terminaux, ce qui la rendra a priori « plus robuste qu'une API », tout en permettant à encore plus de gens de s'en servir, s'ils le désirent. Cédric O a depuis déclaré que l'application serait « souveraine », comme le rapporte France Info :
« Nous avons des discussions avec Apple et Google pour qu'ils facilitent les choses, mais les conditions dans lesquelles cette application sera déployée seront uniquement à la main des États souverains et nous ne céderons rien sur toutes les conditions. Nous ferons tout pour être prêts, mais nous ne pouvons pas garantir que nous serons prêts pour le 11 mai . »
- « Contact tracing » : on vous explique les différents protocoles et initiatives
- « Contact tracing » : les limites du Bluetooth, les risques sur la vie privée et l’anonymat
- « Contact tracing » : la nécessité (oubliée) de milliers d'enquêteurs
Une mesure de la proximité approximative
Seul point positif par rapport aux problèmes que nous avions répertoriés : il a depuis été confirmé qu'Apple et Google utiliseraient le Bluetooth basse consommation (Bluetooth LE), encore faut-il en disposer. Il faudra plus particulièrement récupérer le niveau du signal reçu observé (Received Signal Strength Indication, ou RSSI) pour mesurer, de façon plus précise, la proximité des potentiels « cas contact ».
Il s’agit de personnes ayant été « au contact » de patients identifiés comme contaminés par les autorités sanitaires. Pour autant, soulignent les développeurs de TraceTogether, de nombreux autres facteurs complémentaires font varier voire perturbent la mesure de la distance. Elle dépend en effet de l'endroit où est l'ordiphone (au fond du sac, dans la poche, la main, la rue, une cantine, une voiture, une salle de réunion, un atelier, etc.), de la texture au contact (tissu, table en bois, plastique ou en métal), de l'orientation des appareils les uns par rapport aux autres, sans parler des configurations matérielles et logicielles des différents terminaux...
Autant de critères environnementaux qui, combinés, rendent la mesure du signal plus ou moins approximative. De plus, précise l'organisme qui supervise l'élaboration de normes Bluetooth, la mesure de ce RSSI n'est pas standardisée et dépend du fabricant, ainsi que des facteurs de propagation de radiofréquences.
Si les RSSI mesurés sur les iPhone pourrait en « refléter avec précision la mesure de la distance », a contrario, la diversité des intégrateurs de terminaux Android « ne vous aidera pas à mapper facilement » le niveau de proximité. D'autres chercheurs estiment même que les données brutes obtenues par le RSSI entrainent de « nombreuses erreurs de mesure », et que l'implémentation numérique ou électronique d'un filtre passe-bas (Low Pass Filter, LPF), qui laisse passer les basses fréquences et qui atténue les hautes fréquences, permettrait de réduire les erreurs de mesures.
Et il faut aussi prendre en compte les données de calibration afin d’estimer correctement les distances. Or elles sont trop souvent manquantes et TraceTogether appelle d’ailleurs aux fabricants à les donner. En l'état, le fait de répondre favorablement au cahier des charges de la boîte à outils de la Commission européenne, qui recommande notamment qu'« afin de déterminer de manière fiable la distance de 1,5 mètre visée sur le plan épidémiologique, une résolution de 0,5 mètre doit être prévue, ce qui minimise les faux positifs », s'avère fort complexe à implémenter.
Nonobstant le fait que l'application devrait aussi « pouvoir envoyer et recevoir et enregistrer des signaux Bluetooth même en mode arrière-plan (même lorsque le téléphone est verrouillé) ».
De nombreux terminaux bloquent le Bluetooth en tâche de fond
Apple et Google n'ont pas officiellement communiqué à ce sujet, mais leur protocole pourrait aussi précisément permettre de corriger une fonctionnalité rendant difficile, voire impossible, l'utilisation de telles applications. Apple a en effet décidé de bloquer le Bluetooth dans les applications en arrière-plan, comme nous l’expliquions. Pour qu'elle fonctionne, il faut que l'application reste ouverte, en avant plan, et que l'iPhone ne soit pas verrouillé.
Les développeurs de TraceTogether, l'application singapourienne qui sert de matrice aux autres projets de ce type, conseillent en outre de mettre l'iPhone face contre terre, ou tête-bêche, et de limiter au maximum la luminosité de l'écran, pour ne pas vider la batterie... de quoi compliquer l'utilisation (et l'efficacité) de l'application.
Outre l'aspect rébarbatif de cette somme de pré-requis, le fait de se déplacer avec un iPhone déverrouillé aurait contribué à dissuader un certain nombre de Singapouriens de l'installer, et encore plus de l'utiliser. Cela n'aurait été le cas que d'un million environ des six millions de résidents (soit moins de 18 % d'entre eux), alors que le pays est bien moins mutin et rétif que ne peuvent l'être les Français au sujet de telles mesures de surveillance.
Les épidémiologistes estiment pourtant que, pour qu'elles soient vraiment efficaces, 60 % de la population devrait installer ce genre d'application. Ce dont on peut douter, souligne Le Monde, vu qu’un peu moins de huit Français sur dix dispose d'un ordiphone, que Facebook, réseau social le plus populaire au monde, compte moins de 30 millions d’utilisateurs actifs en France et que tous n’utilisent pas nécessairement l’application du réseau social sur leur téléphone.
Tomas Puyeo, dont les Medium prospectifs au sujet de ce coronavirus ont été largement relayés, a calculé de son côté que quand bien même 27 % des Singapouriens auraient installé l'application (il espérait en effet que le nombre d'utilisateurs ne pourrait qu'augmenter), seuls 23 % lanceraient l'application (ce qui ne sert a priori à rien lorsque l'on est confiné) et cela ne représenterait que 12 % seulement du temps où ils auraient activé le Bluetooth. Cela ne permettrait donc d'identifier que 2 % seulement des personnes censées avoir été « au contact » de personnes contaminées.
