« Contact tracing » : les limites du Bluetooth, les risques sur la vie privée et l’anonymat

Les projets d'applications de « contact tracing » font polémique. Elles sont accusées d'attenter à la vie privée et de reposer sur une mesure Bluetooth bien trop approximative. Nous avons tenté de résumer les nombreux livres blancs et analyses de risques rédigés par les chercheurs impliqués.

Plus d'une vingtaine d'applications de « contact tracing » ont d'ores et déjà été répertoriées sur Wikipedia et GDPRhub, le wiki de l'ONG de défense de la vie privée noyb.eu.

Nous avons déjà expliqué pourquoi le « contact tracking » ne fonctionnera (probablement) pas, détaillé les différents protocoles et initiatives et exposé pourquoi les termes du débat, qui ne sauraient être réduits aux seules applications Bluetooth, semblaient avoir été mal compris – parce que mal présentés par les autorités.

Ici, nous tenterons de résumer les principales critiques formulées à leur sujet.

Quand la solution Apple/Google est mal comprise

« Coronavirus : un conseiller du gouvernement met en garde contre une application Google-Apple », titrait la semaine passée l'AFP. Auditionné au Sénat, Aymeril Hoang, l'expert numérique du Conseil scientifique Covid-19, avait en effet « mis en garde contre une éventuelle application Google/Apple de traçage des contacts, estimant qu'une telle application devait rester du ressort de l'Etat ». Mais avec des arguments erronés... 

« Si j'ai bien compris », rapportait l'AFP, Google et Apple comptent proposer « une application clef en main, entièrement packagée, où les États (...) n'auraient plus qu'à mettre leur logo ». À l'en croire, « cela veut dire que sur un plan technique, Google et Apple définissent eux-mêmes » quand une personne doit être prévenue qu'elle a croisé une personne contaminée (distance entre les deux, temps d'exposition...).

« Cela veut dire également qu'ils gardent » les identifiants des téléphones concernés, qu'ils définissent le « protocole » de fonctionnement : « à titre personnel, je pense que cela pose d'énormes enjeux de souveraineté numérique ». Selon M. Hoang, le gouvernement est pour l'instant dans une « logique de collaboration (...) et de négociation » avec Apple et Google.

« Si ces négociations n'aboutissaient pas, et si nous n'avions pas d'autres choix que de reprendre la solution clef en main de Google et Apple, je pense qu'il y (aurait) des arbitrages et des priorités à établir, que ça (devrait) tous nous interroger collectivement et en premier lieu la représentation nationale sur ce que cela signifie en termes d'indépendance et de souveraineté sur ces questions numériques », avait-il précisé.

En l'espèce, le projet (voir notre analyse) ne vise pas à fournir une « application clef en main ». Leur communiqué conjoint précise qu'ils veulent « aider les gouvernements et autorités de santé à réduire la propagation du virus, tout en plaçant la vie privée et la sécurité des utilisateurs au centre du design ».

Il s'agira tout d'abord, en mai, de fournir « aux autorités de santé » des API permettant d'améliorer l'interopérabilité et la précision des mesures de proximité effectuées par les terminaux Android et iOS. L'objectif est de permettre aux autorités sanitaires de s'en servir dans les applications qu'elles rendront elles-mêmes publiques dans leurs stores respectifs.

Dans les mois qui suivront, la fonctionnalité de « contact tracing » sera par la suite installée directement dans les terminaux, ce qui la rendra a priori « plus robuste qu'une API », tout en permettant à encore plus de gens de s'en servir, s'ils le désirent. Cédric O a depuis déclaré que l'application serait « souveraine », comme le rapporte France Info :

« Nous avons des discussions avec Apple et Google pour qu'ils facilitent les choses, mais les conditions dans lesquelles cette application sera déployée seront uniquement à la main des États souverains et nous ne céderons rien sur toutes les conditions. Nous ferons tout pour être prêts, mais nous ne pouvons pas garantir que nous serons prêts pour le 11 mai . »

Notre dossier sur les protocoles du Contact tracing, les risques et les enquêteurs :

• « Contact tracing » : on vous explique les différents protocoles et initiatives
• « Contact tracing » : les limites du Bluetooth, les risques sur la vie privée et l’anonymat
• « Contact tracing » : la nécessité (oubliée) de milliers d'enquêteurs

Une mesure de la proximité approximative

Seul point positif par rapport aux problèmes que nous avions répertoriés : il a depuis été confirmé qu'Apple et Google utiliseraient le Bluetooth basse consommation (Bluetooth LE), encore faut-il en disposer. Il faudra plus particulièrement récupérer le niveau du signal reçu observé (Received Signal Strength Indication, ou RSSI) pour mesurer, de façon plus précise, la proximité des potentiels « cas contact ».

Il s’agit de personnes ayant été « au contact » de patients identifiés comme contaminés par les autorités sanitaires. Pour autant, soulignent les développeurs de TraceTogether, de nombreux autres facteurs complémentaires font varier voire perturbent la mesure de la distance. Elle dépend en effet de l'endroit où est l'ordiphone (au fond du sac, dans la poche, la main, la rue, une cantine, une voiture, une salle de réunion, un atelier, etc.), de la texture au contact (tissu, table en bois, plastique ou en métal), de l'orientation des appareils les uns par rapport aux autres, sans parler des configurations matérielles et logicielles des différents terminaux...

Autant de critères environnementaux qui, combinés, rendent la mesure du signal plus ou moins approximative. De plus, précise l'organisme qui supervise l'élaboration de normes Bluetooth, la mesure de ce RSSI n'est pas standardisée et dépend du fabricant, ainsi que des facteurs de propagation de radiofréquences.

Si les RSSI mesurés sur les iPhone pourrait en « refléter avec précision la mesure de la distance », a contrario, la diversité des intégrateurs de terminaux Android « ne vous aidera pas à mapper facilement » le niveau de proximité. D'autres chercheurs estiment même que les données brutes obtenues par le RSSI entrainent de « nombreuses erreurs de mesure », et que l'implémentation numérique ou électronique d'un filtre passe-bas (Low Pass Filter, LPF), qui laisse passer les basses fréquences et qui atténue les hautes fréquences, permettrait de réduire les erreurs de mesures.

Et il faut aussi prendre en compte les données de calibration afin d’estimer correctement les distances. Or elles sont trop souvent manquantes et TraceTogether appelle d’ailleurs aux fabricants à les donner. En l'état, le fait de répondre favorablement au cahier des charges de la boîte à outils de la Commission européenne, qui recommande notamment qu'« afin de déterminer de manière fiable la distance de 1,5 mètre visée sur le plan épidémiologique, une résolution de 0,5 mètre doit être prévue, ce qui minimise les faux positifs », s'avère fort complexe à implémenter.

Nonobstant le fait que l'application devrait aussi « pouvoir envoyer et recevoir et enregistrer des signaux Bluetooth même en mode arrière-plan (même lorsque le téléphone est verrouillé) ».

De nombreux terminaux bloquent le Bluetooth en tâche de fond

Apple et Google n'ont pas officiellement communiqué à ce sujet, mais leur protocole pourrait aussi précisément permettre de corriger une fonctionnalité rendant difficile, voire impossible, l'utilisation de telles applications. Apple a en effet décidé de bloquer le Bluetooth dans les applications en arrière-plan, comme nous l’expliquions. Pour qu'elle fonctionne, il faut que l'application reste ouverte, en avant plan, et que l'iPhone ne soit pas verrouillé.

Les développeurs de TraceTogether, l'application singapourienne qui sert de matrice aux autres projets de ce type, conseillent en outre de mettre l'iPhone face contre terre, ou tête-bêche, et de limiter au maximum la luminosité de l'écran, pour ne pas vider la batterie... de quoi compliquer l'utilisation (et l'efficacité) de l'application.

Outre l'aspect rébarbatif de cette somme de pré-requis, le fait de se déplacer avec un iPhone déverrouillé aurait contribué à dissuader un certain nombre de Singapouriens de l'installer, et encore plus de l'utiliser. Cela n'aurait été le cas que d'un million environ des six millions de résidents (soit moins de 18 % d'entre eux), alors que le pays est bien moins mutin et rétif que ne peuvent l'être les Français au sujet de telles mesures de surveillance.

Les épidémiologistes estiment pourtant que, pour qu'elles soient vraiment efficaces, 60 % de la population devrait installer ce genre d'application. Ce dont on peut douter, souligne Le Monde, vu qu’un peu moins de huit Français sur dix dispose d'un ordiphone, que Facebook, réseau social le plus populaire au monde, compte moins de 30 millions d’utilisateurs actifs en France et que tous n’utilisent pas nécessairement l’application du réseau social sur leur téléphone.

