Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

StopCovid : Inria dévoile son protocole ROBERT en réponse à celui d’Apple et Google

Mais que dira Raymonde si Robert plante ?
Logiciel 7 min
StopCovid : Inria dévoile son protocole ROBERT en réponse à celui d’Apple et Google
Crédits : nito100/iStock

En partenariat avec Fraunhofer, l’Inria publie aujourd’hui sur Github les premières briques du protocole « ROBERT » (pour ROBust and privacy-presERving proximity Tracing). Ces documents représentent « l’état de l’art de nos réflexions sur l’architecture technique d’une application de « contact tracing » respectueuse des valeurs européennes ».

« Le terme de tracking utilisé dans le débat public est impropre, car cet outil ne permettra pas la géolocalisation des personnes : il s’agit juste d’établir, grâce à la technologie Bluetooth, un historique de proximité entre différentes personnes équipées de l’application, auquel nul n’a accès, pas même le propriétaire du téléphone ». Voilà les lignes rouges qu’avait dessinées Cédric O lors de son audition à l’Assemblée nationale, devant la Commission des lois. 

Aujourd’hui, Inria publie sur la plateforme GitHub une présentation du protocole ROBust and privacy-presERving proximity Tracing. Un trait d’union entre le projet politique et le futur code. Fruit du travail du laboratoire Privatics de l'institut, il s’inscrit dans le cadre de l'initiative européenne PEPP-PT (Pan European PrivacyPreserving Proximity Tracing) « dont le but principal est de permettre le développement de solutions de suivi de contacts respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie ».

On est donc encore loin de la mise à disposition des sources de StopCovid, la fameuse application du suivi de contacts. ROBERT, de son petit nom, n’est pas lui-même finalisé, témoignage que si les travaux avancent, une sortie de l'application avant le 11 mai n'est pas assurée comme le relevait le secrétaire d'État au numérique.

Toutefois, la mise en lumière de cet élément important permet d’en savoir plus sur l’architecture qui soutiendra le projet. Dans un texte explicatif, ce cadre est défini par contraste. « Il me semble utile de commencer par rappeler ce qu’une application qui reposerait sur ce protocole n’est pas, eu égard aux interrogations légitimes qui s’expriment et aux confusions qui peuvent avoir lieu » écrit Bruno Sportisse, PDG Inria.

Ni tracking, ni surveillance, ni délation. « Sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales ». Il est encore confirmé que l’application sera proposée non imposée. Une base donc volontaire, non obligatoire.

Une composante d'une politique de santé 

Inria repousse sans hésiter l'idée d’un sésame qui viendrait terrasser Covid-19 : « Aucune équipe travaillant sur ces sujets n’oublie que le « proximity tracing » n’est qu’une composante d’un ensemble plus vaste de mesures, dans le cadre d’une approche pilotée par une politique de santé. Je ne connais personne qui croie au solutionnisme technologique en la matière ». En clair, ROBERT et demain StopCovid ne sont que des briques d’un mur combinant une multitude de mesures de santé publique.

La difficulté de l’exercice est à conjuguer au pluriel. D’un, « la technologie Bluetooth n’a pas été conçue pour être précise dans l’estimation de distances entre deux smartphones ». Cela a été dit : ces transmissions dépendant de facteurs environnementaux ou internes au smartphone, comme l’état de la batterie, la position de l’appareil, la physiologie des personnes.

De deux, difficile de calquer ces variables avec celles relatives aux modèles de transmissions du virus : aérosols, gouttelettes, surfaces, charges virales… « Cette connaissance est encore très lacunaire et est susceptible de changer très rapidement, en fonction des retours d’expérience » reconnaît sans mal Bruno Sportisse.

Sur la structure même du protocole, « aucun projet n’a pour ambition de mettre en place un réseau de pair-à-pair, où tout reposerait sur une communauté supposée « indépendante » de terminaux/de smartphones qui échangent des informations entre eux ». Pourquoi ? « La raison principale est l’impact des failles de sécurité qui pourraient exister avec une telle approche ». Une forme « d'hommage » à la solution commune proposée par Apple et Google, sur laquelle des zones d’ombres planent toujours. 

Décentralisation, centralisation et crypto-identifiants

L’idée est de marier une solution centralisée et décentralisée, tout en étant sécurisée (l’ANSSI a d’ailleurs été impliquée à ces travaux). Une personne installe l’application. « Son smartphone reçoit alors un ensemble de crypto-identifiants (ou une méthode pour les générer toutes les 15 minutes) ».