Des tests aléatoires seraient plus efficaces (et moins coûteux) qu’une application
Un groupe de chercheurs en informatique, intelligence artificielle et mathématiques européennes, spécialistes des questions de modélisation et de simulation sociale, estiment pour leur part que des tests aléatoires seraient bien plus efficaces qu'une application de « contact tracing ».
Ils ont en effet effectué plusieurs simulations afin de comparer les effets d'une telle application si elle était utilisée par 0, 60, 80 ou 100 % de la population avec ceux de tests aléatoires effectués sur seulement 20 % de la population. Et leur conclusion est double : ces 20% de tests aléatoires contribueraient à infléchir la courbe des infections de façon plus rapide et prononcée que l'utilisation d'une application de « contact tracing ».
Ils permettraient également de devoir effectuer moins de tests (dont on a pu mesurer à quel point ils étaient comptés), d'éviter d'engorger le système de prise en charge sanitaire et de limiter le nombre de personnes à placer en quarantaine.
StopCovid « pas dangereuse, mais ne servira peut-être à rien »
Pour autant, et comme le résume le journaliste Raphael Grably en conclusion du fil qu'il a consacré à StopCovid sur Twitter : « si l'appli StopCovid voit le jour, elle ne sera pas dangereuse, mais ne servira peut-être à rien », faute de pouvoir bénéficier des améliorations qu'Apple et Google sont censées mettre en place.
Les iPhone, ainsi qu'un certain nombre de terminaux Android, devront en effet rester allumés, avec l'application ouverte en avant-plan, ce qui avait précisément contribué au faible taux d'adoption à Singapour, et qui ne répond pas non plus au cahier des charges de la Commission.
J'ai terminé mon explication, évidemment ouverte à la contradiction pour s'enrichir.
Je résume ma modeste interprétation, cette fois parfaitement subjective: si l'appli StopCovid voit le jour, elle ne sera pas dangereuse, mais ne servira peut-être à rien.
— Raphael Grably (@GrablyR) 19 avril 2020
Les questions de (dé)centralisation au coeur de la polémique
Le protocole « ROBERT » (pour ROBust and privacy-presERving proximity Tracing) que vient de dévoiler Inria (voir notre actualité) reproche en effet aux partisans d'une approche « décentralisée » (dont DP-3T, Apple et Google), d'avoir opté pour ce qu'il qualifie de « centralisation décentralisée », au motif que leur protocole revient à envoyer « sur chaque smartphone la liste de l’ensemble des crypto-identifiants des personnes diagnostiquées comme positives ».
A contrario, le « serveur central (pour assumer le terme) » et comme le précise Inria pour décrire cet aspect de son protocole ROBERT, ne comportera « AUCUNE donnée relative au statut des personnes positives », mais uniquement « une liste de crypto-identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes positives ».
Inria estime que les approches supposées être très décentralisées, « qui pourraient avoir les faveurs de communautés réticentes à accorder leur confiance à une autorité centrale, peuvent présenter des faiblesses majeures en matière de protection de la vie privée », et représenter un risque de stigmatisation des utilisateurs en cas de compromission.
Le débat ne devrait pas, expliquent les chercheurs du laboratoire Privatics d'Inria (spécialiste des questions de protection de la vie privée à l'ère du numérique), se focaliser sur les termes « imprécis et trompeurs » de « centralisés VS décentralisés », mais sur une analyse des risques. D’autres experts du secteur sont sur la même ligne de conduite.
Ils estiment que la comparaison des crypto-identifiants anonymisés ayant été « au contact » devrait être effectuée sur un serveur que les autorités de cybersécurité et de protection de la vie privée pourront auditer, plutôt que sur les terminaux des utilisateurs. Vincent Roca, l'un des chercheurs d'Inria, explique à ce titre qu'en termes de modèle de menace, les utilisateurs malintentionnés poseraient plus de problèmes que les gouvernements de pays démocratiques.
Si l'on peut comprendre qu'Inria et le gouvernement préfèrent ne pas envoyer les crypto-identifiants – même « anonymisés », terme restant cela dit sujet à caution, comme le soulignent Stéphane Bortzmeyer et Thomas Fournaise – sur les ordiphones des utilisateurs, cette centralisation n'est pour autant pas sans poser problème.
Inria participe en effet au projet PEPP-PT (PanEuropean Privacy Preserving Proximity Tracing), qui a pour vocation d'intégrer le protocole ROBERT et de lui ajouter plusieurs couches logicielles. PEPP-PT avait initialement prévu de soutenir les approches centralisées et décentralisées, telles que DP-3T (Decentralized Privacy-Preserving Proximity Tracing, un autre projet porté par des chercheurs européens), mais n’en fait plus mention sur son site.
L’Europe divisée sur la question, PEPP-PT mise sur la centralisation…
Le 8 avril, la Commission européenne adoptait une recommandation privilégiant l'approche décentralisée, suivie le 14 par le Comité Européen de la Protection des Données se prononçant lui aussi en faveur de la décentralisation.
Une rafale d'articles et de prises de position publiques ont, vendredi 17 avril, fait montre d'une accélération dans la polémique qui fait désormais rage entre les deux approches. Plusieurs laboratoires de recherche, pourtant piliers du projet, se sont ainsi dissociés de PEPP-PT, dénonçant son manque de transparence, et rejoignant les rangs de DP-3T.
