L’appli corona française entend contourner la confidentialité intégrée à l’iPhone

© Belga Image
Els Bellens

La France a entamé des négociations avec Apple pour que l’entreprise autorise l’appli de traçage de contacts choisie par le gouvernement à tourner en arrière-plan. L’appli ne répond cependant pas aux exigences de respect de la vie privée prévues par Apple pour ce genre d’applications.

Les Français préparent depuis quelque temps déjà une appli corona, encore appelée appli de traçage de contacts, mais ils se heurtent à présent à un obstacle technologique: leur appli veut, via le smartphone des utilisateurs, collecter davantage d’informations que ce qu’Apple et Google autorisent. Les négociations entre le gouvernement français et Apple peuvent devenir un cas type pour beaucoup d’autres applis ciblées par des autorités.

Traçage de contacts

L’idée sous-jacente au traçage de contacts, c’est que vous sachiez si vous avez été en contact rapproché avec une personne contaminée. Quelqu’un qui a été ainsi en contact avec une telle personne, peut ainsi s’isoler et se faire tester plus rapidement. En combinaison avec suffisamment de tests et de mesures de précaution, cela pourrait endiguer la propagation du virus, comme l’espèrent les experts.

Plusieurs organisations préparent ce genre d’appli de traçage de contacts. Apple et Google ont introduit conjointement des outils permettant aux autorités de créer une appli, qui fonctionne sur les deux systèmes d’exploitation mobiles les plus utilisés: iOS et Android. Ces géants technologiques ont cependant prévu des conditions pour l’utilisation de ces outils. C’est ainsi que les applis en question doivent être utilisées sur une base volontaire et ne peuvent collecter de données personnelles. La méthode préconisée par Apple et Google repose sur la norme décentralisée DP-3T et exploite les signaux et jetons (tokens) Bluetooth. L’appli doit être conçue de telle façon que ses auteurs ne puissent apposer aucun nom à quiconque se trouve derrière les jetons et ne puissent donc pas savoir où une personne se trouvait et avec qui. L’idée sous-jacente est de garantir le respect de la vie privée des utilisateurs, mais aussi d’accroître la confiance dans l’appli, afin que de plus en plus de personnes acceptent de l’utiliser.

Robert

L’institut français Inria, qui développe l’appli StopCovid, utilise cependant un autre système: Robert. Ce dernier est stimulé par le projet Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) et utilise un serveur central, sur lequel tous les jetons sont collectés. Dans ce système, il serait possible pour le gestionnaire du serveur d’identifier les personnes qui utilisent l’appli, et de vérifier leurs contacts. Le système pourrait donc offrir aux autorités un contrôle supplémentaire et constituer une atteinte plus importante au respect de la vie privée qu’un système décentralisé.

Ce qui pose problème à Inria, c’est que l’iPhone intègre un système de confidentialité qui bloque l’utilisation de ce genre d’appli en toile de fond. Quiconque utiliserait l’appli StopCovid, devrait par conséquent la faire tourner tout le temps à l’avant-plan, ce qui ne serait pas vraiment pratique, parce que les utilisateurs seraient alors limités au niveau de ce qu’ils peuvent faire avec leur smartphone. “Nous demandons à Apple de supprimer l’obstacle technologique pour nous permettre de créer une solution sanitaire européenne propre qui réponde à notre système de soins”, déclare Cedric O, le ministre français de la numérisation, à l’agence Bloomberg.

Encore ces deux protocoles

A la base des problèmes, il y a deux visions différentes de la façon dont il convient d’aborder le respect de la vie privée dans ce genre d’appli de traçage de contacts. Inria, qui prépare l’appli française, et l’institut Fraunhofer, qui est dans la course pour faire de même en Allemagne, sont tous deux membres du PEPP-PT, qui négocie avec divers pouvoirs publics à propos de la création d’applis de traçage de contacts. Leur système, Robert, entend devenir une norme pour nombre d’applis nationales et repose dans ce but sur une base de données de jetons (tokens) centrale. Les spécifications techniques du Robert se trouvent sur Github et émanent d’une autorité centrale (le gouvernement ou les instances sanitaires) qui gère le serveur, où se trouvent tous les jetons, et qui doit garantir le respect de la vie privée de tout un chacun dans le projet. Pour les personnes qui ne font pas confiance aux pouvoirs publics ou qui ne croient pas que la sécurité de ce serveur central soit parfaitement étanche, ce n’est pas là le meilleur projet. Un nombre important de scientifiques plaidait hier encore en faveur d’une solution décentralisée, précisément par crainte pour la confidentialité des utilisateurs.

Inria signale qu’un serveur central est plus facile à sécuriser et constitue donc une solution plus sûre, alors que les adeptes de la solution décentralisée croient que leur système offre davantage de garanties contre les abus et failles sécuritaires. L’approche qui sera finalement choisie, pourrait impacter toute une série d’applis nationales, qui seront déployées dans les semaines et mois à venir.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire