Désiré inspirera-t-il plus confiance que Robert ? Derrière ces prénoms se cachent des noms de protocoles, au cœur de la future application StopCovid. Ce projet de dispositif de traçage numérique via les smartphones et la communication Bluetooth, piloté par l’Institut national de recherche en sciences et technologies du numérique (INRIA), pourrait être l’un des outils mis en œuvre par le gouvernement pour casser les chaînes de contamination du Covid-19 à l’heure du déconfinement. A condition toutefois que le protocole mis en œuvre puisse allier efficacité, protection des données et enjeu de souveraineté étatique.
Avec Désiré, l’Inria pourrait bien avoir résolu la quadrature du cercle : l’institut en a détaillé les avantages dans un document publié samedi 9 mai. Le protocole a dans la foulée reçu le soutien appuyé de Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), auditionné mardi 12 mai par l'Office d'évaluation des choix scientifiques et techniques. "Il s’agit d’une piste intéressante qui pourrait être un protocole fédérateur", a expliqué Guillaume Poupard. Car tout l’enjeu du protocole est de contenter toutes les parties prenantes de cette future application…
Des jetons confidentiels
Pour le comprendre, il faut rappeler qu’il existe aujourd’hui deux familles de protocoles. Il y a ceux dits "centralisés", consistant à transmettre les données d’une personne testée positive (via des pseudonymes) vers un serveur central. Et ceux dits "décentralisés", pour lesquels les pseudonymes des personnes testées positives sont envoyés vers tous les smartphones. La France a fait le choix d’un système centralisé, basé pour le moment sur le protocole dénommé Robert. Mais d’autres soutiennent la deuxième option, qui implique directement les sociétés privées telles que Google et Apple, fournisseurs de systèmes d’exploitation des smartphones.
"Le système centralisé a un défaut, c’est de nécessité un serveur de confiance, a reconnu Guillaume Poupard. Dans un état totalitaire, il pourrait être détourné comme un outil de traçage des populations." Mais selon lui, le système décentralisé n’est pas non plus la panacée, mettant à mal la souveraineté étatique dans le domaine. "Cela revient alors à confier à nos téléphones des décisions épidémiologiques, via Apple et Google, a estimé le patron de l’Anssi. Cela m’inquiète de voir les géants du numérique avancer sur les sujets de santé." D’où l’idée de trouver une troisième voie, réconciliant les deux approches.
Une solution alternative
En quoi consiste le protocole Désiré ? "Alors que le protocole Robert ne s'appuyait que sur des pseudonymes temporaires pour les applications, Désiré s'appuie sur des 'Private Encounter Tokens' ('jetons privés de rencontre') ou PET, qui associent un pseudonyme unique et secret uniquement lors de la rencontre entre deux appareils mobiles à proximité l'un de l'autre", détaille l’INRIA dans son document. Des jetons générés conjointement et de manière confidentielle par les applications des deux utilisateurs. Une génération locale qui constitue "une forme significative de décentralisation".
Selon les experts de l’INRIA, le protocole Désiré laisse donc bien la main aux autorités de santé, toujours à la manœuvre pour calculer le "score à risque", facteur déterminant le niveau d’exposition de chaque utilisateur. Autre différence avec le protocole Robert : "Toutes les données stockées par l'autorité centrale sont désormais chiffrées à l'aide de clés secrètes stockées sur les appareils mobiles des utilisateurs, ce qui fournit une protection efficace contre d’éventuelles fuites de données". L'INRIA y voit là une forte résilience face aux risques de fuites de données du serveur.
"Les avantages du décentralisé et du centralisé"
Guillaume Poupard n’a pas caché son enthousiasme avec ce nouveau protocole qui pourrait réconcilier tous les acteurs engagés. "Cette troisième voie permettrait d’avoir les avantages du décentralisé et du centralisé, a-t-il résumé. Elle permet en gros d’éviter d’avoir une confiance trop importante dans un serveur central tout en bénéficiant des capacités de régulation et d’épidémiologie d’une autorité de santé. Ce sont des travaux qui ne sont pas encore implémentés, ils sont encore théoriques." Mais ils pourraient permettre de sortir vers le haut pour les promoteurs de StopCovid, qui affrontent une levée de boucliers contre cette application.