Techcrunch rapportait pour sa part que l'Espagne et la Suisse avaient opté pour des approches décentralisées. De son côté, PEPP-PT était en négociation avec 40 pays et les requêtes des journalistes qui lui étaient adressées étaient gérées par Hering Schuppener, un cabinet de communication stratégique spécialisé dans la communication de crise, auquel Volkswagen avait eu recours lors du Dieselgate.
Nos confrères relevaient par ailleurs que Thomas Wiegand, directeur de l'institut allemand Fraunhofer Heinrich Hertz (un des partenaires de PEPP-PT) a ce jour-là qualifié le débat de « spectacle parallèle » (« side show », en VO). Il a exprimé sa crainte de ce qu'il a appelé la « discussion publique ouverte », pouvant « détruire notre capacité à nous sortir en tant qu'Européens » de la pandémie.
Pour lui : « la cryptographie n'est que l'un des 12 éléments constitutifs du système. J'aimerais donc que tout le monde revienne et reconsidère le problème dans lequel nous nous trouvons ici. Nous devons gagner contre ce virus… ou nous avons un autre verrouillage ou nous avons beaucoup de gros problèmes. J'aimerais que tout le monde y réfléchisse parce que nous avons une chance si nous agissons ensemble et gagnons vraiment contre le virus. »
Plusieurs eurodéputés, dont Sophie in 't Veld, écrivaient de leur côté à PEPP-PT pour lui demander des explications sur son absence de transparence, son choix d'une architecture centralisée, l'absence de code source auditable, et pour en savoir plus sur ses partenaires, tant étatiques qu'industriels.
Le Parlement européen adoptait pour sa part une résolution (395 pour, 171 contre, et 128 abstentions) estimant que « les données générées ne doivent pas être conservées dans des bases de données centralisées, susceptibles d’être utilisées à de mauvaises fins et de provoquer une perte de confiance, ce qui aurait pour effet de compromettre leur utilisation dans l’ensemble de l’Union ». Il demande que « toutes les données stockées soient décentralisées » et que « la pleine transparence soit accordée aux intérêts commerciaux (hors de l’Union) des développeurs de ces applications et que le rôle de l’utilisation des applications de recherche de contact par une partie de la population ».
…DP-3T accuse PEPP-PT d’« ouvrir la voie à des abus systémiques »
L'ICO (la CNIL britannique), soulignant que la solution d'Apple et Google était « similaire » à celle de DP-3T, publiait de son côté un communiqué approuvant leur démarche de « protection des données par design et par défaut, y compris en termes de sécurité et de minimisation des données ».
Ce dimanche 19 avril, DP-3T accusait les principes d'architecture de sécurité et de protection des données personnelles, que PEPP-PT venait de rendre publics, d'« ouvrir la voie à des abus systémiques », notamment parce que son approche centralisée pourrait permettre de reconstituer le « graphe social » de ses utilisateurs, qu'ils aient été contaminés ou pas.
Ce lundi, 300 scientifiques et chercheurs européens ont co-signé une tribune fustigeant eux aussi cette approche centralisée, accusée de permettre à des acteurs malintentionnés de pouvoir espionner le « contact tracing » de ses utilisateurs, et applaudissant le protocole proposé par Apple et Google.
Depuis, des centaines d'autres chercheurs et scientifiques, aux Pays-Bas et en Belgique, ont eux aussi publié des lettres ouvertes appelant leurs gouvernements à bien mesurer leurs responsabilités, déplorant les travers et les risques posés par ce type de « solutionnisme technologique ».
Le célèbre cryptographe Matthew Green, de son côté, souligne l'ironie de voir que l'application centralisée européenne serait potentiellement plus invasive et attentatoire à la vie privée que ne l'est le protocole décentralisé proposé par Apple et Google. Parce que les identifiants, générés sur le serveur central, permettraient aux autorités de les relier à l'identité des utilisateurs. Le serveur centraliserait également les identifiants de tous ceux identifiés comme « cas contact ».
Inria a commencé à répondre aux nombreuses questions et problèmes qui lui ont été exposés, soulignant notamment l'ironie consistant à demander à des chercheurs spécialistes des questions de vie privée numérique de contribuer à mettre en place un système de traçabilité technologique, et donc à faire le contraire de ce qu'ils font habituellement.
Le GitHub de PEPP-PT ne permet pas aux contributeurs extérieurs de lui soumettre des questions ou propositions d'améliorations, et n'a, à notre connaissance, toujours pas répondu aux critiques dont il a fait l'objet. Rappelons que dans les deux cas (centralisé ou décentralisé), les autorités sanitaires disposent évidemment de la liste des personnes malades.
« Une redistribution radicale de la surveillance vers la santé publique »
Sur Twitter, Cédric Lévy-Bencheton, qui a travaillé à l'ENISA (l'agence européenne de cyber sécurité), explique que les conditions mêmes de propagation des signaux Bluetooth, couplées au fait d'avoir son ordiphone dans la poche ou au fond de son sac notamment (et donc d'entraver sa propagation, en fonction des matières à traverser, et des autres signaux pouvant le parasiter), pourraient permettre d'identifier, à tort, comme « cas contact » des personnes se trouvant pourtant à une bonne distance de sécurité, tout en n'identifiant pas d'autres personnes ayant pourtant été exposées :
In the real world, Alice and Bob have the phone in their bag (which might not with them at all times). Charlie and Zoey have the phone in their back pocket.
Alice, Bob and Charlie are still in the danger zone but they are safe according to the app. More people can become sick! pic.twitter.com/JMxfRUp0Mj
— C. LÉVY-BENCHETON (@clevybencheton) 16 avril 2020
Et ce, alors qu'on anticipe déjà des détournements et tentatives de piratages de son usage : « les Russes utiliseront l'application pour lancer des attaques par déni de service et semer la panique ; et le petit Johnny signalera lui-même les symptômes pour renvoyer toute l'école à la maison », comme le résume lapidairement le chercheur en sécurité informatique Ross Anderson, qui conseille notamment le ministère de la santé britannique depuis 25 ans.