Si le Bluethooth est activé, elle va « construire un historique des crypto-identifiants rencontrés, « à proximité », pendant une durée significative lors des déplacements (ces crypto identifiants étant sur les smartphones des personnes ayant elles aussi téléchargé l’application) ».

Que se passera-t-il si un des détenteurs est diagnostiqué positif ? Cette personne devra consentir à ce que « son historique de crypto-identifiants rencontrés soit envoyé sur un serveur d’une autorité de santé (par exemple), sans divulguer au serveur son (ses) propre(s) cryptoidentifiant(s) ».

Ainsi, prévient le document, « aucun lien n’est fait entre le téléphone de la personne et son historique. Chacun de ces crypto-identifiants est donc potentiellement « à risque » (il correspond, sans qu’aucun lien ne soit possible avec une personne, à un smartphone qui a été en proximité d’un smartphone porté par une personne qui a été ultérieurement diagnostiquée positive) ».

Dans le même temps, « chaque smartphone ayant téléchargé l’application vérifie auprès du serveur central, « de temps en temps » (toutes les heures, tous les jours, cela fait partie des paramètres à fixer) si ses propres crypto-identifiants sont parmi ceux à risque ». Si la réponse est positive, « cela signifie que le smartphone a été à proximité lors des jours précédents d’un smartphone porté par une personne qui s’est avérée être positive ultérieurement ».

Il y aura notification selon une évaluation du risque définie avec les épidémiologistes, en utilisant l’information de proximité. « La flexibilité du système est clé pour le management d’une crise sanitaire, la prise en compte de connaissances médicales qui évoluent rapidement, voire un apprentissage par le système (toujours sur la base de données statistiques anonymisées) pour le rendre plus efficace, par exemple, pour diminuer l’occurrence de faux positifs » insiste le PDG Inria. « Pour autant que l’autorité sanitaire ait la main sur tout cela ».

Robert StopCovid
Crédits : Inria

L’information diffusée devrait alors « déclencher un renvoi vers divers actes ». L’article évoque « un respect scrupuleux des gestes barrières, un suivi journalier des symptômes, une consultation, un test, etc. », sachant que ces suites relèvent des politiques de santé, non d’Inria.

« Par exemple, sur le serveur central (pour assumer le terme), il n’y a AUCUNE donnée relative au statut des personnes positives. Il s’y trouve une liste de crypto-identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes positives ». De même, « dans le smartphone de mon voisin, il n’y a AUCUNE donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des cryptoidentifiants de tous les smartphones rencontrés » (consulter la FAQ).

« D’autres choix sont possibles et fondent d’autres approches, qui n’ont pas été celles des équipes d’Inria et du Fraunhofer, précise le document : des crypto-identifiants des personnes diagnostiquées positives peuvent transiter par des serveurs centraux et être envoyés dans tous les smartphones. Smartphones au sein desquels la mise en correspondance entre crypto-identifiants rencontrés et crypto-identifiants de personnes testées positives peuvent être effectués.

C’est un système que l’on peut présenter comme fortement décentralisé... tout comme on peut le présenter comme une centralisation décentralisée : il y aura ainsi, sur chaque smartphone, la liste de l’ensemble des crypto-identifiants des personnes diagnostiquées comme positives. Ce système a par ailleurs l’avantage d’être facilement permis par l’API à venir (mi-mai), dévoilée par Apple et Google il y a une semaine, une grande première dans l’histoire de l’informatique. En tout état de cause, c’est le choix d’un Etat de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix. »

Mise en open source, sous Mozilla Public License

Ce protocole est mis sur la table. Ouvert à commentaires, critiques et autres enrichissements. L'acceptabilité de cette solution passe aussi par la pédagogie, finalement il reviendra au « choix d’un État de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix ».

« Une première implémentation logicielle est en cours de développement sur la base du protocole ROBERT. Comme toutes les productions associées au projet StopCovid, elle sera mise en open source, sous licence MPL ».

Nous reviendrons sous peu sur ces éléments, dans le cadre d’un entretien réalisé ce jour avec Bruno Sportisse.

62 commentaires
Avatar de Quiproquo Abonné
Avatar de QuiproquoQuiproquo- 18/04/20 à 17:43:34

Je vois que j'arrive trop tard pour la référence aux Bidochons, Marc m'a grillé…

Avatar de Z-os INpactien
Avatar de Z-osZ-os- 18/04/20 à 18:22:46

Si Robert plante, Raymonde dira au choix :

  • tout plein d'amour !
  • un escalier pour le paradis !
Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 18/04/20 à 18:23:13

ROBERT :mdr:

Ca risque d'inspirer un dessinateur pour la semaine prochaine :transpi:

Avatar de haelty Abonné
Avatar de haeltyhaelty- 18/04/20 à 19:21:27

Y a-t-il des informations sur la manière dont le statut d'un identifiant sera passé en covid-positif tout en évitant de possible trolls ?

Certaines personnes dans le milieu médical auront une application spéciale qui pourra (par bluetooth là aussi?) demander de récupérer la liste des identifiants stockés dans l'app d'un patient positif pour les envoyer au serveur ?

J'ai cherché un peu mais je ne trouve rien de précis là-dessus :/

Avatar de Nicky5 Abonné
Avatar de Nicky5Nicky5- 18/04/20 à 19:29:58

J'attends avec impatience l'implémentation de la génération des crypto-identifiants, cela semble fort intéressant :francais:Je suis surtout très curieux de voir comment les générer de manière parfaitement unique entre 2 smartphones et ce que cela donne sur le long terme.Aussi puisqu'il y aura algo fatalement, il devrait être possible de déterminer un facteur commun entre 2 ids du même smartphone. Je ne suis pas crypto-analyste, mais cela m'intrigue :mdr: enfin à coté de ça, faire le lien entre 2 ids n'apporterait pas grand chose :transpi:

Avatar de Quiproquo Abonné
Avatar de QuiproquoQuiproquo- 18/04/20 à 19:45:43

Je pense que c'est du domaine de l'implémentation, pas du protocole.

Avatar de hwti Abonné
Avatar de hwtihwti- 18/04/20 à 20:14:11

Donc l'autorité centrale connaît tous les identifiants et peut donc retracer les déplacements de tout le monde (sans avoir leur identité directement certes), pas uniquement les personnes qui se déclarent positives.

Mais pire, qu'est-ce qui empêche d'avoir une caméra de surveillance par exemple, couplée à un appareil qui émet des identifiants qui changent toutes les 5 secondes ? Dès qu'un des identifiants qui a été émis est signalé, on a potentiellement une photo de la personne positive !

Avatar de haelty Abonné
Avatar de haeltyhaelty- 18/04/20 à 20:28:03

Nicky5 a écrit :

Je suis surtout très curieux de voir comment les générer de manière parfaitement unique entre 2 smartphones

 Pour être totalement décentralisé, il n'y aura pas d'assurance à 100% qu'un identifiant soit parfaitement unique. A priori, ce seront des clés générées aléatoirement d'une longueur allant de 16 à 32 octets (d'après le protocole proposé par Google et Apple). La probabilité de doublon est faible, d'autant plus que les identifiants n'auront probablement pas une durée de vie de plus d'une quinzaine de jours, ce qui limite d'autant plus le problème.

Il faut savoir que les clés privées bitcoin sont basés sur ce principe. Tu génères une clé aléatoire de 32 octets (256 bits), tu changes de temps en temps et tu pries pour que personne ne tombe sur la même clé que toi au moment où tu l'utilises.

 

Nicky5 a écrit :

Aussi puisqu'il y aura algo fatalement, il devrait être possible de déterminer un facteur commun entre 2 ids du même smartphone.

Si c'est de la génération aléatoire, ça dépendra de la qualité de la génération du "pseudo-aléatoire" ou si le device possède une source réelle d'entropie. C'est pas forcément lié au protocole en question ici, je pense.

Édité par haelty le 18/04/2020 à 20:28
Avatar de carbier INpactien
Avatar de carbiercarbier- 18/04/20 à 20:50:02

hwti a écrit :

Donc l'autorité centrale connaît tous les identifiants et peut donc retracer les déplacements de tout le monde (sans avoir leur identité directement certes), pas uniquement les personnes qui se déclarent positives.

Je serai curieux de savoir comment l'autorité centrale peut retracer les déplacements vu qu'il n'y a pas de géolocalisation dans le processus

hwti a écrit :

Mais pire, qu'est-ce qui empêche d'avoir une caméra de surveillance par exemple, couplée à un appareil qui émet des identifiants qui changent toutes les 5 secondes ? Dès qu'un des identifiants qui a été émis est signalé, on a potentiellement une photo de la personne positive !

Rien ne l'empeche, sauf que je ne vois pas
1- Comment une camera pourra identifier dans une foule la personne qui a envoyé l'identifiant
2- Comment la camera pourra récupérer l'identifiant de tout le monde vu que celui-ci ne devrait être envoyé qu'en fonction d'une certaine distance et après contact ininterrompu pendant x minutes.

Bref c'est fascinant cette faculté de toujours imaginer des trucs qui n'ont rien à avoir simplement par idéologie

Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 18/04/20 à 21:27:19

Une appli avec des gros roberts pour attirer tous les geeks, bonne idée :transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 7