Passer au contenu

StopCovid : « Aucune solution de contact tracing ne protège les données personnelles »

Quelle que soit l’architecture sous-jacente, centralisée ou pas, les applications de traçage des personnes potentiellement malades créent des risques non négligeables en matière de surveillance. Et face à l’urgence, ces risques ne sont probablement pas assez soupesés.

Les applications mobiles de « contact tracing » n’enchantent pas les experts en sécurité informatique, c’est le moins qu’on puisse dire. Alors que le gouvernement français devrait bientôt donner des précisions sur StopCovid à l’occasion d’un débat parlementaire, plus de 140 cryptographes et chercheurs en sécurité informatique viennent de signer une lettre ouverte pour alerter sur les risques d’une telle solution. « L’objectif est d’attirer l’attention des pouvoirs publics. Ces technologies ne sont pas anodines, il ne faut pas réagir dans l’urgence », nous explique Olivier Blazy, maître de conférences à l’université de Limoges, qui a participé à la rédaction de cette lettre.

Les signataires n’entrent pas dans le débat qui a agité le milieu des cryptographes ces dernières semaines, à savoir s’il faut choisir entre une architecture centralisée ou décentralisée. « Toutes les solutions présentent des risques pour la protection des données personnelles. Elles sont toutes mauvaises », estime Olivier Blazy.

Dans le cas de l’architecture centralisée — qui est actuellement celle retenue pour StopCovid — c’est à l’État qu’il faut faire confiance. C’est lui qui crée les identifiants uniques pour les utilisateurs. En recoupant ces informations avec d’autres données, il serait possible de les déanonymiser en masse. « Des mesures de sécurité seront certainement implémentées, mais on ne les connaît pas. La CNIL a finalement livré un avis en temps record sur un projet qui n’est pas finalisé », déplore Olivier Blazy.

Mais l’architecture décentralisée présente aussi des risques non négligeables. Dans un tel système, les identifiants des personnes malades sont diffusés à tous les utilisateurs. « Le voisin que vous avez croisé peut donc, dans certaines conditions, savoir si vous avez été infecté ou non », explique le maître de conférences. Le modèle décentralisé facilite également le fichage des personnes malades par des tiers qui pourraient, le cas échéant, les déanonymiser en les recoupant avec des données supplémentaires.

Les risques illustrés par quinze scénarios

De manière générale, les risques sont nombreux. Certains signataires de la lettre ouverte ont imaginé une quinzaine de scénarios concrets qui pourraient mettre à mal la protection des données personnelles, indépendamment de l’architecture sous-jacente. Pour savoir si mes voisins sont malades, il suffit d’appliquer le scénario 4 et de déposer un vieux smartphone dans la boîte aux lettres à l’entrée de l’immeuble. Dans le scénario 13, un supermarché pourrait déployer des capteurs Bluetooth dans ses magasins et simuler des contacts tout en récupérant l’identité de certaines personnes grâce à une application de fidélité. Résultat : l’entreprise pourrait savoir quels clients sont tombés malades.

DR – Scénario 5, l’entretien d’embauche

Il est également possible de créer de faux contacts à la pelle, comme dans les scénarios 7, 8 et 9. Il suffirait de récupérer le smartphone d’une personne qui présente des symptômes et de le faire circuler dans certains milieux. « Un élève malveillant pourrait envoyer en quarantaine toute sa classe. On peut également imaginer la même chose dans une caserne de soldats ou de pompiers. Au fond, la sécurité du traçage repose aussi sur le fait que les utilisateurs sont bienveillants, ce qui n’est pas forcément le cas », commente Olivier Blazy.

Il faut choisir entre la peste et le choléra

Malheureusement, il est impossible d’imaginer un système avec un meilleur niveau de sécurité que ceux qui sont proposés actuellement. « On pourrait implémenter des mécanismes cryptographiques avancés, avec des protocoles d’échange entre les utilisateurs et du calcul partagé. Mais cela demanderait beaucoup plus de ressources et ce n’est pas réaliste à l’échelle d’un pays », poursuit le chercheur.

La sélection d’une solution — Apple/Google, DP3T, ROBERT, etc. — revient donc à choisir les risques que l’on est prêt à assumer, en toute connaissance de cause. Or, d’après les signataires, c’est justement là que le bât blesse. Face à l’urgence, les acteurs publics manquent de transparence et les conséquences potentiellement néfastes sont insuffisamment analysées. C’est le coup classique de l’apprenti sorcier.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN