Traçage : les limites de l’application anglaise pourraient être celles de StopCovid
L’application StopCovid du gouvernement français devrait entrer en phase de test dans le courant de la semaine prochaine, avec la version finale prévue pour le 2 juin1. Le Royaume-Uni va de son côté lancer l’expérimentation de sa propre application de traçage des contacts, NHS COVID-19, sur l’île de Wight qui compte 140 000 habitants. L’objectif est de la proposer à l’échelle du pays dans deux à trois semaines après le test.
Comme la France, le Royaume-Uni a décliné l’API Exposure Notification développée par Apple et Google, qui s’appuie sur un modèle décentralisé inspiré des travaux du DP-3T européen (lire : Entre Bubble et Apollo, la petite histoire du traçage commun d’Apple et de Google). D’autres pays, dont l’Allemagne, ont finalement décidé d’utiliser les outils des deux constructeurs américains.
L’approche centralisée vs l’approche décentralisée (infographie NHS).
Si l’approche centralisée est similaire des deux côtés de la Manche, il est à l’heure actuelle impossible de comparer les deux applications, mais on en sait davantage sur ce qui mijote au sein du NHSX, le labo R&D du système de santé britannique. Après téléchargement et consentement (sur la base du volontariat), NHS COVID-19 attribue à l’appareil un identifiant ID numérique persistant. Puis, chaque jour, elle génère un identifiant aléatoire qui est envoyé aux autres smartphones sur lesquels l’app est installée, tandis que l’appareil de l’utilisateur recueille les identifiants des smartphones à proximité.
Dès qu’un utilisateur signale qu’il a été testé positif au COVID-19, la base de données des contacts enregistrés par son smartphone va être envoyée sur le serveur du NHS. Tous ceux qui ont été en contact avec cette personne contaminée recevront alors une notification. Leurs données seront également téléversées vers le NHS, puisqu’eux aussi sont susceptibles d’avoir contaminé d’autres personnes2. C’est le modèle centralisé.
Le modèle décentralisé promu par Apple et par Google a un défaut, selon Cédric O le secrétaire d’État au numérique : en substance, le smartphone contient la liste de tous les crypto-identifiants des personnes contaminées à l’instant t, relève-t-il dans son billet Medium. Le protocole ROBERT, sur lequel le gouvernement français s’appuie pour StopCovid, utilise un serveur central qui stocke ces identifiants, il est « sensible en termes de données médicales et rend significativement plus compliquée l’identification dans la vie réelle des personnes malades par des hackers malveillants ».
Bien sûr, cela implique d’avoir confiance dans les services de l’État qui récupèrent non seulement l’identifiant de la personne contaminée, mais aussi ceux des contacts rencontrés et qui ont pu être contaminées à leur tour. Sans verser dans la paranoïa ou le complotisme, les pseudonymes générés par le serveur peuvent être interceptés par des malandrins.
La sécurité de NHS COVID-19 est sujette à caution puisque le serveur anglais utilise des identifiants pseudonymisés fixes (ROBERT prévoit de renouveler régulièrement ces identifiants et on peut espérer que la question de la sécurité du serveur sera particulièrement bétonnée), qui peuvent donc éventuellement permettre de remonter jusqu’aux utilisateurs et même à leur localisation, puisqu’ils doivent préciser la moitié de leur code postal. Le labo anglais a également indiqué qu’il pourrait demander un accès plus complet aux données de l’utilisateur, dont sa localisation.
C’est là que le bât blesse pour ce qui concerne l’app anglaise : la liste des différentes interactions enregistrées durant les 28 jours qui précèdent le signalement de diagnostic positif ne peut pas être supprimée. Mieux, ou pire selon le point de vue, le NHSX peut exploiter ces données à d’autres fins, mais toujours en lien avec la santé publique. Évidemment, on n’est pas obligé de voir le mal tout le temps, mais cela n’aide pas à avoir confiance dans l’application.
C’est d’autant plus vrai que ni le code source de NHS COVID-19, ni son modèle de sécurité n’ont été publiés. En attendant que ces informations puissent être examinées, il subsiste un problème de confiance. Côté français, Cédric O a également promis la diffusion du code de StopCovid en open source « dès qu’il aura atteint une certaine maturité ». L’exigence de transparence s’appliquera « à l’ensemble de l’architecture du système, jusqu’au serveur back-end » et un comité de suivi sera mis en place.
Au-delà des approches et de leur mise en œuvre, il reste aussi à régler le problème technique du Bluetooth qui, sur iOS comme sur Android érige des barrières élevées pour empêcher les apps de faire n’importe quoi. L’API d’Apple et de Google permet la transmission et la réception des signaux Bluetooth, même si l’application est en arrière plan, loin tout au fond du panneau multitâche. Et même si le smartphone est en veille.
Mais voilà, sur iOS comme sur Android (depuis la version 8), ce fonctionnement est soit interdit, soit limité. Cela réduit à néant le bon fonctionnement et la pertinence même d’une application de traçage des contacts, comme on le voit avec l’app australienne COVIDSafe qui repose sur le même principe que NHS COVID-19 : dès qu’elle disparait de l’écran ou dès que l’iPhone est en veille, l’application arrête de diffuser ses signaux.
- Because people seem interested here’s some video of the COVIDSafe app failing on iPhone. It is literally impossible to broadcast the UUID needed for the app to work without the screen on and the app in the foreground. pic.twitter.com/X5lpyeKL1A
— Joshua Byrd (@phocks) May 1, 2020
Le NHSX a annoncé avoir déniché une parade pour l’iPhone : l’application « écoute » passivement les autres appareils Bluetooth qui passent à proximité. Lors d’un contact, l’app sort de sa léthargie afin de récupérer les signaux et envoyer le sien, et aussi pour déterminer la durée du contact et établir la distance entre les deux personnes. Le problème de ce sparadrap, c’est que si une app iOS en arrière-plan (ou avec l’iPhone en veille) peut écouter les signaux, elle ne peut pas en émettre.
Dit autrement, deux utilisateurs d’iPhone avec leur smartphone en poche (donc en veille) ne pourront pas communiquer les signaux de l’application. Il faudrait une troisième personne possédant un appareil Android un peu ancien, qui lui est en mesure d’émettre des signaux tout le temps ; auquel cas, il sera en mesure d’éveiller les deux iPhone qui, dès lors, pourront s’envoyer et recevoir des informations… Pour StopCovid, Cédric O a fait miroiter une application pour iPhone « satisfaisante ». Si la solution technique est identique à celle du Royaume-Uni, l’utilité de l’application sera quasiment nulle.
- L’application géorgienne Stop Covid (hum…) a trouvé une parade amusante pour rester au premier plan : au bout de quelques secondes, elle affiche un fond noir qui donne l’impression que l’iPhone est en veille ! Pour « réveiller » le smartphone, il faut appuyer un moment sur l’écran.
1 - Encore faut-il que StopCovid passe sous les fourches caudines du débat et du vote des parlementaires, comme promis par le Premier ministre. ↩
2 - L’app anglaise permet à l’utilisateur de signaler des symptômes du COVID-19, ce qui risque de multiplier les fausses alertes. Surtout quand on sait que le virus provoque une toux et de la fièvre, des symptômes assez courants. ↩
