Nous suivre Industrie Techno

[Déconfinement] Les nombreuses limites du contact tracing envisagé par le gouvernement dans le projet « StopCovid »

Kevin Poireault
Soyez le premier à réagir

Soyez le premier à réagir

[Déconfinement] Les nombreuses limites du contact tracing envisagé par le gouvernement dans le projet « StopCovid »

Dans son allocution de ce lundi 13 avril, le président de la République, Emmanuel Macron, a annoncé que le projet d'une application pour smartphone de suivi des personnes (contact tracing), baptisé StopCovid, devrait être soumis aux débats parlementaires. Et pour cause : une telle solution technologique est vivement critiquée par de nombreux experts, aussi bien pour les entraves à la vie privée qu'elle pourrait engendrer que pour son efficacité, fortement mise en doute.

En France, les contours du projet StopCovid, la future application pour smartphone envisagée par le gouvernement pour le déconfinement, afin d’identifier les personnes croisées par les individus testés positifs au Covid-19 (« contact tracing »), commencent à se dessiner.

Après une annonce du projet par le ministre de la Santé Olivier Véran et le secrétaire d’Etat au Numérique dans les colonnes du Monde le 8 avril dernier, un fichier a discrètement été ajouté sur la plateforme de programmation informatique GitHub. Le développement de l’application devrait être confié à l’incubateur de la Direction des systèmes informatiques de l’Etat et les algorithmes à l’Inria.

Emmanuel Macron a néanmoins annoncé, le 13 avril, qu’il souhaitait que le projet soit débattu au Parlement avant d’être adopté. Et pour cause : pas encore née, l’application StopCovid a déjà beaucoup de détracteurs, remettant en cause notamment sa capacité à protéger les données et sa robustesse aux cyberattaques. Et, surtout, son efficacité.

Dans le monde, près d’une vingtaine de projets de contact tracing ont été recensés dans un répertoire collaboratif des initiatives numériques de lutte contre la pandémie. Certains pays, comme Israël, Taiwan la Corée du Sud ou l’Afrique du Sud, ont décidé de faire appel aux opérateurs télécoms pour utiliser le bornage téléphonique. D’autres, comme la Chine et la Corée du Sud, ont opté pour une géolocalisation par GPS. Avec plus ou moins de bonheur. Le modèle technologique sur lequel la France, l’Europe et les Etats-Unis misent est celui de Singapour, dont l’application TraceTogether utilise le Bluetooth Low Energy (BLE), une technologie de communication bas-débit, bidirectionnelle et de courte portée exploitant les ondes radio ultra haute fréquence sur une bande de fréquence de 2,4 GHz.

Le StopCovid français devrait reposer sur le protocole européen DP-3T

Le principe : une fois installée sur son téléphone, TraceTogether génère des identifiants éphémères (EBID, sur les schémas ci-dessous), stockés uniquement localement, sur le téléphone de l’utilisateur, anonymisés grâce à des méthodes de chiffrement et renouvelés régulièrement dans la journée, qui sont envoyés à chaque personne que l’on croise.

Lorsqu’un individu est testée positif au Covid-19, il accepte d’apparaître dans un registre centralisé (backend sur les schémas ci-dessous), géré par le ministère singapourien de la Santé. Les personnes qui ont croisé son chemin les jours précédents sont alors prévenues qu’elles pourraient être infectées (comme représenté dans le quatrième schéma ci-dessous).

Alors que Singapour a joué la carte de la transparence en détaillant son protocole BlueTrace dans un livre blanc et en le rendant open source – le code du désormais nommé OpenTrace est disponible sur la plateforme GitHub -, une poignée d’équipes de chercheurs européens et nord-américains travaillent actuellement sur d’autres protocoles reposant sur le BLE mais qu’ils essaient de rendre plus sécurisés ou plus décentralisés (voir encadré en fin d'article).

Si l’on décèle des différences techniques (longueur des clés de chiffrement, procédures de génération de ces clés, centralisation totale ou partielle du serveur), tous ces protocoles fonctionnent sensiblement de la même manière que le protocole OpenTrace, mais font en sorte que, contrairement au ministère singapourien de la Santé, l’autorité responsable du serveur central n’ait pas un accès direct aux données des utilisateurs.

