Menu
Une idée qui se répand consisterait à automatiser ce contact tracing. La solution serait d’utiliser notre téléphone portable pour établir une liste des personnes croisées, et garder un moyen de nous prévenir en cas d’infection avérée. Certains pays pour atteindre des personnes déconnectées envisagent l’emploi de boitier connecté pour avoir le même effet.
L’idée du contact tracing numérique est assez simple. Votre téléphone vous associe un identifiant, et le diffuse autour de vous en permanence. À chaque fois que vous croisez quelqu’un, vous recevez son pseudonyme, et lui le vôtre.
À la fin de la journée, vous allez interroger un serveur (une autorité qui centralise des informations) pour lui demander si dans votre liste des personnes croisées, certaines se sont déclarées comme malades.
Deux approches :
La solution qui émerge actuellement en France suit le modèle de l’approche centralisée (comme celle de Singapour). D’autres pays (Allemagne, Suisse) suivent le modèle décentralisé.
Quand des applications numériques se mettent à manipuler des données personnelles qui touchent à notre vie quotidienne, leur sécurité est d’autant plus critique.
Un principe clé en manipulation des données personnelles est ce qu’on appelle la minimisation. En d’autres termes, si une application est là « pour dresser la liste des personnes que vous avez croisées, et si vous avez été malade », elle ne doit pas collecter d’autres informations.
Nous nous retrouvons donc à devoir manipuler 2 informations. D’un côté la liste des personnes croisées, et de l’autre une liste de personnes infectées.
Le serveur apprend alors le graphe social : la liste de nos fréquentations. Il serait possible de tracer la liste des personnes fréquentées par un journaliste (donc de trouver ses sources), ou de savoir que quelqu’un a vu un oncologue (donc qu’il a probablement un cancer), …
Bien entendu, ces attaques peuvent être compliquées grâce à de la cryptographie. Cependant, dans un cas comme dans l’autre, avec suffisamment de malice, il reste possible de les perpétrer.
En pratique ces atteintes à la vie privée peuvent sembler acceptables si cela en vaut la chandelle.
Regardons ce qu’il se passerait si vous receviez un message d’auto-confinement.
Pour beaucoup de gens, rester chez eux demande à arrêter le travail.
Une première question naturelle : Est-ce qu’un message sur le téléphone vaudra arrêt de travail, et comment le transmettre ?
Au bout de 14 jours, pour pouvoir reprendre le travail, il faut aller voir un médecin qui doit vous faire passer un test (vous pourriez être malade, mais asymptomatique).
Aura-t-on assez de tests pour tester tous les confinés ? Les médecins pourront-ils accueillir l’afflux de patients dû à l’application ? Veulent-ils se placer dans une situation où ils vont devoir expliquer à des gens qu’ils doivent rester confinés faute de tests disponibles ?
Les résultats seront-ils pertinents ? Beaucoup de chiffres circulent sur le pourcentage minimal d’utilisateurs requis. Les études oscillent entre 30 et 60% de la population.
En France, nous comptons environ 40M d’utilisateurs de téléphones portables, ce qui fait moins de 66% de la population. Les applications ne tournant que sur des smartphones Android ou Apple, on peut donc estimer qu’au mieux 60% des français pourront y avoir accès.
Combien installeront une application sans garantie de protection de leurs données et/ou de résultat ?
Singapour qui est un pays technologiquement connecté, a vu son application téléchargée 1 million de fois pour 5.7 millions d’habitant. Cela fait péniblement 17,5 %…
Est-ce utile d’exposer nos données personnelles sensibles, pour une application pas forcément probante, qui risque de surcharger les systèmes de santé et qui pose un flou en termes de législation ?
La solution dans laquelle la France semble s’engager ne peut actuellement pas fonctionner sur les téléphones Apple et certains Android. La faute revient à une sécurité sur la technologie Bluetooth Low Energy (un système de communication faible portée).
La France mène actuellement un bras de fer avec Apple pour tenter de lui faire enlever cette sécurité. La presse anglophone s’en donne don à cœur joie sur la France terre de démocratie qui demande à un géant américain de réduire la protection des utilisateurs.
Pourquoi la France a décidé de prendre cette direction lors du développement de l’application ? Pourquoi préférer ce bras de fer entachant notre réputation démocratique à faire adopter au parlement européen une exception de santé publique à la directive 2000/278/EC ?
La solution décentralisée pose d’autres soucis. Pour fonctionner, les solutions actuellement proposées ont besoin d’utiliser une solution spéciale proposée par Google/Apple faisant transiter les données par des serveurs qu’ils contrôlent. Peut-on réellement leur faire confiance pour gérer ces données ?
Ces applications ne fonctionnent que si les gens jouent le jeu. Que se passe-t-il si quelqu’un se déclare malade alors qu’il ne l’est pas ? Il fera confiner des personnes non exposées. Il faudra demander aux soignants, en plus de leurs taches usuelles d’authentifier sur le téléphone du patient le fait qu’il est malade, compliquant encore leur protocole de soins, et ouvrant la question technique de comment mettre en place une procédure de certification qui protège l’anonymat. Les méthodes cryptographiques existent, les rendre compatibles avec des éléments comme les cartes CPS s’avère un défi…
D’autres obstacles sont bien sûr envisageables, comment distinguer deux personnes proches dans un open-space de deux personnes dans des voitures voisines dans des bouchons ; si l’application donne un congé maladie en cas d’alerte ne risque-t-on pas d’imaginer des possibilités d’abus (laisser un téléphone dans une salle d’attente pour croiser un malade), …
Il est extrêmement facile d’imaginer le pire comme le meilleur quand on parle de nouvelles technologies. En pratique, il n’existe pas une bonne décision. Pour que l’application soit adoptée, il faut rassurer la population. Il faut expliquer sa sécurité, il faut expliquer les choix de protection qui sont faits. Pour avoir l’appui des experts, il faut donner de la transparence dans son élaboration, décrire publiquement son fonctionnement, être transparent sur son implémentation (permettre de voir le code pour être certains que ce qui est fait correspond à ce qui est décrit), avoir un contrôle sur le matériel utilisé (au minimum par l’ANSSI). Il faut bien entendu que la politique publique suive, que soient levés les doutes, que les tests existent en nombres suffisants.
Le numérique n’est pas un bouton magique résolvant tous les problèmes, il reste un soutien du monde réel et, avancer sans se le rappeler est un grand danger
Maître de Conférences en Informatique, Institut de recherche xlim, UMRCNRS 7252