Apple et Google veulent transformer nos smartphones en armes anti-Coronavirus : voilà comment | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Apple et Google veulent transformer nos smartphones en armes anti-Coronavirus : voilà comment
©Josep LAGO / AFP

Atouts dans la lutte contre le Covid-19

Apple et Google veulent transformer nos smartphones en armes anti-Coronavirus : voilà comment

Google et Apple travaillent conjointement pour trouver des solutions efficaces contre le coronavirus. Un système de traçage des individus infectés ou des applications sur les téléphones portables pourraient être proposés dans les semaines et les mois à venir en accord avec les gouvernements de nombreux pays.

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico.fr : Google et Apple ont annoncé travailler main dans la main afin de créer un système de traçage des individus infectés par le Covid-19. Comment fonctionnera ce système ? En quoi est-ce différent des systèmes de traçage mis en place par la Corée du Sud ou Israël ? 

Jean-Paul Pinte : L’urgence de l’épidémie, le nombre de morts, l’incapacité à ce jour de trouver des remèdes ou un vaccin ont amené des grands de l’Internet à réagir mais aussi à se positionner sur le marché d’applications utiles à la baisse du développement du Covid-19.

Apple et Google ont ainsi fait une grande annonce: ils ont décidé de  créer un outil de suivi des contacts opt-in utilisant la technologie Bluetooth. Il pourrait aider les responsables de la santé publique à suivre la propagation du Covid-19.

Le nouvel outil apporterait non seulement l'espoir d'une fin plus rapide à la pandémie, mais également une foule de problèmes de confidentialité et de sécurité.

Le site Vox.com nous décrit comment est construit ce système et comment il fonctionnerait,  

L'outil aurait le journal de votre smartphone lorsque vous êtes en contact étroit avec d'autres personnes. Si l'une de ces personnes signale plus tard les symptômes de Covid-19 à une autorité de santé publique, votre téléphone recevra une alerte concernant le diagnostic. Cela fonctionne un peu comme l'échange d'informations de contact avec toutes les personnes que vous rencontrez, sauf que tout est conçu pour être anonyme et automatique.

Une fois équipé de ce nouveau logiciel de recherche de contacts, votre smartphone échangera périodiquement des clés de suivi anonymisées avec des appareils à proximité via Bluetooth.

Le téléphone conserve donc une liste des clés collectées auprès des personnes que vous avez contactées et qui restent sur votre appareil, pas sur un serveur, à moins que vous ne testiez le coronavirus et que vous ne signaliez votre diagnostic.

Si cela se produit, votre téléphone téléchargera alors ces clés sur un serveur qui enverra des alertes aux propriétaires des clés récemment collectées. L'alerte ne révélera pas qui est infecté - dans cet exemple, c'est vous - mais elle partagera des informations sur ce que les personnes à proximité devraient faire ensuite.

Voici les grandes lignes de ce qui est sûr d’être un système de surveillance très complexe axé sur la santé publique.

Ce partenariat sans précédent entre deux géants de la technologie concurrents, qui pourrait changer à jamais la façon dont nos appareils se parlent. (Apple et Google disent que le nouvel outil de recherche de contacts fonctionnera entre les iPhones et les téléphones Android.) L'approche basée sur Bluetooth s'appuie également sur la technologie des balises qui est déjà utilisée dans les environnements de vente au détail - et est déjà une préoccupation pour les défenseurs de la confidentialité. Il faudra du temps pour comprendre les implications en matière de confidentialité et de sécurité de cette nouvelle technologie de suivi des contacts des coronavirus. L'outil commencera à être déployé en mai 2020

Comment l’outil est construit ?

Cet outil n’est pas uniquement créé par Apple et Google. Les deux sociétés construisent un ensemble d'outils, appelé interface de programmation d'applications (API), qui permet aux applications iOS et Android de communiquer entre elles.

Les entreprises s'associent également avec des organisations de santé publique pour créer des applications de recherche des contacts, bien qu'elles n'aient pas encore révélé exactement celles qui participent.

Dans la première phase de la sortie de l'outil, qui commencera vers la mi-mai, Google et Apple proposeront des mises à jour de leurs systèmes d'exploitation mobiles qui permettront aux applications iOS et Android de devenir interopérables. Les entreprises publieront également les API afin que les autorités de santé publique puissent ensuite créer des applications qui prennent en charge le suivi des contacts via Bluetooth via l'échange de clés anonymisées.

