StopCovid : Inria dévoile son protocole ROBERT en réponse à celui d’Apple et Google

En partenariat avec Fraunhofer, l’Inria publie aujourd’hui sur Github les premières briques du protocole « ROBERT » (pour ROBust and privacy-presERving proximity Tracing). Ces documents représentent « l’état de l’art de nos réflexions sur l’architecture technique d’une application de « contact tracing » respectueuse des valeurs européennes ».

« Le terme de tracking utilisé dans le débat public est impropre, car cet outil ne permettra pas la géolocalisation des personnes : il s’agit juste d’établir, grâce à la technologie Bluetooth, un historique de proximité entre différentes personnes équipées de l’application, auquel nul n’a accès, pas même le propriétaire du téléphone ». Voilà les lignes rouges qu’avait dessinées Cédric O lors de son audition à l’Assemblée nationale, devant la Commission des lois. 

Aujourd’hui, Inria publie sur la plateforme GitHub une présentation du protocole ROBust and privacy-presERving proximity Tracing. Un trait d’union entre le projet politique et le futur code. Fruit du travail du laboratoire Privatics de l'institut, il s’inscrit dans le cadre de l'initiative européenne PEPP-PT (Pan European PrivacyPreserving Proximity Tracing) « dont le but principal est de permettre le développement de solutions de suivi de contacts respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie ».

On est donc encore loin de la mise à disposition des sources de StopCovid, la fameuse application du suivi de contacts. ROBERT, de son petit nom, n’est pas lui-même finalisé, témoignage que si les travaux avancent, une sortie de l'application avant le 11 mai n'est pas assurée comme le relevait le secrétaire d'État au numérique.

Toutefois, la mise en lumière de cet élément important permet d’en savoir plus sur l’architecture qui soutiendra le projet. Dans un texte explicatif, ce cadre est défini par contraste. « Il me semble utile de commencer par rappeler ce qu’une application qui reposerait sur ce protocole n’est pas, eu égard aux interrogations légitimes qui s’expriment et aux confusions qui peuvent avoir lieu » écrit Bruno Sportisse, PDG Inria.

Ni tracking, ni surveillance, ni délation. « Sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales ». Il est encore confirmé que l’application sera proposée non imposée. Une base donc volontaire, non obligatoire.

Une composante d'une politique de santé 

Inria repousse sans hésiter l'idée d’un sésame qui viendrait terrasser Covid-19 : « Aucune équipe travaillant sur ces sujets n’oublie que le « proximity tracing » n’est qu’une composante d’un ensemble plus vaste de mesures, dans le cadre d’une approche pilotée par une politique de santé. Je ne connais personne qui croie au solutionnisme technologique en la matière ». En clair, ROBERT et demain StopCovid ne sont que des briques d’un mur combinant une multitude de mesures de santé publique.

La difficulté de l’exercice est à conjuguer au pluriel. D’un, « la technologie Bluetooth n’a pas été conçue pour être précise dans l’estimation de distances entre deux smartphones ». Cela a été dit : ces transmissions dépendant de facteurs environnementaux ou internes au smartphone, comme l’état de la batterie, la position de l’appareil, la physiologie des personnes.

De deux, difficile de calquer ces variables avec celles relatives aux modèles de transmissions du virus : aérosols, gouttelettes, surfaces, charges virales… « Cette connaissance est encore très lacunaire et est susceptible de changer très rapidement, en fonction des retours d’expérience » reconnaît sans mal Bruno Sportisse.

Sur la structure même du protocole, « aucun projet n’a pour ambition de mettre en place un réseau de pair-à-pair, où tout reposerait sur une communauté supposée « indépendante » de terminaux/de smartphones qui échangent des informations entre eux ». Pourquoi ? « La raison principale est l’impact des failles de sécurité qui pourraient exister avec une telle approche ». Une forme « d'hommage » à la solution commune proposée par Apple et Google, sur laquelle des zones d’ombres planent toujours. 

• Covid-19 : comment Google et Apple veulent généraliser le traçage des contacts par Bluetooth

Décentralisation, centralisation et crypto-identifiants

L’idée est de marier une solution centralisée et décentralisée, tout en étant sécurisée (l’ANSSI a d’ailleurs été impliquée à ces travaux). Une personne installe l’application. « Son smartphone reçoit alors un ensemble de crypto-identifiants (ou une méthode pour les générer toutes les 15 minutes) ».