S’ils planchent tous sur des projets de leur côté, certains Etats européens, comme la France, l’Allemagne ou l’Italie, pourraient se tourner vers un de ces protocoles, le Decentralized Privacy-Preserving Proximity Tracing (DP-3T), qui regroupe 130 chercheurs issus de huit pays européens et s’inscrit dans le cadre du projet européen Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT). La Commission européenne a d’ailleurs plaidé pour une approche commune paneuropéenne, sous l’égide du Comité européen de la protection des données.

Le 10 avril, Apple et Google sont également entré dans la danse en annonçant qu’ils proposeraient, dès le mois de mai, une interface de programmation (API) commune, socle pour que les pays et/ou les chercheurs puissent y développer leurs applications de contact tracing.

Pourquoi l’anonymat pas garanti, même avec le Bluetooth

Le secrétaire d'Etat au numérique Cédric O l’a assuré : en reposant sur le Bluetooth et non le GPS, l’application StopCovid « ne géolocalisera pas les personnes » mais « retracera l’historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure ni transmettre aucune donnée ».

Malheureusement, selon plusieurs experts, la technologie Bluetooth ne garantit pas aux utilisateurs l’absence totale de géolocalisation et n’assure pas totalement l’anonymisation des données non plus. Dans un cas très simple, tout d’abord : quelqu’un qui n’a croisé qu’une personne dans la journée ou pendant plusieurs heures pourra facilement savoir que celle-ci est infectée dès qu’elle sera alertée qu’elle s’est trouvée en présence d’une personne contagieuse. Inéluctable, cette limite n’expose l’identité d’une personne qu’à un autre utilisateur. Elle n’est donc pas critique.

En revanche, le recours – tout aussi inéluctable – à un serveur central pose, lui, des problèmes plus inquiétants. Après une première vague de critiques techniques de la part d’Enrico Nardelli, mathématicien et professeur à l’université de Rome, le groupe de chercheurs européens a mis à jour son protocole DP-3T le 10 avril, qu’ils ont décliné en deux versions.

Dans une première version, chaque application se voit attribuer un identifiant unique, qui change certes chaque jour, mais en fonction du tout premier généré lors de l’installation de l’application. Un dispositif muni d’une antenne Bluetooth peut ainsi reconstituer tous les identifiants temporaires d’une personne à partir des clés distribué par le serveur central et « permettre, dans le cas d’un individu rencontré avec une certaine régularité, d'identifier qui il est », pointe Enrico Nardelli.

La seconde version offre un protocole plus anonymisé puisque, chaque jour, l’identifiant unique de l’application téléchargée dans un téléphone change de manière aléatoire. Mais le fait de garder le même identifiant toute une journée laisse des failles : « On peut facilement imaginer qu'émerge un marché d'applications "annexes" proposant de calculer combien de fois dans une journée vous avez rencontré un certain appareil et si, dans la même journée, vous avez rencontré un seul appareil (parmi ceux signalés par le serveur central comme appartenant à une personne infectée) ou plusieurs », alerte Enrico Nardelli. Sans compter que des algorithmes de désanonymisation existent déjà.

Avec ce système, on peut donc identifier une personne, mais on peut aussi la localiser, insiste le chercheur en cybersécurité Baptiste Robert, interrogé par Industrie & Technologies : « Ce sont les métadonnées liées à la connexion Bluetooth qui trahissent la localisation de l’utilisateur ».

Le Bluetooth, un nid de failles de sécurité

Le secteur commercial l’a compris depuis bien longtemps, illustre-t-il sur Twitter : « Cela fait des années que les magasins placent des relais Bluetooth partout pour savoir exactement où vous êtes dans le magasin quand vous faites vos courses. D'ailleurs, depuis plusieurs années, Google demande à un développeur Android qui veut utiliser le Bluetooth dans son application de demander à l'utilisateur deux permissions: "Bluetooth" et "Access fine location". »

Ces relais Bluetooth sont d’ailleurs un des nombreux outils possibles pour pirater le système décrit par le protocole DP-3T, selon un article scientifique publié par le cryptologue français Serge Vaudenay, professeur à l’Ecole polytechnique fédérale de Lausanne, en Suisse.