Signalons par contre que l’identification d’une personne comme étant malade sera réalisé par un médecin, pas directement par l’utilisateur. Après avoir dressé la liste des sept points lui posant problème avec ce type d'application, qui recoupent pour la plupart ceux que nous avions déjà soulignés, Anderson estime pour sa part que « ce qu'il nous faut, c'est une redistribution radicale des ressources du complexe industriel de surveillance vers la santé publique. Notre effort devrait aller dans le développement des tests, la fabrication de respirateurs, la construction d'hôpitaux de campagne, et la réorientation de tous ceux qui ont une formation clinique, des infirmières vétérinaires aux physiothérapeutes, pour les utiliser. La réponse ne doit pas être conduite par des cryptographes mais par des épidémiologistes ».
Un avis partagé par le réputé cryptologue Bruce Schneier, pour qui les véritables problèmes posés par ces projets de « contact tracing » via des applications Bluetooth « ne relèvent pas de la confidentialité ni la sécurité », mais du fait que « l'efficacité de tout suivi des contacts basé sur une application n'est toujours pas prouvée : un "contact" du point de vue d'une application n'est pas le même qu'un contact épidémiologique. Nous aurions à traiter les faux positifs (être proche de quelqu'un d'autre, mais séparés par une cloison ou une autre barrière) et les faux négatifs (ne pas être proche de quelqu'un d'autre, mais contracter la maladie par un objet touché mutuellement) ».
Pour lui, « tant que 1) chaque contact n'entraîne pas d'infection et 2) qu'un grand pourcentage de personnes atteintes de la maladie sont asymptomatiques et ne réalisent pas qu'elles l'ont, je ne vois pas en quoi ce type d'application est utile. Et sans tests bon marché, rapides et précis, les informations de l'une de ces applications ne sont pas très utiles ».
Paradoxalement, le choix de ne pas obliger les citoyens à installer StopCovid, couplé à la défiance qui incitera un grand nombre à ne pas le faire, facilitera probablement le travail des enquêteurs, à mesure qu'il y aura moins de « cas contacts » identifiés qu'il n'y en aura réellement, et pourrait permettre aux autorités de ne pas avoir à recruter 30 000 enquêteurs (nous y reviendrons dans la troisième partie de notre dossier).
Aux dépens, cependant, de la santé publique et de la lutte contre la pandémie. De plus, ceux qui auront installé l'application et découvriront qu'ils sont devenus des « personnes contacts » n'auront aucun moyen d'identifier par qui, quand et où ils auraient été potentiellement contaminés, vu que les données sont anonymisées... et alors même que c'est pourtant précisément l'objet initial du « contact tracing ».
A contrario, cette suspicion de contamination pourrait également leur faire considérer, à tort ou à raison, que l'ensemble des personnes qu'ils auraient croisés dans les 14 jours préalables au déclenchement de l'alerte pourraient elles aussi avoir potentiellement été exposées au coronavirus. De quoi attiser les peurs, à défaut d'enrayer la pandémie.
Le « traçage anonyme », « dangereux oxymore »
Quinze chercheurs d'Inria et du CNRS notamment, spécialistes en cryptographie, sécurité ou droit des technologies, viennent de leur côté de lancer un site, risques-tracage.fr, basé sur leur expertise qui « réside notamment dans [leur] capacité à anticiper les multiples abus, détournements et autres comportements malveillants qui pourraient émerger ».
Ils y proposent une « analyse de risques à destination des non-spécialistes », et expliquent ce pourquoi la notion de « traçage anonyme » est un « dangereux oxymore » comportant « de nombreux risques, indépendamment des détails de fonctionnement de cette application » et ce, indépendamment du fait qu'elles aient opté pour une approche décentralisée ou centralisée.
Ils expliquent que « les protocoles de traçage décentralisés nécessitent la constitution d’un fichier des malades du Covid-19, au même titre que pour certaines maladies à déclaration obligatoire définies par la loi ». A contrario, « les modèles centralisés, eux, possèdent un fichier de personnes susceptibles de contracter la maladie puisqu’elles ont été en contact avec un malade ».
Mais dans tous les cas, soulignent-ils, et quand bien même ces fichiers seront pseudonymisés, il existe de nombreux moyens de s'y attaquer. Ils présentent ainsi quinze scénarios permettant à des personnes malintentionnées, au choix, de les désanonymiser, de faire croire à des gens qu'ils ont été au contact d'une personne contaminée (de sorte d'empêcher une équipe de sport de jouer un match, un porte-avions d'appareiller, ou fermer un établissement scolaire), identifier si telle personnalité en particulier, ses voisins ou collègues en général, ont été infectés, entre autres.
« Le traçage des contacts pose de nombreux problèmes de sécurité et de respect de la vie privée, et les quelques scénarios que nous avons présentés n’illustrent qu’un petit nombre des détournements possibles », écrivent-ils. « À cet égard, la cryptographie n’apporte que des réponses très partielles. Nombre des situations que nous avons présentées exploitent en effet les fonctionnalités de ce type de technique, plutôt que leur mise en œuvre ».
Après avoir noté qu'« un vif débat a lieu entre les spécialistes du domaine sur la sécurité des applications proposées, opposant souvent les applications dites "centralisées" à celles dites "décentralisées" », ils estiment que « l’arbitrage de ces risques ne pourra pas être résolu par la technique. Il relève de choix politiques qui mettront en balance les atteintes prévisibles aux droits et libertés fondamentaux et les bénéfices potentiels qui peuvent être espérés dans la lutte contre l’épidémie. À notre connaissance, l’estimation des bénéfices d’un éventuel traçage numérique est aujourd’hui encore très incertaine, alors même que les scénarios que nous avons développés ici sont, eux, connus et plausibles ».
