Le traçage des contacts par Bluetooth est-il efficace ?
Comme l’a rappelé la Commission nationale informatique et liberté (CNIL) dans son avis du 26 mai 2020, donnant le feu vert au déploiement de l’application, StopCovid sera téléchargée et utilisée sur la base du volontariat. Communiquant par Bluetooth avec les autres appareils, elle ne récoltera pas de données de géolocalisation et il sera possible d’éteindre le signal à tout moment. Un choix qui permet de mieux préserver la vie privée des utilisateurs. Sans connaître votre position, Stopcovid n’enregistrera que vos “événements d’interaction”. C'est-à-dire les pseudonymes des utilisateurs restés suffisamment proches de vous pour présenter un risque. Dans le cas français, le seuil est fixé à une proximité d’un mètre durant 15 minutes (bien que cette donnée puisse changer selon l’évolution de l’épidémie).
Simple, en théorie. Mais le Bluetooth complique les choses. Moins précis que la géolocalisation, il n’a pas été conçu pour mesurer les distances. Et l'intensité du signal, mobilisée pour estimer la proximité des personnes aux alentours, varie en fonction des modèles de téléphone et de leurs systèmes d’exploitation. Sans compter que le Bluetooth peut enregistrer de faux contacts, par exemple à travers les murs, et qu’il ignore les contaminations par les surfaces… Enfin, les géants Apple et Google - qui éditent iOS et Android, les deux principaux systèmes d’exploitation pour smartphone - limitent l’utilisation du Bluetooth par les applications tierces et ont proposé leur propre système pour pallier le problème. Une option refusée par le gouvernement français qui, pour des raisons de maîtrise technique comme de souveraineté, a préféré développer son propre protocole, Robert.
Le consortium mis en place pour développer StopCovid a-t-il pu surmonter ces difficultés ? “Notre laboratoire à Pékin, qui a connu le confinement avant la France, s’est très vite intéressé à partie Bluetooth des applications et des mobiles pour estimer la distance, ce travail de calibration des données s'est affiné au sein du consortium”, narre Philippe Lucas, qui a participé à l’élaboration du Stopcovid pour le compte d’Orange. Si l’application ne fonctionne toujours pas en arrière-plan entre des iPhones seuls, la présence d’un appareil Android permet de “réveiller” ces derniers explique l’expert, qui assure que les tests menés en conditions réelles courant mai ont donné de bons résultats.
Le contact tracing est-il efficace ?
Au delà des limites du Bluetooth, c'est le principal argument des détracteurs de l’application. Alors que seuls sept personnes sur 10 sont équipées d’un smartphone en France et que l’utilisation de StopCovid sera volontaire, rien ne garantit que la participation au dispositif sera suffisante. L’exemple de l’application australienne CovidSafe semble de mauvais augure. En raison des défauts techniques de l’application et de sa faible utilisation, celle-ci n’aurait permis d’identifier qu’un seul cas de contamination sur l’île, rapporte le journal The Guardian.
Si le seuil de 60% d’utilisateurs est régulièrement évoqué à partir des travaux de l’université de Cambridge, un taux d’utilisation plus bas devrait néanmoins permettre des détections, et donc freiner la progression du virus, arguent les défenseurs de l'application. Prudente, la Cnil note quant à elle que plusieurs instances scientifiques ont désigné les outils d'automatisation du traçage des contacts comme des outils utiles contre la pandémie, justifiant leurs atteintes à la vie privée, mais que "l'utilité réelle du dispositif devra être plus précisément étudiée après son lancement". Cet arbitrage entre utilité et atteinte à la vie privée sera sans doute au centre des débats des parlementaires français, alors que des associations comme la Quadrature du net s'inquiètent des potentielles dérives du système et de ses effets "d'acclimatation sécuritaire" sur la population.
Quels sont les risques côté cybersécurité ?
A l’inverse de la solution décentralisée de Google et d’Apple (dans laquelle l’historique des interactions reste sur les téléphones), la France est l'un des seuls pays à avoir fait le choix d’un protocole centralisé. Dans ce cas un serveur central traite les informations de contact. Un dispositif qui donne plus d’informations aux épidémiologistes pour ajuster les paramètres de StopCovid en fonction de l’évolution de l’épidémie, mais qui suscite des inquiétudes concernant la sécurité des données échangées.
Concrètement, l'application n'est pas anonyme, mais seuls des crypto-identifiants - des pseudonymes - temporaires sont échangés. Ces derniers seront stockés localement, dans les smartphones des utilisateurs. Ce n’est après un diagnostic qu’un utilisateur pourra, en utilisant un QR code, télécharger sur un serveur central l’ensemble des pseudonyme qu’il a récoltés. Sans s'identifier lui-même. Ce sera ensuite au serveur central, régulièrement interrogé par les autres usagers de l’application, de transmettre des alertes en cas de suspicion d’exposition.