Tomas Puyeo, dont les Medium prospectifs au sujet de ce coronavirus ont été largement relayés, a calculé de son côté que quand bien même 27 % des Singapouriens auraient installé l'application (il espérait en effet que le nombre d'utilisateurs ne pourrait qu'augmenter), seuls 23 % lanceraient l'application (ce qui ne sert a priori à rien lorsque l'on est confiné) et cela ne représenterait que 12 % seulement du temps où ils auraient activé le Bluetooth. Cela ne permettrait donc d'identifier que 2 % seulement des personnes censées avoir été « au contact » de personnes contaminées.

Des tests aléatoires seraient plus efficaces (et moins coûteux) qu’une application

Un groupe de chercheurs en informatique, intelligence artificielle et mathématiques européennes, spécialistes des questions de modélisation et de simulation sociale, estiment pour leur part que des tests aléatoires seraient bien plus efficaces qu'une application de « contact tracing ».

Ils ont en effet effectué plusieurs simulations afin de comparer les effets d'une telle application si elle était utilisée par 0, 60, 80 ou 100 % de la population avec ceux de tests aléatoires effectués sur seulement 20 % de la population. Et leur conclusion est double : ces 20% de tests aléatoires contribueraient à infléchir la courbe des infections de façon plus rapide et prononcée que l'utilisation d'une application de « contact tracing ».

Ils permettraient également de devoir effectuer moins de tests (dont on a pu mesurer à quel point ils étaient comptés), d'éviter d'engorger le système de prise en charge sanitaire et de limiter le nombre de personnes à placer en quarantaine. 

StopCovid « pas dangereuse, mais ne servira peut-être à rien »

Pour autant, et comme le résume le journaliste Raphael Grably en conclusion du fil qu'il a consacré à StopCovid sur Twitter : « si l'appli StopCovid voit le jour, elle ne sera pas dangereuse, mais ne servira peut-être à rien », faute de pouvoir bénéficier des améliorations qu'Apple et Google sont censées mettre en place.

Les iPhone, ainsi qu'un certain nombre de terminaux Android, devront en effet rester allumés, avec l'application ouverte en avant-plan, ce qui avait précisément contribué au faible taux d'adoption à Singapour, et qui ne répond pas non plus au cahier des charges de la Commission.

J'ai terminé mon explication, évidemment ouverte à la contradiction pour s'enrichir.

Je résume ma modeste interprétation, cette fois parfaitement subjective: si l'appli StopCovid voit le jour, elle ne sera pas dangereuse, mais ne servira peut-être à rien.

— Raphael Grably (@GrablyR) 19 avril 2020

Les questions de (dé)centralisation au coeur de la polémique

Le protocole « ROBERT » (pour ROBust and privacy-presERving proximity Tracing) que vient de dévoiler Inria (voir notre actualité) reproche en effet aux partisans d'une approche « décentralisée » (dont DP-3T, Apple et Google), d'avoir opté pour ce qu'il qualifie de « centralisation décentralisée », au motif que leur protocole revient à envoyer « sur chaque smartphone la liste de l’ensemble des crypto-identifiants des personnes diagnostiquées comme positives ».

A contrario, le « serveur central (pour assumer le terme) » et comme le précise Inria pour décrire cet aspect de son protocole ROBERT, ne comportera « AUCUNE donnée relative au statut des personnes positives », mais uniquement « une liste de crypto-identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes positives ».

Inria estime que les approches supposées être très décentralisées, « qui pourraient avoir les faveurs de communautés réticentes à accorder leur confiance à une autorité centrale, peuvent présenter des faiblesses majeures en matière de protection de la vie privée », et représenter un risque de stigmatisation des utilisateurs en cas de compromission.

Le débat ne devrait pas, expliquent les chercheurs du laboratoire Privatics d'Inria (spécialiste des questions de protection de la vie privée à l'ère du numérique), se focaliser sur les termes « imprécis et trompeurs » de « centralisés VS décentralisés », mais sur une analyse des risques. D’autres experts du secteur sont sur la même ligne de conduite. 

Ils estiment que la comparaison des crypto-identifiants anonymisés ayant été « au contact » devrait être effectuée sur un serveur que les autorités de cybersécurité et de protection de la vie privée pourront auditer, plutôt que sur les terminaux des utilisateurs. Vincent Roca, l'un des chercheurs d'Inria, explique à ce titre qu'en termes de modèle de menace, les utilisateurs malintentionnés poseraient plus de problèmes que les gouvernements de pays démocratiques.