De nombreux risques « inhérents » aux applications Bluetooth
Dans son analyse des risques, l'équipe de DP-3T reconnaît elle aussi qu'aucune de ces applications Bluetooth, quelles qu'elles soient, ne pourrait empêcher un adversaire suffisamment motivé d'identifier les personnes qui auront déclaré avoir été infectées, d'envoyer de fausses alertes pour faire croire à des contaminations, de surveiller les adresses MAC de leurs terminaux, ou d'identifier les endroits où se trouveraient des personnes infectées.
Au surplus, des pirates, espions et représentants de la loi disposant d'autorisations judiciaires, pourraient également, pour ce qui est des systèmes ayant opté pour une approche centralisée (ce qui n'est pas le cas de DP-3T), surveiller et cibler les utilisateurs à partir de leurs identifiants, retracer leur graphe social, et savoir qui, dans leurs contacts, aurait été infecté.
Les utilisateurs qui, bien qu'ayant été détectés positifs, pourraient eux-mêmes empêcher les autres d'apprendre qu'ils auraient été au contact de personnes contaminées, en désactivant le Bluetooth, en cessant d'utiliser l'application, ou en refusant de déclarer qu'ils ont été contaminés. C'est le revers de la médaille des applications basées sur le libre consentement de ses utilisateurs, requis par le RGPD.
DP-3T avance plusieurs autres problèmes « inhérents » au choix du recours au Bluetooth pour mesurer la proximité. Il résume : « il est impossible d'éviter les attaques visant les systèmes de traçage de proximité qui s'appuient sur le Bluetooth comme estimation d'un contact physique. Cela est dû au fait qu'on ne peut pas distinguer a posteriori les signaux BLE diffusés par un appareil transporté par une personne réelle d'un signal émis par un émetteur puissant ou capté par une antenne longue portée ».
Au surplus, des « plaisantins » ou personnes malintentionnées pourraient décider de brouiller les signaux, pour empêcher les applications d'enregistrer la liste des personnes « au contact ».
Les personnes (autorités judiciaires, espions, voleurs, conjoints ou proches) qui auraient un accès physique au terminal de l'utilisateur de l'un des projets décentralisés (comme DP-3T et celui porté par Apple et Google) et disposeraient de compétences techniques poussées, pourrait découvrir quand son utilisateur a été au contact d'une personne contaminée, où, et donc potentiellement découvrir de qui il s'agit.
DP-3T reproche par ailleurs à NTK, proposé par le projet PEPP-PT, et au protocole ROBERT d'Inria de pouvoir entraîner un détournement d'usage et de finalité (« function creep », en anglais) permettant à des personnes disposant d'un accès (légitimes, ou pas) à leurs serveurs centraux de pouvoir surveiller tous leurs utilisateurs, les désanonymiser, et reconstituer leur graphe social. Inria est d’ailleurs obligé de partir du postulat que l’autorité centrale est « honnête mais curieuse » dans l’implémentation de son algorithme.
Quid d'un droit au recours contre les « faux positifs » ?
Le Comité Européen de la Protection des Données vient pour sa part de publier les lignes directrices dressant la liste des conditions pré-requises pour que ces applications respectent le RGPD et la directive ePrivacy, les encourageant à publier des analyses d'impact relatives à la protection des données (DPIA, en anglais).
Ce à quoi se sont attelés six scientifiques et responsables de la protection des données du Forum allemand des informaticiens pour la paix et la responsabilité sociale (FifF). Ils ont à cet effet comparé l'« architecture centralisée » (hypothèse A) de PEPP-PT (similaire et compatible avec le protocole ROBERT d'Inria), l'« architecture partiellement décentralisée » (hypothèse B) qui « permet également une recherche épidémiologique » de DP-3T et l'« architecture complètement décentralisée » (hypothèse C) proposée par Linus Neumann, du Chaos Computer Club (CCC).
Les utilisateurs infectés pourront, dans tous les cas, être désanonymisés par les responsables des applications et les autorités compétentes. Avec PEPP-PT, ils pourront aussi désanonymiser l'historique de leurs interactions. Du côté de DP-3T, cet historique ne pourrait que partiellement être désanonymisé pour la recherche médicale, ce qu'interdit le protocole « complètement dématérialisé ».
Les conclusions de leur DPIA de 101 pages (en allemand) montrent d'abord que « même avec une architecture décentralisée, il existe des faiblesses et des risques graves auxquels il faut remédier ». Mais également qu'« il n’est pas possible de conclure qu’une implémentation en accord avec les principes du concept-cadre proposé par le PEPP-PT respecte nécessairement la vie privée ».
Au surplus, le libre choix laissé aux gens d'utiliser l’application « est une illusion », à mesure que son utilisation pourra devenir « une condition permettant l’assouplissement des mesures de confinement » ou « permettre l’accès à des bâtiments publics ou privés, à certains espaces ou à des évènements », voire être implicitement requise par son employeur.
Les chercheurs déplorent également que le risque d'être placé en quarantaine à tort du fait de « faux positifs » est une potentielle atteinte aux droits fondamentaux. Ils réclament dès lors que les applications introduisent un dispositif de recours et de contestation des fausses déclarations de contamination et des fausses interactions avec une personne infectée, ainsi que la contestation des mesures restrictives prises sur la base de tels traitements, possibilité qui, à ce jour, « n’est encore prévue par aucune des applications ».
