Articles repérés par Hervé Le Crosnier

Je prend ici des notes sur mes lectures. Les citations proviennent des articles cités.

  • StopCovid, l’appli qui en savait trop - Page 1 | Mediapart
    https://www.mediapart.fr/journal/france/150620/stopcovid-l-appli-qui-en-savait-trop

    Sur le papier, c’est très clair. Si vous avez téléchargé l’application StopCovid, que vous êtes atteint par le virus et que vous le déclarez dans l’appli, alors les données transmises au serveur central seront celles des personnes avec lesquelles vous avez été en contact « à moins d’un mètre pendant au moins 15 minutes », et qui disposent aussi de l’application. Les personnes seront alors prévenues qu’elles ont rencontré quelqu’un susceptible de leur avoir transmis le virus.

    Ce critère de distance et de durée, moins d’un mètre pendant plus d’un quart d’heure, est l’objet unique d’un arrêté du 30 mai 2020, qui lui-même précise le décret du 29 mai relatif à l’application. Le décret encadre le « traitement de données » effectué par l’application. En clair, il constitue l’assise légale de son fonctionnement.

    Gaëtan Leurent est chercheur en cryptographie à l’Inria, l’Institut national de recherche en informatique auquel le gouvernement a confié le pilotage du projet StopCovid. Il est aussi l’un des coauteurs du site risques-traçage.fr, qui a très tôt exposé un à un les dangers d’une application de contact tracing telle que StopCovid sous le titre « Le traçage anonyme, dangereux oxymore ». « Depuis, explique-t-il à Mediapart, on a suivi ce qui se passe avec le déploiement. »

    Deux points connexes l’ont intrigué particulièrement : comment la distance entre deux appareils est-elle calculée, et quelles sont les informations envoyées quand on se déclare malade. Il a donc mené des expériences. En plaçant deux téléphones à une distance de cinq mètres l’un de l’autre, séparés par un mur et pendant seulement quelques secondes, il s’est aperçu que ce « contact » entre les deux appareils, sans intérêt épidémiologique, était pourtant envoyé au serveur central s’il se déclarait porteur du virus.

    Et c’est bien là le hic. Interrogé par Mediapart, le secrétariat d’État au numérique confirme que « StopCovid repose sur la remontée de l’historique de proximité d’un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». Sous-entendu : tous les contacts, et non pas seulement les plus proches. « Le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur », poursuit le ministère. C’est le serveur qui va déterminer, entre tous les contacts de la personne positive, ceux qui auront été exposés suffisamment près et suffisamment longtemps.

    « Ce qui serait plus respectueux de la vie privée, c’est que le téléphone calcule » lui-même la distance qui le sépare d’un autre repéré par Bluetooth, puis envoie au serveur, le cas échéant, seulement ceux qui seront restés assez près, assez longtemps, estime Gaëtan Leurent. « Ce qui est dommage, c’est que si on envoie tous les contacts, c’est beaucoup plus d’infos que ce qui est utile. Il y a un risque sur la vie privée en cas de réidentification ou de recyclage des infos par malveillance. »

    Pour Baptiste Robert, hacker et chercheur en sécurité informatique qui a participé à la recherche de bugs dans l’application, l’envoi de tous les contacts permet « de voir des récurrences » : chaque jour, « on croise les mêmes personnes, on bosse avec les mêmes personnes ». Ainsi, des acteurs mal intentionnés pourraient « réidentifier la donnée assez rapidement ». Il regrette le choix qui a été fait, car selon lui, « l’appli pourrait trier ce qu’elle envoie ».

    Le stockage et le transfert des contacts brefs est justifié, selon le secrétariat au numérique, par le fait que tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que 5 minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques.

    Pour remédier à cette difficulté, le chercheur en cryptographie Gaëtan Leurent pense « qu’il y aurait des moyens assez simples de limiter le problème ». Par exemple, « le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. Ça éliminerait déjà la majorité des contact courts ».

    #StopCovid #Données_personnelles #Anonymat