Si l'on peut comprendre qu'Inria et le gouvernement préfèrent ne pas envoyer les crypto-identifiants – même « anonymisés », terme restant cela dit sujet à caution, comme le soulignent Stéphane Bortzmeyer et Thomas Fournaise – sur les ordiphones des utilisateurs, cette centralisation n'est pour autant pas sans poser problème.

Inria participe en effet au projet PEPP-PT (PanEuropean Privacy Preserving Proximity Tracing), qui a pour vocation d'intégrer le protocole ROBERT et de lui ajouter plusieurs couches logicielles. PEPP-PT avait initialement prévu de soutenir les approches centralisées et décentralisées, telles que DP-3T (Decentralized Privacy-Preserving Proximity Tracing, un autre projet porté par des chercheurs européens), mais n’en fait plus mention sur son site.

L’Europe divisée sur la question, PEPP-PT mise sur la centralisation…

Le 8 avril, la Commission européenne adoptait une recommandation privilégiant l'approche décentralisée, suivie le 14 par le Comité Européen de la Protection des Données se prononçant lui aussi en faveur de la décentralisation.

Une rafale d'articles et de prises de position publiques ont, vendredi 17 avril, fait montre d'une accélération dans la polémique qui fait désormais rage entre les deux approches. Plusieurs laboratoires de recherche, pourtant piliers du projet, se sont ainsi dissociés de PEPP-PT, dénonçant son manque de transparence, et rejoignant les rangs de DP-3T.

Techcrunch rapportait pour sa part que l'Espagne et la Suisse avaient opté pour des approches décentralisées. De son côté, PEPP-PT était en négociation avec 40 pays et les requêtes des journalistes qui lui étaient adressées étaient gérées par Hering Schuppener, un cabinet de communication stratégique spécialisé dans la communication de crise, auquel Volkswagen avait eu recours lors du Dieselgate.

Nos confrères relevaient par ailleurs que Thomas Wiegand, directeur de l'institut allemand Fraunhofer Heinrich Hertz (un des partenaires de PEPP-PT) a ce jour-là qualifié le débat de « spectacle parallèle » (« side show », en VO). Il a exprimé sa crainte de ce qu'il a appelé la « discussion publique ouverte », pouvant « détruire notre capacité à nous sortir en tant qu'Européens » de la pandémie.

Pour lui : « la cryptographie n'est que l'un des 12 éléments constitutifs du système. J'aimerais donc que tout le monde revienne et reconsidère le problème dans lequel nous nous trouvons ici. Nous devons gagner contre ce virus… ou nous avons un autre verrouillage ou nous avons beaucoup de gros problèmes. J'aimerais que tout le monde y réfléchisse parce que nous avons une chance si nous agissons ensemble et gagnons vraiment contre le virus. »

Plusieurs eurodéputés, dont Sophie in 't Veld, écrivaient de leur côté à PEPP-PT pour lui demander des explications sur son absence de transparence, son choix d'une architecture centralisée, l'absence de code source auditable, et pour en savoir plus sur ses partenaires, tant étatiques qu'industriels.

Le Parlement européen adoptait pour sa part une résolution (395 pour, 171 contre, et 128 abstentions) estimant que « les données générées ne doivent pas être conservées dans des bases de données centralisées, susceptibles d’être utilisées à de mauvaises fins et de provoquer une perte de confiance, ce qui aurait pour effet de compromettre leur utilisation dans l’ensemble de l’Union ». Il demande que « toutes les données stockées soient décentralisées » et que « la pleine transparence soit accordée aux intérêts commerciaux (hors de l’Union) des développeurs de ces applications et que le rôle de l’utilisation des applications de recherche de contact par une partie de la population ».

…DP-3T accuse PEPP-PT d’« ouvrir la voie à des abus systémiques »

L'ICO (la CNIL britannique), soulignant que la solution d'Apple et Google était « similaire » à celle de DP-3T, publiait de son côté un communiqué approuvant leur démarche de « protection des données par design et par défaut, y compris en termes de sécurité et de minimisation des données ».

Ce dimanche 19 avril, DP-3T accusait les principes d'architecture de sécurité et de protection des données personnelles, que PEPP-PT venait de rendre publics, d'« ouvrir la voie à des abus systémiques », notamment parce que son approche centralisée pourrait permettre de reconstituer le « graphe social » de ses utilisateurs, qu'ils aient été contaminés ou pas.