Les utilisateurs peuvent choisir de télécharger ces applications, qui seront gratuites et accessibles au public sur l'App Store d'Apple et le Google Play Store. Et encore une fois, ces applications seront construites sur des systèmes d'exploitation mis à jour qui permettent aux iPhones et aux appareils Android de se parler, de sorte que le suivi des contacts ne sera pas restreint si vous êtes près d'une personne qui a un autre type de téléphone. L'ensemble du système est opt-in.

La deuxième phase de l'outil impliquera une autre mise à jour vers iOS et Android qui permettra à l'appareil de diffuser des clés anonymisées via Bluetooth sans avoir besoin d'une application.

Alors qu'Apple et Google disent toujours que les utilisateurs choisissent de diffuser votre clé anonyme, la seule façon de refuser d'avoir cette fonctionnalité sur leur téléphone en premier lieu est de ne pas télécharger du tout la mise à jour logicielle. Cela pourrait ne pas être idéal pour les personnes qui souhaitent mettre à jour leur logiciel mais qui ne veulent pas de cette fonctionnalité dans leurs appareils, mais l'intégrer dans les systèmes d'exploitation des téléphones était nécessaire pour garantir que le système de recherche des contacts puisse fonctionner 24 heures sur 24, plutôt que seulement lorsqu'une application particulière est ouverte.

Quoi qu'il en soit, si quelqu'un teste positif pour le coronavirus, il doit télécharger une application pour informer ses contacts récents qu'il a été exposé. Il est donc prudent de dire que les aspects les plus sensibles du système sont l'opt-in.

«Il s'agit d'une solution plus robuste qu'une API et qui permettrait à davantage de personnes de participer, si elles choisissent de s'y inscrire, ainsi que de permettre une interaction avec un écosystème plus large d'applications et les autorités sanitaires gouvernementales», ont déclaré Apple et Google dans un communiqué de presse.

« La confidentialité, la transparence et le consentement sont de la plus haute importance dans cet effort, et nous sommes impatients de développer cette fonctionnalité en consultation avec les parties prenantes intéressées.» signale aussi cet article de Vox.com.

Pour protéger la confidentialité des utilisateurs, Apple et Google disent qu'ils vont construire ce système tout en gardant l'anonymat des personnes tout au long du processus. C'est parce que les entreprises disent qu'elles ne créeront pas de base de données sur qui a Covid-19 et avec qui ces personnes ont été en contact. Ces informations seront stockées uniquement sur les téléphones des utilisateurs, à l'exception du serveur sur lequel un utilisateur positif au coronavirus télécharge son statut. Les clés cryptographiques sont temporaires et anonymes, actualisées toutes les 15 minutes.

Pendant ce temps, les deux sociétés déclarent qu'elles prévoient de publier des rapports réguliers sur les progrès du programme.

Seules les autorités de santé publique seront autorisées à accéder à l'API pour créer ces applications. Apple et Google n'ont pas répondu à la demande de commentaires sur les autorités de santé publique avec lesquelles ils travaillent ou qui s'attendent à profiter de la nouvelle fonctionnalité, mais il semble qu'elle sera limitée aux seuls organes directeurs. Selon les rumeurs, le National Health Service britannique travaillerait avec les entreprises sur sa propre application.

Apple et Google ont publié des spécifications techniques et d'autres détails sur le projet dans des communiqués de presse. Bien qu'il faudra un certain temps pour passer au crible ces détails, l'annonce de l'outil a certainement attiré l'attention des experts de la confidentialité, qui semblent globalement optimistes quant à la nature anonymisée et décentralisée de ce que Apple et Google construisent.

Comment ça marche, en théorie

Vox nous explique la façon dont l'outil pourrait réellement fonctionner.

Dans leur annonce, Apple et Google ont tracé un scénario hypothétique qui explique bien les grandes lignes du processus de recherche des contacts. Il implique deux personnes nommées Alice et Bob.

Alice et Bob se rencontrent pour la première fois assis sur un banc pour une brève conversation. Parce qu'ils ont installé les nouvelles technologies Apple et Google, leurs téléphones échangent des clés de suivi anonymisées (pensez-y comme des fichiers d'informations de contact avec un identifiant unique au lieu des informations de contact d'une personne). Ces clés indiquent qu'Alice et Bob ont été en contact, et comme ils ont opté pour le système de suivi des contacts Apple et Google, cet échange de clés se produit automatiquement.