D’ailleurs, en plus des interceptions intermédiaires identifiées par le cryptologue, la technologie BLE elle-même est « bourrée de failles de sécurité », s’alarme Enrico Nardelli, contacté par téléphone. Dans un article de blog, il pointe vers le travail de trois chercheurs en sécurité, qui ont regroupé une douzaine de vulnérabilités imputables aux puces BLE, sous le nom de Sweyntooth.

De nombreuses « barrières technologiques »

En outre, le BLE, « pas prévu pour mesurer des distances entre les personnes », comporte de nombreuses « barrières technologiques », admet le secrétaire d’Etat Cédric O.

La première barrière concerne la distance. Certes, le Bluetooth, qui ne détecte un autre appareil que jusqu’à 10 mètre, est plus précis que le bornage des opérateurs télécoms (testé, dans un contexte de contact tracing, par Taiwan, Israël et la Corée du Sud) et fonctionne presque partout quand le GPS est inactif dans le métro et très dégradé près des immeubles.

Mais l’intensité du signal Bluetooth, que les chercheurs veulent utiliser pour déduire de la distance entre deux téléphones, est assez peu fiable et diverge fortement en fonction de la puce ou de l’antenne Bluetooth et du smartphone. Cette divergences pourraient créer un grand nombre de faux positifs, soit une personne identifiée par d’autres comme infectée alors qu’elle ne l’est pas, alerte L'Union américaine pour les libertés civiles (ACLU) dans un livre blanc publié le 8 avril : « Un tel système ne saura pas, par exemple, qu'un banquier est protégé des transmissions parce qu'il est derrière du plexiglas ou que deux personnes proches l'une de l'autre dans un immeuble sont en fait dans des appartements séparés par un mur. » Une limite que reconnaissent d’ailleurs volontiers les auteurs américains du protocole Private Automated Contact Tracing (PACT), dirigés par le MIT.

Un intérêt épidémiologique très limité

Autre problème : le contact tracing tel qu’il est envisagé en Europe et en Amérique du Nord produira certainement aussi un nombre encore plus grand de faux négatifs. Bien que faillible face à un potentiel individu malveillant, l’anonymisation des données fonctionnera certainement bien dans les informations fournies aux épidémiologistes. Ce qui les rendra, de fait, inexploitables. Tout comme celles « dont disposent par exemple les centres 15 à partir des appels, les données personnelles – adresse, numéro de téléphone… – totalement anonymisées transforment les cas en points et je ne sais pas faire porter un masque à un point, ni l’aider à protéger ses proches », expliquait au Monde Renaud Piarroux, chef du service de parasitologie à l’hôpital de la Pitié-Salpêtrière, le 9 avril.

Sans compter que les pays européens et nord-américains semblent se diriger vers une option basée sur le volontariat des individus d’installer ou non l’application qu’ils proposeront. Tout comme les tentatives d’anonymisation, ce principe est salutaire. Néanmoins, l’une des rares études d’impact du contact tracing, publiée dans la revue Science le 31 mars, estime qu’il faudrait que 60% de la population installe l’application pour qu’elle soit efficace. En France, dans un pays où « la fracture numérique représente 13 millions de gens », selon les mots de Cédric O, « qui sont pour partie les personnes âgées et donc les plus vulnérables face au virus », ajoute Baptiste Robert, ce taux semble d’acceptation semble bien ambitieux.

Aucune preuve de l’efficacité de TraceTogether à Singapour

A Singapour, où les citoyens ont le choix d’installer ou non l’application TraceTogether, moins de 15% de la population l’ont fait. Si l’on transférait ces chiffres à l’échelle des Etats-Unis, il y aurait 1,44% de chance, en moyenne, que deux personnes qui se croisent aient l’application sur leur téléphone, selon une modélisation de Farzad Mostashari, ancien directeur de la coordination des outils technologiques au sein du ministère américain de la Santé et actuel PDG d’une start-up de santé appelée Aledade. « Malgré notre bon système de contact tracing, dans la moitié des cas, nous ignorons où et par qui les individus infectés par le virus ont été contaminés », admet Lee Hsien Loong, premier ministre de Singapour, le 3 avril.