Ils estiment au demeurant que « l'anonymat des utilisateurs doit être imposé par une combinaison de mesures juridiques, techniques et organisationnelles », et ne pas seulement reposer sur des mesures techniques ou des affirmations politiques. « Du point de vue de la protection des données, les principaux risques ne proviennent pas des pirates informatiques ou d'autres utilisateurs, mais des opérateurs du système de traitement de données eux-mêmes ».
La paille, la poutre et le Covid-19
Enfin, il est important, en ces temps anxiogènes, de comprendre le « modèle de menace » de ce « contact tracing ». S'il est impossible d'empêcher des plaisantins, des rageux, des hackers (y compris employés par des États malintentionnés) de chercher à s'attaquer à ce genre d'applications, le principal problème reste qu'elles ne serviront probablement que marginalement les objectifs qu'elles sont pourtant censées poursuivre.
D’autant que des tests aléatoires pourraient, en outre, s'avérer plus efficaces pour ralentir, voire enrayer la pandémie. En théorie, ces applications devraient pouvoir fonctionner, avec plus ou moins de fiabilité. Dans la pratique, les nombreux problèmes techniques non encore résolus, ainsi que les critiques formulées, y compris au sein de LREM et par les promoteurs mêmes de DP-3T, laissent supposer que cela sera sans doute bien plus compliqué.
Pour dire les choses autrement, elles ne seront probablement guère plus efficaces que ne le sont les caméras de vidéosurveillance, qui permettent certes, parfois, de documenter quelques crimes et délits en particulier, mais sans pour autant enrayer la criminalité, pas plus que la délinquance en général.
À l'instar de la police judiciaire et des autorités sanitaires, les applications (pas plus que les caméras) ne sauraient égaler le travail des enquêteurs de terrain, bien plus à même de comprendre le contexte, d'évaluer les indices, et d'écarter les faux positifs et faux négatifs, que ne pourraient le faire des algorithmes de reconnaissance automatisée basés sur une mesure approximative de la proximité via Bluetooth.
Et, de même que les principaux problèmes posés par les systèmes de vidéosurveillance relèvent moins de questions d'atteintes à la vie privée que de gaspillage d'argent public, la question se posera aussi, à terme, de savoir pourquoi autant d'énergie (et d'argent) auront été dépensés dans ces applications.
En matière de « santé publique », les applications Bluetooth ne remplaceront jamais les tests, les masques, les médicaments, les vaccins, les respirateurs, les personnels soignants, le « contact tracing » de terrain, dont les services de santé ont besoin.
Le fait que la société civile et les médias, jusque-là, ne se sont quasi-exclusivement focalisés que sur les seuls problèmes que poseraient de telles applications en matière de vie privée, de surveillance et de sécurité, sans pour autant quasiment jamais débattre des vertus du « contact tracing » de terrain, montre à quel point le débat relève bel et bien d'une forme de « solutionnisme technologique ».
En tout état de cause, les « contact tracers » ne pourront donc a priori identifier que les seuls potentiels « cas contact » ayant été (à tort ou à raison) identifiés parce qu'étant restés trop longtemps et trop près de personnes ayant déclaré avoir été diagnostiquées positives au Covid-19. Mais pas, paradoxalement, ceux qui auront aussi côtoyé les utilisateurs anonymisés des applications Bluetooth.
« Contact tracing » : les limites du Bluetooth, les risques sur la vie privée et l’anonymat
-
Quand la solution Apple/Google est mal comprise
-
Une mesure de la proximité approximative
-
De nombreux terminaux bloquent le Bluetooth en tâche de fond
-
Des tests aléatoires seraient plus efficaces (et moins coûteux) qu’une application
-
StopCovid « pas dangereuse, mais ne servira peut-être à rien »
-
Les questions de (dé)centralisation au coeur de la polémique
-
L’Europe divisée sur la question, PEPP-PT mise sur la centralisation…
-
…DP-3T accuse PEPP-PT d’« ouvrir la voie à des abus systémiques »
-
« Une redistribution radicale de la surveillance vers la santé publique »
-
Le « traçage anonyme », « dangereux oxymore »
-
De nombreux risques « inhérents » aux applications Bluetooth
-
Quid d'un droit au recours contre les « faux positifs » ?
-
La paille, la poutre et le Covid-19
Commentaires (38)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/04/2020 à 09h07
bref…on ne sait ‘rien’ sur ce, nouveau, virus !
chaque jour : on va “de découverte-en-découverte”
pss. : Mrs. les experts -restez humbles, quand on vous pose des questions, plutôt que de vous contredire !
“lavez votre linge sale” entre-vous, et venez nous ‘délivrer la bonne-parole’, alors que là….
“noir/blanc’=on ne sait plus ‘QUOI penser’(c’est anxiogène) ?
Le 24/04/2020 à 09h09
Le 24/04/2020 à 09h33
Le 24/04/2020 à 09h35
( chloroquine ) je viens de découvrir son prix : 0.50 Euros le cachet !
http://base-donnees-publique.medicaments.gouv.fr/extrait.php?specid=65130778
Le 24/04/2020 à 09h44
Le 24/04/2020 à 09h45
Et pourtant moi je le comprends bien comme ça. « ce n’est pas ce qu’on fait d’habitude, mais on pense qu’il faut le faire » (et donc, le faire du mieux possible).
Cf l’autre commentaire dans le même fil (pas de l’équipe, certes) : Anyway, at this step, i think our goal is to try to have something the less intrusive and the more privacy preserving possible, and let’s focus on that, the rest is less urgent….
Peut-être que j’extrapole sur le « de toute manière quelqu’un d’autre le fera mal », qui les motiverait, effectivement.
