« STOP COVID » ET  « CONTACT TRACING » ENTRE SÉCURITÉ SANITAIRE ET LIBERTÉS INDIVIDUELLES

Courrier tunisien – 27 Avril 2020 –
La mise au point de l’application Stop Covid  pour le début des périodes de confinement  représente, dans beaucoup de pays,  un défi en raison de plusieurs problèmes techniques à résoudre.
Cette application qui doit permettre de tracer les contacts avec des personnes diagnostiquées positives au coronavirus et censée être « volontaire, anonyme, transparente et temporaire » soulève, au-delà de ses aspects techniques,  beaucoup de discussions entre contrainte sanitaire et libertés individuelles.
En pratique, le système enregistrera, via la technologie Bluetooth, les contacts des propriétaires de téléphones ayant téléchargé l’application, « en notifiant dès lors que l’un d’entre eux a été diagnostiqué positif ». Cela « permettra de détecter certains cas de transmission mal couverts par les enquêtes traditionnelles, comme les contacts dans les transports en commun ».
Google et Apple détaillent leur outil de « contact tracing », toujours incompatible avec « StopCovid »
Apple et Google ont précisé les évolutions apportées à leur interface de programmation permettant de faire du contact tracing par application. Sécurisée et personnalisable, elle ne permettra pourtant pas aux États de greffer un protocole maison complet par dessus.
Si la science médicale avance en ce moment à toute allure pour trouver des remèdes au coronavirus, les entreprises de la tech tentent elles aussi de rattraper le temps perdu pour apporter des outils qui pourraient être capables d’accompagner les autorités de santé.
UN CHANGEMENT DE NOM
Le premier changement à noter est terminologique, mais il permet de dire beaucoup mieux ce que sont, au fond, tous les projets de protocoles permettant du traçage des contacts : le projet joint de Google et Apple se nomme désormais « Notification d’exposition ». Ce changement permet de distinguer le procédé technologique, qu’il s’agisse de celui de Google et Apple, de ROBERT de l’Inria ou de DP3T du concept même de traçage des contacts.

Un système de notification qui permet de faire du contact tracing
Dans une tribune, Bill Gates a très justement rappelé que le traçage des contacts était particulièrement efficace quand il était mené par un opérateur humain qui appelait un à un les contacts d’un patient diagnostiqué positif au coronavirus : l’application mobile est une manière de faire du contact tracing. Une méthode valable qui a été rappelée par l’un des porte-paroles des entreprises, affirmant que l’effort joint par Google et Apple était un moyen de plus d’arriver à cette fin.
Google et Apple ont annoncé que la conception de leur API avait évolué, grâce aux discussions avec différents laboratoires dans le monde entier et les contributions d’ingénieurs dans ces laboratoires. Deux points ont été mis en avant par les entreprises : le premier concerne des changements majeurs dans la manière de sécuriser et anonymiser les données échangées ; le second à avoir avec la manière dont les États et les agences de santé peuvent personnaliser leurs applications pour correspondre à des recommandations sanitaires nationales.
Aucun des deux points ne vient rendre compatible cette solution essentielle avec les protocoles locaux, comme le protocole ROBERT de l’Inria en France.
UNE PLUS GRANDE PROTECTION
Du côté de la sécurité, Google et Apple ont choisi de chiffrer les données échangées (les identifiants chiffrés des autres personnes, par exemple) avec la technologie AES plutôt que HMAC, qui ne demande pas trop de puissance pour effectuer un chiffrement sur le téléphone sans le ralentir — même pour les modèles plus anciens. En plus, le système chiffrera également les métadonnées Bluetooth, ce qui ne permettra pas à un attaquant potentiel de déduire le modèle d’un smartphone en reconnaissant son signal.
UNE CLEF UNIQUE ET CHIFFRÉE SERA GÉNÉRÉE TOUS LES JOURS SUR CHAQUE SMARTPHONE
Du côté des clefs créées pour identifier les smartphones, elles ne seront plus dérivées d’une clef initiale, mais renouvelées tous les jours. Il y aura donc une clef unique tous les jours, attachée à un smartphone, ce qui empêche un attaquant potentiel de remonter à « la clef initiale  » en la devinant à partir d’une clef dérivée. Enfin, pour rendre l’information sur le temps passé en présence d’un autre smartphone plus difficile à exploiter, il sera fractionné par période de 5 minutes, jusqu’à un maximum de 30 minutes.
PLUS DE PRÉCISION AVEC LE BLUETOOTH
L’un des arguments des détracteurs experts du contact tracing par application est l’impossibilité pour le Bluetooth de créer une mesure satisfaisante entre deux personnes, qui ne fera pas émerger de faux positifs. Des éléments ne pourront jamais être contrôlés, comme l’épaisseur du tissu d’une poche ou une surface qui viendrait bloquer le signal. Mais Google et Apple ont ajouté une information à l’API : la puissance nominale de la puce Bluetooth embarquée dans un smartphone.
Cela permettra de pondérer l’information sur le signal reçu par un autre smartphone : si une puce Bluetooth envoie un signal faible, le smartphone qui la reçoit saura que ce n’est pas forcément parce qu’elle est loin, mais peut-être parce qu’elle n’a pas la capacité technique d’émettre plus. Reste qu’il faudra toujours une table de conversion intensité du signal / distance dont la précision reste à prouver.