Ce lundi, 300 scientifiques et chercheurs européens ont co-signé une tribune fustigeant eux aussi cette approche centralisée, accusée de permettre à des acteurs malintentionnés de pouvoir espionner le « contact tracing » de ses utilisateurs, et applaudissant le protocole proposé par Apple et Google.

Depuis, des centaines d'autres chercheurs et scientifiques, aux Pays-Bas et en Belgique, ont eux aussi publié des lettres ouvertes appelant leurs gouvernements à bien mesurer leurs responsabilités, déplorant les travers et les risques posés par ce type de « solutionnisme technologique ».

Le célèbre cryptographe Matthew Green, de son côté, souligne l'ironie de voir que l'application centralisée européenne serait potentiellement plus invasive et attentatoire à la vie privée que ne l'est le protocole décentralisé proposé par Apple et Google. Parce que les identifiants, générés sur le serveur central, permettraient aux autorités de les relier à l'identité des utilisateurs. Le serveur centraliserait également les identifiants de tous ceux identifiés comme « cas contact ».

Inria a commencé à répondre aux nombreuses questions et problèmes qui lui ont été exposés, soulignant notamment l'ironie consistant à demander à des chercheurs spécialistes des questions de vie privée numérique de contribuer à mettre en place un système de traçabilité technologique, et donc à faire le contraire de ce qu'ils font habituellement.

Le GitHub de PEPP-PT ne permet pas aux contributeurs extérieurs de lui soumettre des questions ou propositions d'améliorations, et n'a, à notre connaissance, toujours pas répondu aux critiques dont il a fait l'objet.  Rappelons que dans les deux cas (centralisé ou décentralisé), les autorités sanitaires disposent évidemment de la liste des personnes malades. 

« Une redistribution radicale de la surveillance vers la santé publique »

Sur Twitter, Cédric Lévy-Bencheton, qui a travaillé à l'ENISA (l'agence européenne de cyber sécurité), explique que les conditions mêmes de propagation des signaux Bluetooth, couplées au fait d'avoir son ordiphone dans la poche ou au fond de son sac notamment (et donc d'entraver sa propagation, en fonction des matières à traverser, et des autres signaux pouvant le parasiter), pourraient permettre d'identifier, à tort, comme « cas contact » des personnes se trouvant pourtant à une bonne distance de sécurité, tout en n'identifiant pas d'autres personnes ayant pourtant été exposées : 

In the real world, Alice and Bob have the phone in their bag (which might not with them at all times). Charlie and Zoey have the phone in their back pocket.

Alice, Bob and Charlie are still in the danger zone but they are safe according to the app. More people can become sick! pic.twitter.com/JMxfRUp0Mj

— C. LÉVY-BENCHETON (@clevybencheton) 16 avril 2020

Et ce, alors qu'on anticipe déjà des détournements et tentatives de piratages de son usage : « les Russes utiliseront l'application pour lancer des attaques par déni de service et semer la panique ; et le petit Johnny signalera lui-même les symptômes pour renvoyer toute l'école à la maison », comme le résume lapidairement le chercheur en sécurité informatique Ross Anderson, qui conseille notamment le ministère de la santé britannique depuis 25 ans.

Signalons par contre que l’identification d’une personne comme étant malade sera réalisé par un médecin, pas directement par l’utilisateur. Après avoir dressé la liste des sept points lui posant problème avec ce type d'application, qui recoupent pour la plupart ceux que nous avions déjà soulignés, Anderson estime pour sa part que « ce qu'il nous faut, c'est une redistribution radicale des ressources du complexe industriel de surveillance vers la santé publique. Notre effort devrait aller dans le développement des tests, la fabrication de respirateurs, la construction d'hôpitaux de campagne, et la réorientation de tous ceux qui ont une formation clinique, des infirmières vétérinaires aux physiothérapeutes, pour les utiliser. La réponse ne doit pas être conduite par des cryptographes mais par des épidémiologistes ».

Un avis partagé par le réputé cryptologue Bruce Schneier, pour qui les véritables problèmes posés par ces projets de « contact tracing » via des applications Bluetooth « ne relèvent pas de la confidentialité ni la sécurité », mais du fait que « l'efficacité de tout suivi des contacts basé sur une application n'est toujours pas prouvée : un "contact" du point de vue d'une application n'est pas le même qu'un contact épidémiologique. Nous aurions à traiter les faux positifs (être proche de quelqu'un d'autre, mais séparés par une cloison ou une autre barrière) et les faux négatifs (ne pas être proche de quelqu'un d'autre, mais contracter la maladie par un objet touché mutuellement) ».