Si le Bluethooth est activé, elle va « construire un historique des crypto-identifiants rencontrés, « à proximité », pendant une durée significative lors des déplacements (ces crypto identifiants étant sur les smartphones des personnes ayant elles aussi téléchargé l’application) ».

Que se passera-t-il si un des détenteurs est diagnostiqué positif ? Cette personne devra consentir à ce que « son historique de crypto-identifiants rencontrés soit envoyé sur un serveur d’une autorité de santé (par exemple), sans divulguer au serveur son (ses) propre(s) cryptoidentifiant(s) ».

Ainsi, prévient le document, « aucun lien n’est fait entre le téléphone de la personne et son historique. Chacun de ces crypto-identifiants est donc potentiellement « à risque » (il correspond, sans qu’aucun lien ne soit possible avec une personne, à un smartphone qui a été en proximité d’un smartphone porté par une personne qui a été ultérieurement diagnostiquée positive) ».

Dans le même temps, « chaque smartphone ayant téléchargé l’application vérifie auprès du serveur central, « de temps en temps » (toutes les heures, tous les jours, cela fait partie des paramètres à fixer) si ses propres crypto-identifiants sont parmi ceux à risque ». Si la réponse est positive, « cela signifie que le smartphone a été à proximité lors des jours précédents d’un smartphone porté par une personne qui s’est avérée être positive ultérieurement ».

Il y aura notification selon une évaluation du risque définie avec les épidémiologistes, en utilisant l’information de proximité. « La flexibilité du système est clé pour le management d’une crise sanitaire, la prise en compte de connaissances médicales qui évoluent rapidement, voire un apprentissage par le système (toujours sur la base de données statistiques anonymisées) pour le rendre plus efficace, par exemple, pour diminuer l’occurrence de faux positifs » insiste le PDG Inria. « Pour autant que l’autorité sanitaire ait la main sur tout cela ».

L’information diffusée devrait alors « déclencher un renvoi vers divers actes ». L’article évoque « un respect scrupuleux des gestes barrières, un suivi journalier des symptômes, une consultation, un test, etc. », sachant que ces suites relèvent des politiques de santé, non d’Inria.

« Par exemple, sur le serveur central (pour assumer le terme), il n’y a AUCUNE donnée relative au statut des personnes positives. Il s’y trouve une liste de crypto-identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes positives ». De même, « dans le smartphone de mon voisin, il n’y a AUCUNE donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des cryptoidentifiants de tous les smartphones rencontrés » (consulter la FAQ).

« D’autres choix sont possibles et fondent d’autres approches, qui n’ont pas été celles des équipes d’Inria et du Fraunhofer, précise le document : des crypto-identifiants des personnes diagnostiquées positives peuvent transiter par des serveurs centraux et être envoyés dans tous les smartphones. Smartphones au sein desquels la mise en correspondance entre crypto-identifiants rencontrés et crypto-identifiants de personnes testées positives peuvent être effectués.

C’est un système que l’on peut présenter comme fortement décentralisé... tout comme on peut le présenter comme une centralisation décentralisée : il y aura ainsi, sur chaque smartphone, la liste de l’ensemble des crypto-identifiants des personnes diagnostiquées comme positives. Ce système a par ailleurs l’avantage d’être facilement permis par l’API à venir (mi-mai), dévoilée par Apple et Google il y a une semaine, une grande première dans l’histoire de l’informatique. En tout état de cause, c’est le choix d’un Etat de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix. »

Mise en open source, sous Mozilla Public License

Ce protocole est mis sur la table. Ouvert à commentaires, critiques et autres enrichissements. L'acceptabilité de cette solution passe aussi par la pédagogie, finalement il reviendra au « choix d’un État de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix ».

• Consulter les documents publiés sur GitHub

« Une première implémentation logicielle est en cours de développement sur la base du protocole ROBERT. Comme toutes les productions associées au projet StopCovid, elle sera mise en open source, sous licence MPL ».

Nous reviendrons sous peu sur ces éléments, dans le cadre d’un entretien réalisé ce jour avec Bruno Sportisse.