Le 24/04/2020 à 09h46
Le 24/04/2020 à 09h49
Moi l’impression que ça me donne, c’est comme demander à des pacifistes de créer la bombe nucléaire la plus gentille avec les victimes, ou demander à des vegans la méthode la plus cool pour tuer des animaux.
C’est juste psychologiquement contradictoire, et la meilleur chose à faire est toujours de dire non.
Cf. l’expérience de Milgram.
Le 24/04/2020 à 10h08
“purée”…c’est donné !
(je me demande, bien)
Le 24/04/2020 à 10h22
Le 24/04/2020 à 10h51
Tout ça c’est du blabla. On sais tous comment finira l’histoire.
L’appli va se faire, pas obligatoire, du moins au début. Ca aura couté une petite fortune. Ca se révèlera inefficace, mais on la garde quand-même, ça pourra servir pour autre chose…
Le 24/04/2020 à 13h48
Le 24/04/2020 à 15h18
Le 24/04/2020 à 19h05
Le 24/04/2020 à 19h21
Sauf qu’il serait préférable d’utiliser l’hydroxychloroquine avait moins d’effet secondaires (j’aime bien les effets secondaires neurologique de la chloroquine).
http://base-donnees-publique.medicaments.gouv.fr/extrait.php?specid=67767535
C’est le même ordre de prix.
Le 25/04/2020 à 12h28
Le 23/04/2020 à 16h57
Il existe déjà des applications qui utilisent le BT sans aucune installation sur le terminal, pour tracer nos déplacements dans les supermarchés.
Pour ces enseignes, le simple fait de savoir si nous avons installé l’application est une donnée intéressante.
Et en cas de paiement par carte, pire encore avec l’utilisation d’une carte de fidélité, adieu l’anonymat, quand bien-même l’application de traçage officielle serait suffisamment bien faite.
Croyez-vous qu’il vont fermer les yeux sur de telles données ? Croyez-vous que cet exemple est le seul d’un détournement possible ?
Le 23/04/2020 à 17h16
Par où commencer concernant cet “article” ?
Ah si je sais
D’autant que des tests aléatoires pourraient, en outre, s’avérer plus efficaces pour ralentir, voire enrayer la pandémie.
Les fameux tests aléatoires sur 20% de la population " />" />
Pour info, il faudrait plus de 6 mois à la Corée du Sud pour tester aléatoirement 20% de sa population.
Effectivement c’est un moyen bien meilleur pour enrayer une épidémie " />
D’où l’intérêt de ne pas interroger que des cryptologues et autres statisticiens pour pondre ce genre d’article.
Le 23/04/2020 à 18h17
Des tests aléatoires seraient plus efficaces (et moins coûteux) qu’une application
Distribuer dans les transports publics des “bons pour un test” à toutes les personnes après une prise de température frontale qui n’a besoin d’aucune identification encore bien plus efficace et encore moins cher.
Parmi toutes les pistes bien plus efficaces et bien moins dangereuses qu’une quelconque appli.
Le 23/04/2020 à 20h12
En parlant de vidéosurveillance (ou vidéoprotection pour les intimes), dans ma commune, la police (municipale en collaboration avec la police et la gendarmerie nationales) utilisent les caméras pour repérer les attroupements dans l’espace public et pour envoyer les agents de terrain sur place.
Dans un sens, on peut se dire que ça aide en partie à faire respecter les mesures sanitaires. Dans un autre sens… je ne vais pas en parler à nouveau ici, on va me répondre que je dis des conneries ou que je crois avoir la science infuse.
Pour ce qui est de l’article de façon générale : des parties un peu trop techniques pour moi, mais par ailleurs plutôt intéressant.
Le 23/04/2020 à 21h37
Ah enfin un article sur le fond où il n’est pas question de technique, mais bien des graves problèmes que va irrémédiablement créer ce genre d’applis de traçage et de surveillance, comparées à l’incapacité à pouvoir faire ce pourquoi elles sont conçues à la base.
Merci Jean-Marc pour la conclusion qui remet un peu d’ordre dans les priorités, et rappeler qu’il y a des solutions qui sont bien plus efficaces.
Le 24/04/2020 à 06h33
C’est sympa de reprendre dans un article de NXi les conclusions complètement à côté de la plaque d’un site comme risque-tracage.fr.
L’avez vous seulement lu. Si oui votre analyse complètement subjective a omis de voir que dans quasi TOUS leurs exemples l’aspect temporel a été omis: ce n’est pas parcequ’on croise quelqu’un que l’appli va flasher. Rien que cet aspect montre que cet éditorial n’est en rien critique, ni factuel.
Enfin, il est important, en ces temps anxiogènes, de comprendre le « modèle de menace » de ce « contact tracing ».
Il est sur que de votre côté, vous n’utilisez absolument pas les grosses ficelles en “ces temps anxiogènes”
D’autant que des tests aléatoires pourraient, en outre, s’avérer plus efficaces pour ralentir
Voir ma réponse du dessus: avant de sortir des conclusions si péremptoires, vous auriez peut être du aussi demander à des épidémiologistes leur avis. Parceque si c’est la seule solution que vous proposez, elle est totalement inapplicable.
À l’instar de la police judiciaire et des autorités sanitaires, les applications (pas plus que les caméras) ne sauraient égaler le travail des enquêteurs de terrain, bien plus à même de comprendre le contexte, d’évaluer les indices, et d’écarter les faux positifs et faux négatifs, que ne pourraient le faire des algorithmes de reconnaissance automatisée basés sur une mesure approximative de la proximité via Bluetooth.
