Les nuages s’amoncellent au-dessus du projet StopCovid. Alors que le déconfinement doit démarrer le 11 mai, il est peu probable que cette application soit prête à temps. Et il n’est même pas certain qu’elle le sera un jour, et cela pour deux raisons.
La première a été révélée par le secrétaire d’État au numérique Cedric O, lors d’une audition en commission des lois du Sénat. Ainsi, Apple n’autorise pas, à l’heure actuelle, l’application française à diffuser en tâche de fond ses codes anonymes via Bluetooth. Cette restriction ne vise pas spécifiquement StopCovid, mais fait partie du modèle de sécurité du système iOS, dans le but de protéger les données des utilisateurs. La firme de Cupertino fera-t-elle une exception pour les Français ? On peut en douter, d’autant plus qu’Apple a déjà proposé sa propre technologie de « contact tracing », avec l’aide de Google. Pour fonctionner, l’application StopCovid devrait dont être active en permanence sur le terminal, ce qui est totalement illusoire. Aucun utilisateur ne fera ça, ne serait-ce que par confort ou par oubli.
Un serveur central qui sait beaucoup de choses
La seconde raison est liée à la technologie sous-jacente. L’application StopCovid est censée utiliser le protocole de communication ROBERT, dont l’INRIA vient de publier les spécifications. L’un des points clés est que les utilisateurs sont tous référencés dans une base de données centrale sous la forme d’un identifiant unique et permanent, généré par un serveur. Celui-ci crée également les codes anonymes que les utilisateurs vont diffuser autour d’eux. Enfin, ce serveur récupère les codes anonymes reçus par une personne qui s’est déclarée infectée. Un tel système centralisé reçoit beaucoup plus d’informations sur les utilisateurs que dans le modèle Apple/Google.
D’ailleurs, ROBERT fait d’ores et déjà l’objet de nombreuses critiques de la part d’experts en informatique, à commencer par le cryptographe Nadim Kobeissi. « En bref, ROBERT repose entièrement sur la confiance envers les autorités centrales et sur l’hypothèse qu’ils se comporteront honnêtement et seront imperméables aux compromis de tiers. Je ne suis pas en mesure de déterminer en quoi il s’agit d’une approche solide, voire sérieuse et réaliste d’une protection réelle des données des utilisateurs », explique-t-il dans un message posté sur le dépôt GitHub de ROBERT.
De son côté, l’ingénieur Stéphane Bortzmeyer estime que les auteurs de ROBERT font un usage abusif du terme « anonyme ». « Le document ROBERT utilise le terme “anonyme” de façon assez libérale. Le pire est “pseudonyme anonyme” (un oxymore) dans le document de synthèse. L’anonymat nécessite le manque de traçabilité. Si les identifiants sont permanents, ils ne peuvent pas être appelés “anonymes” », écrit-il dans un autre message sur GitHub. Dans une note de blog, il estime par ailleurs que l’analyse de sécurité faite par les auteurs de ROBERT est « très insuffisante » et qu’ils ont évacué trop facilement les problèmes liés au serveur central ont affirmant simplement qu’il sera « honnête et sécurisé ».
Lire aussi : Coronavirus : comment fonctionneront les applications de « contact tracing »
Les auteurs de DP3T, un protocole concurrent de ROBERT mais décentralisé comme celui d’Apple/Google, tirent également la sonnette d’alarme dans un document commun. Selon eux, avec un telle architecture centralisée, il y a un risque important d’être déanonymisé ou de dévoiler son réseau de fréquentations, bref d’être happé par Big Brother. Certes, le système ne manipule pas de données personnelles, mais quelques opérations de recoupement pourraient suffire pour révéler l’identité des utilisateurs, par exemple en collectant les adresses IP, les adresses MAC ou d’autres informations sur eux. Par ailleurs, en collectant les codes anonymes reçus des personnes infectées, le serveur central est théoriquement capable de reconstituer le graphe social de ces personnes.
Les auteurs de ROBERT ont songé à ce dernier problème, c’est pourquoi ils ont ajouté un serveur intermédiaire qui mélange les codes reçus des personnes infectées par une technique appelée « Mixnet » avant de les transférer au serveur central. Mais finalement, on ne fait que déplacer le problème sur ce serveur intermédiaire, à qui l’on devra accorder une grande confiance.
Toutes ces critiques apparaissent également dans une déclaration commune signée par 300 chercheurs en informatique qui estiment qu’un système centralisé peut trop facilement se transformer en outil de cybersurveillance et qu’il vaudrait mieux développer des applications fondées sur la proposition d’Apple et de Google. « Les équipes qui élaborent les systèmes de protection de la vie privée soutiennent pleinement [cette proposition] car [elle] simplifie — et accélère donc — la capacité de développer de telles applications. Nous applaudissons cette initiative et déconseillons la collecte d’informations privées sur les utilisateurs. Certains qui cherchent à construire des systèmes centralisés font pression sur Google et Apple pour ouvrir leurs systèmes afin de leur permettre de capturer plus de données », peut-on lire dans ce document.
Enfin, soulignons que le Parlement européen s’est également prononcé, le 17 avril dernier, en faveur d’un modèle décentralisé pour l’élaboration des applications de « contact tracing ». Face à tant de critiques et d’obstacles, il est peu probable que les partisans du modèle centralisé arriveront à leurs fins.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.