Traçage de contacts par ordiphone

Après avoir analysé différents protcoles proposés pour une apllication mobile, qui permet de consolider les données au bénéfice exclusif des épidémiologistes et de prévention de chaîne de risque, pour les utilisateurs de cette application, je tiens à résumer ici celui qui me semble le plus strictement construit dans l’intérêt commun de la santé publique et de la vie privée de ses utilisateurs.

Je ne présenterai pas les autres qui sont certes intéressants mais, à mon sens, n’offrent pas les mêmes garanties, en cherchant le meilleur équilibre, tel que le décrit le DP-3T.

Le protocole PACT écrit par le MIT est très simillaire au DP-3T, certains détails techniques diffèrent mais il ne présente pas de différence majeure ou de propriété nécessaire manquante.

Une première partie résume le fonctionnement du DP-3T en décrivant les avantages et risques pris en compte dans son fonctionnement. Une deuxième partie vient compléter le raisonnement en émettant toutes les réserves à inclure dans sa réflexion.

Aucune solution idéale n’existe. Il ne s’agit que de nuances pour travailler à placer le curseur de son opinion favorable ou défavorable, pouvoir déterminer les choix les plus efficaces et constructifs en tenant compte de l’ensemble de la problèmatique au sens large.

DP-3T

Ce protocole est construit dans le cadre d’un projet mené par l’EPFL et l’ETHZ en Suisse. Plusieurs acteurs de pays d’Europe s’y sont joints. Initialiement participant à l’initative européenne PEPP-PT, qui inclus plusieurs projets, ils s’en sont détachés pour se consacrer intégralment au DP-3T.

EphID : identifiants éphémères. Ils ont une durée de vite courte (en minutes) pour éviter tout traçace d’un identifiant. Ceci permet de ne pas reconnaître le même code deux fois, passé ce délai, ou s’il se retrouve plus tard, ne sera pas émis du même téléphone, donc non rattachable.

Il s’agit de pseudonymat. Ce sont des codes qui ne permettent pas de reconnaître l’utilisateur, cependant certaines propriété, que nous verrons plus loin, permettent de décrire un comportement propre à l’utilisateur, et donc de l’identifier de façon isolée, sans avoir besoin de son nom.

L’utilisateur installe l’application sur son tếléphone. Pas d’inscription en ligne, pas de renseignement de nom, email, ou numéro de téléphone.

A l’activation du module bluetooth, l’application émet ses EphID, et enregistre localement (exclusivement) les EphID qu’elle rencontre dans le rayonnement proche bluetooth.

Ceci permet de mesurer la distance du téléphone émetteur proche ainsi que sa durée de contact. Avec l’EphID, ce sont les seules données qui sont enregistrées, estampillées par une date : jour-mois-année, sans précision de l’heure et de la date.

L’imprécision de la date suffit à son caractère utile pour déterminer éventuelle période contagieuse et protège contre des techniques d’analyse pour identifier des utilisateurs ou de falsification de données.

Quand l’utilisateur est diagnostiqué/testé positif de la pathologie, muni d’un code de validation, activé par les autorités sanitaires (sous secret médical), il peut se signaler infecté en indiquant la date estimée, selon le personnel médical, du premier jour de contagion.

A noter qu’aucune donnée de géolocalisation n’est enregistrée, ni communiquée, quelle que soit la situation. La conception du protocole élimine volontairement toute donnée non requise à minimat et toute fonction qui permettrait de déterminer un comportement de l’utilisateur. Responsabilité est donnée à l’utilisateur d’adopter un comportement adéquat, ce n’est pas à l’application de le faire.

Un serveur central, ou plusieurs, gèrent la communication des informations des codes, validés par son utilisateur comme infectés, à destination les différents téléphones. Une gestion interopérable entre plusieurs pays est incluse.

Ce serveur ne repose pas sur la confiance : se protéger de tout abus ou vol de données. Il ne fait que recevoir de façon sécurisée les codes et les communique aux différents téléphones, soit à a demande, soit par mise à jour de données vers l’application mobile.