Le problème ? "Une architecture centralisée repose sur une clef de chiffrement qui agit comme une clé de voûte : les personnes en possession de cette clé pourront retrouver énormément d’informations”, alerte le chercheur en cybersécurité à l’Inria, Léo Perrin. “Si l’Etat est malveillant, cela pose bien sûr un problème. Mais il ne s’agit pas seulement de lui faire confiance pour faire un bon usage de cette clé, il faut aussi bien la sécuriser”.
Le gouvernement, de son côté, affiche sa confiance, et rappelle qu'un protocole décentralisé ne serait pas nécessairement plus sûr. “Toute technologie présente toujours des risques mais nous avons pris en la matière toutes les garanties possibles", a jugé le secrétaire d'état Cédric O auditionné face à la commission des lois le 26 mai, ajoutant que StopCovid était "le fichier de santé le plus sécurisé de la République française".
“Seuls les contacts des personnes testées positives au Covid-19 sont remontées au serveur central, pas leurs propres identifiants, détaille le chercheurs Vincent Roca, en charge de l’équipe Privatics de l’Inria, qui a développé Robert. Par ailleurs, nous éclatons la remontée dans le temps, en la mélangeant à d’autres historiques de proximité pour que le serveur ne soit pas capable d’associer un ensemble de contacts à un utilisateur unique, donc de reconstituer le graphe social”. Pour prévenir les risques, l’Inria fait par ailleurs appel à des hackers éthiques, rémunérés pour repérer les éventuelles failles d’ici la publication.
Peut elle être détournée ?
Au delà de la technique, l’utilisation du Bluetooth permet une multitude d’attaques “inventives” pointe le collectif Risque traçage, qui rassemble différents universitaires inquiets des risques charriés par les applications de traçage, centralisées ou non. “Avec le Bluetooth, il n’y a pas besoin de rencontrer une personne physiquement pour faire croire à une application qu’il y a eu un cas contact”, explique le chercheur Léo Perrin, membre du collectif.
Cette fois, le système centralisé a des avantages. Alors qu’il est simple, avec un système décentralisé, de mettre un téléphone allumé à côté d’une personne afin de déterminer si cette personne est malade, un serveur central peut choisir ne pas notifier les personnes dont les interactions sociales aurait été trop peu nombreuses. Ce que semble faire StopCovid.
Reste que le risque n'est pas nul. “Quelqu’un qui voudrait faire fermer une usine pourrait se mettre à côté et utiliser une antenne Bluetooth longue portée pour faire croire que les ouvriers ont été en contact avant de se faire diagnostiquer (soit car la personne avait des symptômes, soit en trichant), pour que tous les ouvriers de l’usine reçoivent une notification d’exposition”, imagine, par exemple, Léo Perrin.
L’application fonctionnera-t-elle hors de France ?
C’est la dernière difficulté. Alors que nombre de pays prévoient de rouvrir au moins partiellement leurs frontières au début de l’été, chaque pays développe sa propre application. Un touriste étranger en France devrait donc télécharger StopCovid durant son séjour, puis ne pas oublier de s’y reconnecter régulièrement une fois de retour chez lui pour s’assurer qu’il n’a pas été exposé. Un cas peu pratique, et qui nécessite que les autorités sanitaires soient capables d'échanger des données de santé si une personne se fait dépister une fois rentrée chez elle.
Pour éviter ces inconvénients, StopCovid travaille sur son interopérabilité. C’est-à-dire sa capacité à communiquer avec les autres applications. Mais la tâche s’avère ardue. “ll y a des travaux en ce sens, mais des difficultés se présentent quand on a d’un côté des solutions Apple-Google et de l’autre Robert, car nous allons remonter des cryptoidentifiants de personnes exposées là où quand l’évaluation de risque se fait de façon décentralisée, on va avoir des remontées d’identifiants de personnes infectées”, explique Vincent Roca, de l’équipe Privatics. Communiquer entre ces deux types de protocoles diminue la sécurité de chacun.
Au départ développé avec l’Allemagne, avant qu’elle ne s’en détourne, le protocole Robert avait pris en compte cette question dès sa conception, intégrant un identifiant pays dans les données transmises rappelle Philippe Lucas, d’Orange. L'expert reste donc optimiste, jugeant que l'interopérabilité “demande du travail mais n’est pas infaisable”.
Une proposition de l'Inria, Desiré, pourrait servir de voie médiane entre les différents systèmes. “Nous utilisons non plus des pseudonymes identifiant des terminaux, mais des identifiants de rencontre, qui sont secrets” explique Vincent Roca à l’Usine Nouvelle. Lors des interactions signifiantes, les terminaux créeraient des identifiants de rencontre qu’ils enverraient ensuite au serveur central selon différentes modalités. “Les identifiants de rencontre permettent des déclinaisons plus ou moins centralisées ou décentralisée... C’est une solution à moyen terme, qui pourrait être une approche intéressante pour permettre des choix souverains entre les Etats”, espère Vincent Roca. Encore faudrait-il que tous les Etats européens choisissent, une fois leur application en route, de changer de protocole.