Quelques jours plus tard, Bob découvre qu'il a reçu un diagnostic positif de Covid-19 et met à jour une application avec ces informations. Avec l'accord de Bob, l'application envoie ensuite une alerte à toutes les personnes avec lesquelles Bob a échangé des clés au cours des 14 derniers jours. Alice est l'une de ces personnes, donc elle reçoit une notification qu'elle a été en contact avec quelqu'un qui a Covid-19. La notification comprend également des informations sur ce que Alice devrait faire ensuite, comme aller se faire tester elle-même.

Aussi captivants que soient ces dessins, ils représentent un mariage complexe de technologie et de design. Cela ne signifie pas que le système de recherche des contacts ne peut pas fonctionner comme annoncé, mais il existe, jusqu'à présent, un nombre inconnu de mises en garde qui viendront avec son succès potentiel. Un gros obstacle: il faudra une adoption généralisée de la technologie et des applications pour qu'elle soit efficace - au moins 60%, selon une étude. Il y a aussi beaucoup de gens qui n'ont ni smartphone ni savoir-faire pour télécharger et utiliser de nouvelles applications qui ne participeront pas. Et il existe actuellement des problèmes majeurs avec la disponibilité des tests afin que les gens puissent savoir s'ils ont un coronavirus en premier lieu.

Importance de la confidentialité

En annonçant cette nouvelle initiative, Apple et Google ont souligné que les utilisateurs doivent consentir à participer au suivi des contacts, que les applications ne collecteront pas d'informations personnellement identifiables et que les personnes dont le test est positif ne sont identifiées à personne d'autre. Pourtant, des organisations telles que l'American Civil Liberties Union (ACLU) ont soulevé des problèmes de confidentialité concernant ces systèmes de recherche des contacts - qui sont déjà largement utilisés dans d'autres pays tels que la Corée du Sud, la Chine et Singapour.

"À leur crédit, Apple et Google ont annoncé une approche qui semble atténuer les pires risques de confidentialité et de centralisation, mais il y a encore place à amélioration", a écrit vendredi Granick, avocat de la surveillance et de la cybersécurité de l'ACLU, dans un communiqué publié vendredi. «Nous resterons vigilants à l'avenir pour nous assurer que toute application de recherche de contrats reste volontaire et décentralisée, et utilisée uniquement à des fins de santé publique et uniquement pendant la durée de cette pandémie.»

Et c'est une autre question qui se profile: combien de temps Apple et Google laisseront-ils ces outils de recherche de contacts intégrés dans leurs systèmes d'exploitation mobiles? Après tout, si cette technologie peut être utilisée pour suivre avec qui vous avez été en contact, il semble possible qu'elle puisse également être cooptée à des fins commerciales ou même pour la surveillance du gouvernement. Comme Bennett Cyphers, technologue du personnel de l'Electronic Frontier Foundation, a déclaré à Recode: "Nous ne voulons pas que quoi que ce soit soit intégré dans le système d'exploitation qui soit activé à jamais."

Il y a aussi des questions sur la précision de Bluetooth. Certains craignent que Bluetooth puisse produire des correspondances faussement positives, mais on ne sait pas encore exactement comment Apple et Google mettront en œuvre les fonctionnalités de proximité de la technologie Bluetooth LE. D'autres ont exprimé des inquiétudes concernant la précision de localisation des applications mobiles de recherche des contacts en général. De plus, pour que l'outil soit le plus efficace, une pluralité de personnes doit choisir de l'utiliser. Le grand test de la réussite de ce projet sera la généralisation de l’adoption de cet outil de recherche des contacts, et si cela sera suffisant pour influer de manière significative sur le cours de la trajectoire de cette pandémie.

ll y a encore beaucoup de choses que nous ne savons pas sur la façon dont l'outil Apple-Google fonctionnera dans la pratique. Nous en apprendrons davantage dans les semaines à venir, une fois que les entreprises auront déployé les API et que les autorités de santé publique auront commencé à publier des applications de recherche des contacts. Mais quels que soient les inconvénients potentiels, cet outil représente l'un des partenariats public-privé les plus ambitieux de l'histoire récente. C'est le début d'un nouvel avenir où les entreprises technologiques injectent leurs ressources dans une crise de santé publique, non seulement en exploitant leur pouvoir de manière formidable, mais en soulevant également des questions sur la façon dont ce pouvoir changera la société pour les années à venir.

Quelles comparaisons avec le traçage en Corée du Sud ou en Israël ?