Pour lui, « tant que 1) chaque contact n'entraîne pas d'infection et 2) qu'un grand pourcentage de personnes atteintes de la maladie sont asymptomatiques et ne réalisent pas qu'elles l'ont, je ne vois pas en quoi ce type d'application est utile. Et sans tests bon marché, rapides et précis, les informations de l'une de ces applications ne sont pas très utiles ».

Paradoxalement, le choix de ne pas obliger les citoyens à installer StopCovid, couplé à la défiance qui incitera un grand nombre à ne pas le faire, facilitera probablement le travail des enquêteurs, à mesure qu'il y aura moins de « cas contacts » identifiés qu'il n'y en aura réellement, et pourrait permettre aux autorités de ne pas avoir à recruter 30 000 enquêteurs (nous y reviendrons dans la troisième partie de notre dossier).

Aux dépens, cependant, de la santé publique et de la lutte contre la pandémie. De plus, ceux qui auront installé l'application et découvriront qu'ils sont devenus des « personnes contacts » n'auront aucun moyen d'identifier par qui, quand et où ils auraient été potentiellement contaminés, vu que les données sont anonymisées... et alors même que c'est pourtant précisément l'objet initial du « contact tracing ».

A contrario, cette suspicion de contamination pourrait également leur faire considérer, à tort ou à raison, que l'ensemble des personnes qu'ils auraient croisés dans les 14 jours préalables au déclenchement de l'alerte pourraient elles aussi avoir potentiellement été exposées au coronavirus. De quoi attiser les peurs, à défaut d'enrayer la pandémie.

Le « traçage anonyme » , « dangereux oxymore »

Quinze chercheurs d'Inria et du CNRS notamment, spécialistes en cryptographie, sécurité ou droit des technologies, viennent de leur côté de lancer un site, risques-tracage.fr, basé sur leur expertise qui « réside notamment dans [leur] capacité à anticiper les multiples abus, détournements et autres comportements malveillants qui pourraient émerger ».

Ils y proposent une « analyse de risques à destination des non-spécialistes », et expliquent ce pourquoi la notion de « traçage anonyme » est un « dangereux oxymore » comportant « de nombreux risques, indépendamment des détails de fonctionnement de cette application » et ce, indépendamment du fait qu'elles aient opté pour une approche décentralisée ou centralisée.

Ils expliquent que « les protocoles de traçage décentralisés nécessitent la constitution d’un fichier des malades du Covid-19, au même titre que pour certaines maladies à déclaration obligatoire définies par la loi ». A contrario, « les modèles centralisés, eux, possèdent un fichier de personnes susceptibles de contracter la maladie puisqu’elles ont été en contact avec un malade ».

Mais dans tous les cas, soulignent-ils, et quand bien même ces fichiers seront pseudonymisés, il existe de nombreux moyens de s'y attaquer. Ils présentent ainsi quinze scénarios permettant à des personnes malintentionnées, au choix, de les désanonymiser, de faire croire à des gens qu'ils ont été au contact d'une personne contaminée (de sorte d'empêcher une équipe de sport de jouer un match, un porte-avions d'appareiller, ou fermer un établissement scolaire), identifier si telle personnalité en particulier, ses voisins ou collègues en général, ont été infectés, entre autres.

« Le traçage des contacts pose de nombreux problèmes de sécurité et de respect de la vie privée, et les quelques scénarios que nous avons présentés n’illustrent qu’un petit nombre des détournements possibles », écrivent-ils. « À cet égard, la cryptographie n’apporte que des réponses très partielles. Nombre des situations que nous avons présentées exploitent en effet les fonctionnalités de ce type de technique, plutôt que leur mise en œuvre ». 

Après avoir noté qu'« un vif débat a lieu entre les spécialistes du domaine sur la sécurité des applications proposées, opposant souvent les applications dites "centralisées" à celles dites "décentralisées" », ils estiment que « l’arbitrage de ces risques ne pourra pas être résolu par la technique. Il relève de choix politiques qui mettront en balance les atteintes prévisibles aux droits et libertés fondamentaux et les bénéfices potentiels qui peuvent être espérés dans la lutte contre l’épidémie. À notre connaissance, l’estimation des bénéfices d’un éventuel traçage numérique est aujourd’hui encore très incertaine, alors même que les scénarios que nous avons développés ici sont, eux, connus et plausibles ».