De même, pour donner plus de contrôles aux pays dans la construction de leurs apps, Google et Apple vont les laisser définir ce qui constitue, pour eux, un « événement d’exposition ». On sait que les pays ont tous une doctrine, par exemple sur la distance à respecter entre deux personnes et ils en auront une pour déterminer également à partir de combien de temps passé en présence d’une personne on considère qu’il y a eu un « contact » pouvant entraîner contamination. La nouvelle API permettra aux développeurs des agences de santé de régler ces niveaux à leur convenance, souligne Numerama.
Non au  «Stop Covid », non au « Contact Tracing »
 Il y a des moments où pour défendre nos libertés, notre responsabilité c’est de trancher entre un oui ou un non : il n’y a pas de place pour l’abstention. Pour nous, c’est NON.
Pour préparer le déconfinement, le président Emmanuel Macron propose le déploiement d’une application sur les smartphones qui permettrait d’ « identifier les chaînes de transmission » du virus intitulée « Stop Covid ». Cette application permettra de savoir si vous avez été en relation avec une personne atteinte par le Covid. Cette « proposition » sera soumise au Parlement en France, le 28 avril.
Comme le soulignent beaucoup d’informaticien·nes, syndicalistes, chercheur·ses et professionnel·les du droit ( voir par exemple l’analyse de la Quadrature du Net , cette contribution d’universitaires et de solidaires informatique), alors que l’efficacité sanitaire de ces technologies sur la pandémie est très discutable, le risque d’atteinte durable à nos libertés individuelles est par contre très sérieux. Appuyée par l’énorme puissance technologique, financière et idéologique des GAFAM (Google, Apple, Facebook, Amazon et Microsoft) qui comptent parmi les grands bénéficiaires économiques de la crise sanitaire mondiale, la tentation des classes dirigeantes de passer d’un état de droit à un régime de surveillance généralisée de la population est bien réel et nous concerne toutes et tous, pendant et après l’épidémie.
Quand des initiatives appellent à la mise en place d’applications de « tracing » humain présentées comme acceptables parce que portées par des structures coopératives, au nom d’idéaux démocratiques, il y a de quoi être consterné. Pour le mouvement coopératif, pour l’ensemble du mouvement de l’économie sociale et solidaire, pour le mouvement des communs, mais aussi pour l’ensemble de la société et des élu·es c’est aujourd’hui l’heure du choix. Comment imaginer qu’au nom du peuple français, des élu·es de la République entérinent un tel blanchiment totalitaire ?
Il y a des moments où pour défendre nos libertés, notre responsabilité c’est de trancher entre un oui ou un non : il n’y a pas de place pour l’abstention. Pour nous, c’est NON, précise  MINGA FAIRE ENSEMBLE
En France, le « oui, mais » du Conseil national du numérique
En France, après la Cnil, le Conseil national du numérique (CNNum) a émis un avis favorable au projet d’application de « tracing social » StopCovid du gouvernement, tout en préconisant la mise en place de garde-fous pour assurer la sécurité et le respect de la vie privée. Prochaine étape : des débats à l’Assemblée nationale et au Sénat en début de semaine prochaine, et un vote des députés.
Le Conseil national du numérique (CNNum) a apporté, en France, sa caution au gouvernement. Saisi la semaine dernière par le secrétaire d’Etat au Numérique, pour émettre un avis sur le projet d’application de « tracing social » StopCovid, qui vise à utiliser le Bluetooth de chaque smartphone pour enregistrer l’identifiant de chaque personne avec laquelle on interagit dans nos déplacements, afin d’être prévenu immédiatement si l’une d’entre elle se déclare malade du coronavirus. L’organisme consultatif -ce qui signifie que le gouvernement n’est pas obligé de suivre ses recommandations- a rendu sa copie vendredi 24 avril. Verdict : c’est oui, mais sous conditions. « Le Conseil est favorable au principe de StopCOVID, en tant que brique d’une stratégie plus globale« , écrit-il en préambule d’un rapport de 25 pages.
Alors que le sujet est brûlant au sein de la société civile, le CNNum émet quinze recommandations pour accompagner son avis. La plus symbolique est de renommer l’application « AlerteCovid » à la place de « StopCovid, pour « ne pas lui faire porter de fausses promesses« .
« Les applications de type StopCovid ne sont qu’une partie de la réponse sanitaire dont l’efficacité dépendra sûrement plus des mesures de distanciation sociale et de la mise à disposition de tests », explique le CNNum pour justifier sa proposition.
Le CNNum demande aussi de « favoriser une seule application pour toute la France« , alors que plusieurs acteurs (Apple et Google d’un côté, un consortium de six grands groupes français -Orange, Capgemini, Accenture, Dassault Systèmes, Sopra Steria et SIA Partners- de l’autre), se sont positionnés en concurrence pour développer la future application avec l’Etat. Les autres recommandations sont essentiellement éthiques, afin de garantir la sécurité et la protection des données : le CNNum demande ainsi que l’application ait une durée de vie limitée dans le temps et fixée par décret, des procédures clarifiées en cas de réception d’une notification ou de test positif, ou encore la création d’un comité de pilotage comprenant des parlementaires, des chercheurs et des citoyens-experts, « disposant d’un pouvoir d’arrêt de l’application« .
Des recommandations que l’Etat ne manquera certainement pas d’intégrer à son projet, qui doit être validé par un vote du Parlement après un débat lundi 27 et mardi 28 avril à l’Assemblée nationale et au Sénat. Suite aux polémiques du monde scientifique et politique, y compris des rangs de LREM, le gouvernement a accepté de soumettre la création de cette application à un vote, précise La Tribune.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*