Un éventuel voleur, ou abus des administrateurs du serveur, ne permet pas d’identifier les utilisateurs, ni de déterminer qui est infecfé, ni de construire un graphe social des interactions. Son unique rôle est la communication des mises à jour à tous les utilisateurs, sans distiction.

Lorsque les utilisateurs reçoivent la mise à jour de la liste des codes des personnes infectées, l’application analyse ces codes avec ceux localement enregistrés. La comparaison se fait exclusivement localement et n’est jamais communiqué à qui que ce soit.

Si il y a eu mise en contact de façon risquée, selon un algorithme qui détermine des critères de temps/distance d’exposition, l’utilisateur en est informé. Il est alors seulement informé qu’il s’est trouvé à risque. Il ne sait pas qui a été infecté.

En principe, dès le diagnostic ou dépistage positif, la personne doit s’isoler pour la durée nécessaire comme l’usage actuel.

Il n’y a pas de système de traçage des personnes infectées. Il s’agit seulement de soutenir les épidémiologisites pour que leur modèle soit le plus efficace possible, ce qui mènera à avoir des décisions plus utiles. Il s’agit enfin de favoriser le ralentissement de la propagation tout en effectuant une sortie de confinement mesurée.

Dès lors que l’utilisateur s’est déclaré infecté, son code change, sans lien possible avec celui qu’il a communiqué en se déclarant contiagieux sur une période donnée.

La concept de ce protocole mise sur une sécurité claire, simplifiant au possible sa construction, utilisant des techniques de sécurité éprouvées et des plus actuelles.

Il proposent une variante qui automatise certaines fonctions, sur accord explicite seulement, afin de garantir une meilleure confidentialité dans le comportement de communication : résister aux attaques d’analyse de traffic avec le serveur central.

Une des conceptions décrite en terme d’expérience utilisateur est de ne rien faire dans le dos de l’utilisateur, de lui indiquer chaque action, et de n’exécuter qu’avec l’approbation de l’utilisateur. Tout ceci sans la moindre relation avec une autorité qui pourrait surveiller les actions de l’utilisateur dans l’application.

Ce développment logiciel est sous forme publique, consultable librement en ligne, sur la plateforme de développment github.

Le code source est donc vérifiable, de plus, il sera possible pour les informaticiens tiers de générer les applications à partir du code et de vérifier que les applications mobiles sont bien celles annoncées avec le code source. Tout ceci est donc vérifiable sans confiance.

S’il était découvert un code malveillant, introduit dans le code du programme, volontairement ou non, non seulement cela se verrait rapidement, mais ensuite plus personne ne l’utiliserait. Ce rapport sans confiance avec verifiabilité apporte donc une valeur de transparence qui est requise.

Dans la partie risques:

Il y a la partie bluetooth en elle-même. Une communication radio souffre des aspects phyisques dont elle ne peut se défaire:

• l’exposition radio, on ne contrôle pas qui perçoit ce raynonnement.
• Il est facile, bien qu’illégal, de brouiller un signal radio.
• Les mesures bluetooth varient avec les propriétés électroniques des équipements radios (selon constructeur, modèle).
• La mesure bluetooth ne tient pas compte des objets ne faisant pas écran au rayonnement radio mais qui font écran au virus (vitre, cloison, rideau, ..).
• Une antenne directionnelle adaptée permet de capter signal bluetooth sur de grandes distances (écoute passive).

Toutes ces caractéristiques sont propres à le technologie radio, bluetooth dans ce cas, et font partie des raisons pourquoi il n’est pas recommandé d’activer le bluetooth de façon prolongée.

Comme localement l’utiisateur dispose de son historique de contacts EphID, lorsqu’il reçoit des mises à jour de codes qualifés d’infectés, il pourrait déterminer si ses contacts les plus fréquents le sont. Si ses contacts les plus fréquents sont son cercle très proche comme familial ou amis, collègues très proches, on peut considérer que même si cela est possible, socialement, ils seront sans doute au courant, donc ceci n’est pas un risque majeur.

Les téléphones émettent ces EphId générés à partir d’une clé, qui elle aussi change régulièrement. Les EphID sont émis à partir d’une liste générée, mais de façon aléatoire, afin de dissimuler la chronologie, pas de séquence précise calculable pas un attaquant.

Les risque d’exposition existent cependant. Utiliser plusieurs téléphones ou équipements installant l’application de façon abusive pourraient corréler des émissions et tenter d’identifier des sources d’émissions avec des analyses de caméra ou couplées à d’autres techniques.

Sur des acteurs majeurs de surveillance, il est déjà très facile de géolocaliser les personnes, les enregistrements historiques existent déjà chez les opératueurs, et je n’évoque pas ici le traçage des géants comme Google, etc… qui le font déjà en toute impunité et manifeste violation GDPR, particulièrement en consentment non-libre.

De multiples erreurs peuvent survenir, et il faudra en tenir compte. L’imprécision des distances, les éventels faux-positifs conséquents peuvent mener des personnes à s’isoler alors qu’elles n’ont pas été à risque. En cas de faux négatifs, cela peut mener des utilisateurs à se sentir protégés alors qu’ils ont été en contact avec des personnes infectées, facilitant potentiellement une contagion à des tiers.

Favoriser l’usage de bluetooth en masse peut donner lieu à des multiplications d’attaques sur cette technologie relarivement fragile, ainsi que des techniques d’identification par signature des metadonnées émises ou comportement radio propre à l’appareil.

Déterminer si ses contacts les plus fréquents sont infectés n’est pas grave si ce sont des très proches qui auront socialement informés les leurs. Cependant, un contact très fréquent n’est pas forcément un intime. Si l’on a peu d’interactions, un contact régulier avec un commerçant par exemple, peu devenir un contact fréquent identifiable. Ces effets de bords arriveront.

Ce genre d’application peut favoriser une culture de la suspiçion et de la volonté de dénoncer ceux qui sont infectés. De tels comportements par différents prémisses se sont déjà signalés en cette période.

On peut volontairement déployer des téléphones qui ne restent qu’en contact avec des cibles voulues, on pourra alors très facilement savoir quand ils ont été en période contagieuse et infectés. Activer un téléphone seulement en la présence de victimes potentielles permet le même résultat. Il y a rupture de la confidentialité.

L’efficacité d’un tel déploiement repose notamment sur un dépistage général. Est-ce que cette caractéristique sera garantie? Sur quelle durée?

Cela pourrait mener à un sentiment illusoire de sécurité des utilisateurs, qui peuvent ainsi réduire l’attention aux gestes barrières, se sentant en confiance de l’absence de signalement par l’application.

En aucun cas, le refus d’utiliser l’application ne doit discriminer les déplacements ou l’accès à des services. En outre, il y a un risque de pression sociale nuisible au consentement libre.

En terme de droit, il faut être très vigilant et se discipliner à un principe de parcimonie, car dans la pratique, les lois d’exception s’installent dans la durée au détriment du droit commun, affaiblissant petit à petit l’Etat de droit. A ce titre, il y a déjà des utilisations exceptionnelles de drones de surveillance, d’usage des caméra de surveillance, ainsi qu’une envie de favoriser l’installation massive de la reconnaissance faciale..

Il y a risque ici de banalisation et d’acceptation de techniques de surveillance de la population. Ce système mis en place ne doit en aucun cas servir à un autre but que celui explicitement décrit.

Actuellement, environ 77% de la population dispose d’un ordiphone, il faut aussi en tenir compte. Par comparaison, à Singapour, lieu qui a été très efficace pour stopper la propagation critique de l’épidémie, seulement 16% de la population a utilise une application de traçage des utilisateurs.

Il faut réflechir sans idéologie à la place d’un tel investissement au détriment d’une consolidation des ressources en faveur de dépistages et matériel de protection.

Enfin, le solutionisme technologique, cette pensée magique, croyance aveugle que la technologie peut pallier à chaque situation, est un leurre. Il faut une réflexion de fond, qui prenne en compte la problématique générale intégrant les sujets sanitaires, sociaux, et techniques. Une solution technique ne saurait cacher ou résoudre le manque d’investissement dans la santé publique.

Références

• Article de Bruce Schneier
• Papier très lisible sur les risques
• Descprition du DP-3T
• PACT du MIT
• Page wikipedia sur le traçage de contact
• Position de la quadrature du Net
• Recommandations du CCC