De nombreux risques « inhérents » aux applications Bluetooth

Dans son analyse des risques, l'équipe de DP-3T reconnaît elle aussi qu'aucune de ces applications Bluetooth, quelles qu'elles soient, ne pourrait empêcher un adversaire suffisamment motivé d'identifier les personnes qui auront déclaré avoir été infectées, d'envoyer de fausses alertes pour faire croire à des contaminations, de surveiller les adresses MAC de leurs terminaux, ou d'identifier les endroits où se trouveraient des personnes infectées. 

Au surplus, des pirates, espions et représentants de la loi disposant d'autorisations judiciaires, pourraient également, pour ce qui est des systèmes ayant opté pour une approche centralisée (ce qui n'est pas le cas de DP-3T), surveiller et cibler les utilisateurs à partir de leurs identifiants, retracer leur graphe social, et savoir qui, dans leurs contacts, aurait été infecté.

Les utilisateurs qui, bien qu'ayant été détectés positifs, pourraient eux-mêmes empêcher les autres d'apprendre qu'ils auraient été au contact de personnes contaminées, en désactivant le Bluetooth, en cessant d'utiliser l'application, ou en refusant de déclarer qu'ils ont été contaminés. C'est le revers de la médaille des applications basées sur le libre consentement de ses utilisateurs, requis par le RGPD.

DP-3T avance plusieurs autres problèmes « inhérents » au choix du recours au Bluetooth pour mesurer la proximité. Il résume : « il est impossible d'éviter les attaques visant les systèmes de traçage de proximité qui s'appuient sur le Bluetooth comme estimation d'un contact physique. Cela est dû au fait qu'on ne peut pas distinguer a posteriori les signaux BLE diffusés par un appareil transporté par une personne réelle d'un signal émis par un émetteur puissant ou capté par une antenne longue portée ».

Au surplus, des « plaisantins » ou personnes malintentionnées pourraient décider de brouiller les signaux, pour empêcher les applications d'enregistrer la liste des personnes « au contact ».

Les personnes (autorités judiciaires, espions, voleurs, conjoints ou proches) qui auraient un accès physique au terminal de l'utilisateur de l'un des projets décentralisés (comme DP-3T et celui porté par Apple et Google) et disposeraient de compétences techniques poussées, pourrait découvrir quand son utilisateur a été au contact d'une personne contaminée, où, et donc potentiellement découvrir de qui il s'agit.

DP-3T reproche par ailleurs à NTK, proposé par le projet PEPP-PT, et au protocole ROBERT d'Inria de pouvoir entraîner un détournement d'usage et de finalité (« function creep », en anglais) permettant à des personnes disposant d'un accès (légitimes, ou pas) à leurs serveurs centraux de pouvoir surveiller tous leurs utilisateurs, les désanonymiser, et reconstituer leur graphe social. Inria est d’ailleurs obligé de partir du postulat que l’autorité centrale est « honnête mais curieuse » dans l’implémentation de son algorithme.

Quid d'un droit au recours contre les « faux positifs » ?

Le Comité Européen de la Protection des Données vient pour sa part de publier les lignes directrices dressant la liste des conditions pré-requises pour que ces applications respectent le RGPD et la directive ePrivacy, les encourageant à publier des analyses d'impact relatives à la protection des données (DPIA, en anglais).

Ce à quoi se sont attelés six scientifiques et responsables de la protection des données du Forum allemand des informaticiens pour la paix et la responsabilité sociale (FifF). Ils ont à cet effet comparé l'« architecture centralisée » (hypothèse A) de PEPP-PT (similaire et compatible avec le protocole ROBERT d'Inria), l'« architecture partiellement décentralisée » (hypothèse B) qui « permet également une recherche épidémiologique » de DP-3T et l'« architecture complètement décentralisée » (hypothèse C) proposée par Linus Neumann, du Chaos Computer Club (CCC).

Les utilisateurs infectés pourront, dans tous les cas, être désanonymisés par les responsables des applications et les autorités compétentes. Avec PEPP-PT, ils pourront aussi désanonymiser l'historique de leurs interactions. Du côté de DP-3T, cet historique ne pourrait que partiellement être désanonymisé pour la recherche médicale, ce qu'interdit le protocole « complètement dématérialisé ».