Cela tombe bien c’est exactement ce qui a été mis en place au début de l’épidémie en France avec l’efficacité qu’on a tous pu constater. La encore, brillante idée. " /> Vous avez la aussi demandé leur avis aux spécialistes en la matière ou vous vous êtes contenté de donner le votre ?
En matière de « santé publique », les applications Bluetooth ne remplaceront jamais les tests, les masques, les médicaments, les vaccins, les respirateurs, les personnels soignants, le « contact tracing » de terrain, dont les services de santé ont besoin.
J’aimerai une source pour savoir qui a dit cela.
Car c’est sur que si la totalité de votre argumentaire est basée sur ce genre d’affirmation erronée, on n’est pas rendu.
Le 24/04/2020 à 07h43
Croyez-vous qu’il vont fermer les yeux sur de telles données ?
voila..‘une des raisons’ qui me pousse à NE PAS l’installer !
(dans 1 an on apprendra “qu’il a-eu des fuites”= ‘oups’ ) " />
Le 24/04/2020 à 08h33
Le 24/04/2020 à 08h39
Merci pour cet excellent article qui fait le tour en profondeur de la question d’un point de vue « sécurité » de ce genre d’applications.
Le 24/04/2020 à 08h42
Pour info 80% des gens contaminés au covid seraient asymptomatique et dans les 20% restants certains n’ont pas de fièvre.
Et pour les gens qui ont de la fièvre celle ci n’apparait qu’au bout de 11-12 jours , ce qui leur laissent deux semaines pour la diffuser.
Le 24/04/2020 à 09h01
Le 25/04/2020 à 12h32
Le 25/04/2020 à 15h15
C’est bien de tester les gens qui ont de la fièvre, mais on fait quoi du résultat ? Vu le nombre de faux négatifs, y compris chez des patient hospitalisés, la prise en compte des symptômes est plus pertinente que la prise en compte du résultat du test.
En période de pandémie, il est raisonnable d’isoler toutes les personnes symptomatiques. À la phase initiale, il est même raisonnable d’isoler les cas contact des personnes symptomatiques (mais on n’en est plus là).
L’idée derrière les test aléatoires, c’est de détecter des cas non symptomatiques. C’est probablement peu pertinent car :
* les cas non symptomatiques sont probablement peu contaminants en direct (mais contaminants en croisé comme n’importe quel contact)
* ça mobilise des moyens disproportionnés en regard du bénéfice escompté
Le 25/04/2020 à 17h26
Le 25/04/2020 à 17h34
Le 25/04/2020 à 17h59
On pourrait en effet déconfinner une partie du territoire en espérant que ça ne flambe pas. Ce n’est pas sans risque : ce sont les zones préservée qui ont permis aux zones les plus touchée ne de pas être submergées, en accueillant des patients au sommet de la vague. En terme de décès évités, ça ne représente que quelques centaines de patients, on peut décider que c’est négligeable au regard du total et du coût du confinnement.
Le 25/04/2020 à 18h45
Les “zones préservées” ont déjà servi de tampon quand les services des “zones les plus touchées” au plus fort de la montée en puissance de l’épidémie avaient un risque de saturation, sans mettre les populations en danger. Pourquoi ne pourraient-elles plus le faire? (et ça a concerné combien de patients en fait?)
Dans les zones “les plus touchées”, on récupère doucement des capacités à accueillir de nouveaux patients et c’est ce qui permet d’envisager le dé-confinement. Mais pourquoi vouloir passer du tout ou rien ou presque sur l’ensemble du territoire? Ces zones les plus touchées sont toujours celles dans lesquelles circule le plus le virus et globalement l’ouest reste plutôt épargné. C’est un délire de ma part de considérer que s’il y a moins de malades, c’est que le virus est moins présent et qu’il y a moins de risque pour leurs habitants? Et dans ce cas, pourquoi devraient-ils être contraints aux mêmes règles strictes?
La réalité est de toutes façons en train de rattraper les volontés politiques. Dans les zones urbaines, densément peuplées, la question de la réouverture des école se pose et finalement le gouvernement compte sur les collectivités locales, tant méprisées, pour organiser le bazar.
De fait, nous ne serons pas égaux sur nos possibilités le 11 mai. Alors pourquoi insister à vouloir imposer les mêmes règles partout?
Cette situation est d’autant plus incompréhensible que, et je vais rester sur un plan purement médical, la loi s’accommode très bien de discriminations qui elles sont tout à fait arbitraires. Le don de sang est un exemple.
Quand on trouve un traitement, un vaccin, il est d’abord proposé à ceux identifiés comme à risque. Pourquoi le confinement, qui est une mesure sanitaire (selon l’article 3 du décret du 23 mars 2020) devrait être imposé à tous? Si 2 clients d’un restos font une intoxication, tu fermes tous les restos de la ville?
Un peu de cohérence, c’est trop demander?
Le 25/04/2020 à 19h05
Le 25/04/2020 à 19h18
Je me suis mal exprimé. Si on lève le confinement dans les zones peu touchées, on prend le risque d’un démarrage local qui va diminuer la disponibilité des services de soin, dont les zones déjà très atteintes peuvent encore avoir besoin. Après, je conçoit tout à fait que cette solidarité dérange habitants des zones qui ont eu la chance d’échapper à l’épidémie, et qui voudraient bien pouvoir vaquer à leurs occupations.
Bref, moi je ne trouve pas la situation incompréhensible ou incohérente, mais je n’ai pas de don de voyance, donc je peux tout à fait me tromper.
Le 26/04/2020 à 08h00
‘c’est clair’, non ? " />
Le 27/04/2020 à 10h33
Tout est mélangé dans cet article. Les questions d’utilité, celles de fiabilité et celles des risques vis à vis des libertés individuelles.
Le 28/04/2020 à 00h28