Plus largement, l’impact du contact tracing dans la cité-Etat est encore très incertain. Le 10 avril, alors que le pays comptait un rebond de nouveaux cas de Covid-19 (200 ce jour-là), Singapour a décrété à nouveau le confinement généralisé de sa population. Un véritable « retour en arrière » selon Baptiste Robert, très sceptique sur l’intérêt d’une telle solution technologique.

Enfin, en plus de toutes les limites éthiques et technologiques posées par le contact tracing numérique, il faut bien rappeler que, même si sa fiabilité était prouvée, il ne ne résoudrait qu’une partie des préoccupations épidémiologiques. En effet, la proximité n’est pas le seul critère évalué par les spécialistes - le virus peut se propager via une barre de métro ou une poignée de porte, par exemple.

C’est pourquoi Marie-Laure Denis, présidente de la Cnil, a tenu à rappeler, le 8 avril à l’Assemblée nationale, que « la mise en place d’une application de suivi des personnes n’est en rien une solution magique mais seulement « un des éléments de la réponse sanitaire » parmi d’autres (tests sérologiques, auto-diagnostic, contact tracing manuel…). Baptiste Robert, lui, va encore plus loin : « Il s’agit d’une nouvelle déclinaison du solutionnisme technologique irrationnel. La réponse au déconfinement n’est pas technologique. »

Contact tracing par Bluetooth Low Energy : quels protocoles à l’étude ?

A ce jour, au moins 6 protocoles de contact tracing à partir de Bluetooth Low Energy (BLE) sont à l’étude en Europe et en Amérique du Nord. Le principe est presque le même pour chacun mais l’on note de légères différences techniques (clés de chiffrement, hachage, algorithmes…) et dans la décentralisation plus ou moins grande du stockage des données :

  • BlueTrace, développé par le gouvernement singapourien et sur lequel repose l’application TraceTogether. Aujourd’hui rendu open source sous le nom d’OpenTrace.
  • Decentralized Privacy-Preserving Proximity Tracing (DP-3T), développé par 130 chercheurs venus de 8 universités et centre de recherches en Europe dans le cadre du projet européen Pan European Privacy Preserving Proximity Tracing (PEPP-PT). C’est sur ce protocole que devraient reposer les applications de contact tracing proposées par les gouvernements français, allemands et italiens – si elles voient le jour.
  • Temporary Contact Numbers (TCN), protocole hybridant données Bluetooth et GPS développé par la TCN Coalition, un réseau mondial de recherche universitaire mené par l’initiative Covid-Watch des chercheurs de l’université de Waterloo, en Ontario, au Canada, et de l’université de Standford, en Californie, aux Etats-Unis.
  • Private Automated Contact Tracing (East Coast PACT), développé par une vingtaine de chercheurs, notamment issus du Massachusetts Institute of Technology (MIT), dans le Maschusetts, aux Etats-Unis.
  • Privacy-Sensitive Protocols And Mechanisms for Mobile Contact Tracing (West Coast PACT), développé par une dizaine de chercheurs, notamment issus de l’université de Washington, dans l’Etat de Washington, aux Etats-Unis.
  • Canetti et al., développé par trois chercheurs de l’université de Boston, dans le Masachusetts, qui ont également contribué au protocole East Coast PACT.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

[Propagation] Pourquoi la contamination au Covid-19 advient-elle majoritairement dans les lieux clos ?

[Propagation] Pourquoi la contamination au Covid-19 advient-elle majoritairement dans les lieux clos ?

« Ce n’est pas la pandémie qui fait les clusters, ce sont les clusters qui font la pandémie », entend-on de plus en[…]

28/05/2020 | Covid-19
StopCovid : le Parlement français vote en faveur de l’application mobile de contact tracing

StopCovid : le Parlement français vote en faveur de l’application mobile de contact tracing

Que sait-on de StopCovid, l'application controversée qui entre en débat au Parlement ?

Que sait-on de StopCovid, l'application controversée qui entre en débat au Parlement ?

Deux études précliniques montrent l’efficacité des vaccins à ADN contre le Covid-19 chez l’animal

Deux études précliniques montrent l’efficacité des vaccins à ADN contre le Covid-19 chez l’animal

Plus d'articles