Les conclusions de leur DPIA de 101 pages (en allemand) montrent d'abord que « même avec une architecture décentralisée, il existe des faiblesses et des risques graves auxquels il faut remédier ». Mais également qu'« il n’est pas possible de conclure qu’une implémentation en accord avec les principes du concept-cadre proposé par le PEPP-PT respecte nécessairement la vie privée ».

Au surplus, le libre choix laissé aux gens d'utiliser l’application « est une illusion », à mesure que son utilisation pourra devenir « une condition permettant l’assouplissement des mesures de confinement » ou « permettre l’accès à des bâtiments publics ou privés, à certains espaces ou à des évènements », voire être implicitement requise par son employeur.

Les chercheurs déplorent également que le risque d'être placé en quarantaine à tort du fait de « faux positifs » est une potentielle atteinte aux droits fondamentaux. Ils réclament dès lors que les applications introduisent un dispositif de recours et de contestation des fausses déclarations de contamination et des fausses interactions avec une personne infectée, ainsi que la contestation des mesures restrictives prises sur la base de tels traitements, possibilité qui, à ce jour, « n’est encore prévue par aucune des applications ».

Ils estiment au demeurant que « l'anonymat des utilisateurs doit être imposé par une combinaison de mesures juridiques, techniques et organisationnelles », et ne pas seulement reposer sur des mesures techniques ou des affirmations politiques. « Du point de vue de la protection des données, les principaux risques ne proviennent pas des pirates informatiques ou d'autres utilisateurs, mais des opérateurs du système de traitement de données eux-mêmes ».

La paille, la poutre et le Covid-19

Enfin, il est important, en ces temps anxiogènes, de comprendre le « modèle de menace » de ce « contact tracing ». S'il est impossible d'empêcher des plaisantins, des rageux, des hackers (y compris employés par des États malintentionnés) de chercher à s'attaquer à ce genre d'applications, le principal problème reste qu'elles ne serviront probablement que marginalement les objectifs qu'elles sont pourtant censées poursuivre.

D’autant que des tests aléatoires pourraient, en outre, s'avérer plus efficaces pour ralentir, voire enrayer la pandémie. En théorie, ces applications devraient pouvoir fonctionner, avec plus ou moins de fiabilité. Dans la pratique, les nombreux problèmes techniques non encore résolus, ainsi que les critiques formulées, y compris au sein de LREM et par les promoteurs mêmes de DP-3T, laissent supposer que cela sera sans doute bien plus compliqué.

Pour dire les choses autrement, elles ne seront probablement guère plus efficaces que ne le sont les caméras de vidéosurveillance, qui permettent certes, parfois, de documenter quelques crimes et délits en particulier, mais sans pour autant enrayer la criminalité, pas plus que la délinquance en général.

À l'instar de la police judiciaire et des autorités sanitaires, les applications (pas plus que les caméras) ne sauraient égaler le travail des enquêteurs de terrain, bien plus à même de comprendre le contexte, d'évaluer les indices, et d'écarter les faux positifs et faux négatifs, que ne pourraient le faire des algorithmes de reconnaissance automatisée basés sur une mesure approximative de la proximité via Bluetooth.

Et, de même que les principaux problèmes posés par les systèmes de vidéosurveillance relèvent moins de questions d'atteintes à la vie privée que de gaspillage d'argent public, la question se posera aussi, à terme, de savoir pourquoi autant d'énergie (et d'argent) auront été dépensés dans ces applications.

En matière de « santé publique », les applications Bluetooth ne remplaceront jamais les tests, les masques, les médicaments, les vaccins, les respirateurs, les personnels soignants, le « contact tracing » de terrain, dont les services de santé ont besoin.

Le fait que la société civile et les médias, jusque-là, ne se sont quasi-exclusivement focalisés que sur les seuls problèmes que poseraient de telles applications en matière de vie privée, de surveillance et de sécurité, sans pour autant quasiment jamais débattre des vertus du « contact tracing » de terrain, montre à quel point le débat relève bel et bien d'une forme de « solutionnisme technologique ».

En tout état de cause, les « contact tracers » ne pourront donc a priori identifier que les seuls potentiels « cas contact » ayant été (à tort ou à raison) identifiés parce qu'étant restés trop longtemps et trop près de personnes ayant déclaré avoir été diagnostiquées positives au Covid-19. Mais pas, paradoxalement, ceux qui auront aussi côtoyé les utilisateurs anonymisés des applications Bluetooth.