Pendant la pandémie de Covid-19, Séoul a choisi une stratégie de traçage systématique des personnes infectées via les informations de géolocalisation des téléphones. Un compromis accepté par la population, qui garde sa liberté de circuler. Seules les personnes contaminées par le Covid-19 doivent révéler aux autorités leurs récents déplacements.

Alertes sonores sur smartphone, tableaux sur les sites Internet des collectivités locales, l’information issue du traçage des personnes contaminées au Covid-19 est accessible à tous en Corée du Sud. Ainsi, comme nous le rappelle cet article du Monde, n’importe qui peut lire sur le site de l’arrondissement de Seocho, à Séoul, que le contaminé numéro 23, hospitalisé le 30 mars, habite le quartier de Banpo 2-dong. Il se trouvait dans un magasin Paris Baguette, le 28 mars, entre 13 heures et 13 h 02, « avec un masque et sans avoir eu de contacts », ou dans des bureaux d’agences immobilières du bâtiment, Banpozai Plaza, entre 13 h 14 et 14 h 02.

Cette précision et cette diffusion généralisée peuvent inquiéter, tant ces informations relèvent de la vie privée. Ce traçage a ainsi pu révéler des moments embarrassants, comme ce cas passé dans un « love hôtel », qui a été mentionné par les autorités dans son bilan public.

L’obligation pour toute personne arrivant de l’étranger de télécharger une application permettant de contrôler le respect des quatorze jours de quarantaine peut aussi incommoder. D’après une étude réalisée, début mars, par la faculté de santé publique de l’université de Séoul, la crainte d’être la cible de stigmatisation en cas d’infection préoccuperait davantage les Sud-Coréens que celle d’attraper le virus.

En ce qui concerne Israël, le Premier Ministre français, Édouard Philippe s’intéresse à son traçage “volontaire”, via les téléphones portables. Ce procédé, utilisé dans certains pays comme Singapour et surtout Israël, est pour l’instant interdit en France pour des questions de protection des libertés individuelles.

Le Premier Ministre voudrait s’inspirer de l’exemple du gouvernement israélien qui a financé des applications mobiles pour vaincre le virus à dose d’algorithmes. L’une d’entre elles, explore la possibilité de détecter les cas infectieux avec le son de la voix.

“On pourrait peut-être, sur le fondement d’un engagement volontaire, utiliser ces méthodes pour mieux tracer la circulation du virus et les contacts réalisés par chacun mais nous n’avons pas d’instrument légal”, a ajouté le chef du gouvernement en visioconférence.

“Un tracking volontaire, c’est une question qui est à ce stade encore ouverte”, a-t-il ajouté.

Atlantico :Si ce système doit permettre de renforcer l'efficacité des applications gouvernementales, comment les deux géants de la tech entendent-ils porter assistances aux Etats ? Et quand est-ce que ce système pourra- t-il voir le jour ? 

Jean-Paul Pinte : Dans l’essai de la résolution de la pandémie Apple et Google ont pris l’Europe de vitesse.

Leur but est d’aider les gouvernements et les agences de santé à réduire la propagation du virus, en intégrant la confidentialité et la sécurité des utilisateurs au cœur de la conception ».

Partout dans le monde peut-on lire sur le site de Google, les gouvernements et les autorités sanitaires unissent leurs forces pour trouver des solutions à la pandémie de COVID-19, veiller à la protection des personnes et permettre une reprise normale de l’activité.

Les équipes de développeurs de logiciel contribuent à ces efforts en concevant des outils techniques qui aident à combattre le virus et à sauver des vies. Dans cet esprit de collaboration, Google et Apple annoncent travailler ensemble pour permettre l’usage de la technologie Bluetooth afin d’aider les gouvernements et les agences de santé à réduire la propagation du virus, avec au coeur de la conception la confidentialité et la sécurité des utilisateurs.

En effet Apple et Google couvrent à elles-deux la quasi-totalité des Smartphones français.

C’est pour ces deux sociétés un moyen de reconcilier les Smartphones Androïd et les IPhone.

Le sujet de l'utilisation des données personnelles est plus que sensible, après plusieurs scandales qui ont éclaboussé aussi bien les réseaux sociaux que des institutions fédérales comme la NSA (Agence de sécurité nationale).

Compte tenu de l'urgence de la situation, l’objectif est de mettre en œuvre cette solution en deux étapes tout en conservant des protections fortes concernant la vie privée des utilisateurs.  

Dans un premier temps, en mai, les deux sociétés lanceront des API permettant l’interopérabilité entre appareils Android et iOS utilisant des apps provenant des autorités de santé. Ces apps officielles pourront être téléchargées par les utilisateurs via leurs app stores respectifs.

Dans un deuxième temps, au cours des mois à venir, Apple et Google vont travailler à la mise en place d’une plateforme plus large de traçage des contacts basée sur le Bluetooth en intégrant cette fonctionnalité aux plateformes sous-jacentes. Cette solution, plus robuste qu'une API, permettrait non seulement la participation d’un plus grand nombre de personnes, sur la base du volontariat, mais aussi l'interaction d’un écosystème d'apps plus étendu avec les autorités sanitaires gouvernementales. Le respect de la vie privée, la transparence et le consentement sont de la plus haute importance dans cette initiative, et nous nous réjouissons de prendre en charge ces aspects en collaboration avec les parties prenantes concernées. Nous publierons de façon ouverte des informations sur nos travaux afin que d'autres puissent les analyser. (Source : Apple.com)

Atlantico : Google et Apple ont tout de suite annoncé qu'ils feraient très attention aux questions de vies privées et de données personnelles, notamment en activant cette possibilité de traçage uniquement pour les utilisateurs qui le souhaiteront. Mais peut-on réellement en être sûr ? Comment garantir que les données soient uniquement utilisées à des fins sanitaires ? 

Jean-Paul Pinte : Nul ne peut garantir,  comme dans la plupart des développements, que des données privées et personnelles ne feront pas l’objet de fuites ou de vols  même si la  question de la confidentialité et de la protection des données personnelles est un enjeu majeur de ce projet pour ces deux grands de la technologie.

Sur le site Blogdumoderateur.com on peut lire que la question de la protection des données personnelles des utilisateurs est au cœur des interrogations suscitées par ce projet.

Pour tenter d’y répondre, Google et Apple ont expliqué les contours de leur outil. La solution qu’ils sont en train de développer comprendra « des interfaces de programmation d’applications (API) et une technologie au niveau du système d’exploitation pour aider à activer le suivi des contacts ». Son usage se fera sur la base du volontariat. L’outil n’utilisera pas les données GPS et le consentement explicite de l’utilisateur sera requis.

Concrètement, toujours selon ce blog, lorsque deux utilisateurs ou plus entreront en contact physique, leurs téléphones utiliseront le BLE pour transmettre un identifiant aléatoire et anonyme aux appareils situés à proximité. Ces identifiants changeront toutes les 15 minutes pour empêcher le suivi sans fil d’un appareil. Lorsqu’une personne infectée signalera au système qu’elle a été testée positive, son téléphone contactera un serveur central et téléchargera ses identifiants au cours des 14 derniers jours. Les utilisateurs non infectés chargeront des clés de suivi quotidiennes, qui leur permettront de savoir si elles sont entrées en contact avec les patients atteints du virus.

Google et Apple assurent que toutes les données collectées seront traitées sur l’appareil et ne quitteront pas le téléphone d’un utilisateur, à moins que celui-ci ne choisisse de les partager. La solution ne sera utilisée que pour la recherche de contacts par les autorités de santé publique dans le cadre de la gestion de la pandémie du Covid-19. Les données seront relayées via des serveurs gérés directement par les organisations de santé et seront décentralisées, afin d’éviter toute surveillance massive des utilisateurs.

Des failles possibles sont néanmoins possibles dans le système

À la suite de cette communication des deux groupes, de nombreux experts de la sécurité n’ont pas tardé à pointer les failles possibles du système. Dans une série de tweets, Moxie Marlinspike, développeur et créateur de la messagerie cryptée Signal, a relevé un problème majeur dans le fonctionnement de l’outil, notamment au niveau des données qui vont transiter dans les smartphones des utilisateurs.

Les clés publiées font 16 octets, une pour chaque jour. Si un nombre modéré d’utilisateurs de smartphones sont infectés au cours d’une semaine donnée, cela représente des centaines de Mo pour tous les téléphones. Cela semble intenable. Donc, pour être utilisables, les clés publiées devraient probablement être livrées de manière plus « ciblée », ce qui signifie probablement… des données de localisation.

Le site Village Justice nous éclaire aussi sur le traitement des données personnelles dans le cadre du Covid-19.

Enfin, dans le contexte de crise sanitaire liée au coronavirus, particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus, et sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNIL rappelle ici quelques principes dont l'évolution peut être suivie au fur et à mesure des évènements et des avancées.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !