Le signal Bluetooth au cœur du dispositif

On a réellement compris le potentiel des smartphones, lorsqu’Apple et Google ont annoncé qu’ils prévoyaient de légères modifications de leurs systèmes d’exploitation respectifs en raison du COVID-19. Ces modifications apportées aux deux systèmes d’exploitation permettront à une appli spéciale de diffuser un signal Bluetooth. Les autres téléphones à proximité pourront alors détecter ce signal (et sa puissance) pour mesurer la portée du contact et la proximité entre les deux propriétaires d’appareils.

Une fois que l’appareil A a détecté l’appareil B et que les deux appareils restent quelque temps à moins de 2 mètres l’un de l’autre, l’événement est enregistré. C’est là que les options divergent selon les technologies. Celles-ci déterminent le niveau d’anonymat des données, qui les conserve et qui les traite par la suite. Il existe même une série d’étapes mises en place dès qu’une infection soit signalée et que le processus de notification soit déclenché. Ces différences auront un fort impact sur la vie privée des individus et le degré d’intrusion de ces applications.

De nombreuses applications utiliseront cette fonctionnalité Bluetooth, actuellement développée en partenariat par les gouvernements, entreprises privées et autorités de santé. Parmi cette liste non exhaustive, on compte le projet DP3T et le consortium européen de protection de la proximité préservant la confidentialité (PEPP-PT).

Le cas de StopCOVID, l’appli de traçage qui arrive en France

Les pays se précipitent pour développer des applis permettant d’évaluer le risque de contamination d’une personne à une autre et d’isoler ainsi qui pourrait répandre le virus. En France, le nombre de cas confirmés de coronavirus dépasse aujourd’hui les 140 000. Le gouvernement a voté en faveur du lancement de sa nouvelle application de traçage pour suivre les personnes infectées par le COVID-19.
Nommée StopCOVID, l’application vise à suivre les personnes testées positives au coronavirus, afin de ralentir sa progression. Selon les autorités françaises, l’application devrait pouvoir être déployée le 2 juin.

Elle génèrera un identifiant numérique anonyme, échangé via Bluetooth avec les autres téléphones mobiles qui ont aussi installé l’application. Si quelqu’un est testé positif quelque temps plus tard, ces identifiants numériques sont signalés, de façon anonyme. Toute personne ayant croisé la personne positive devra alors être confinée.

On comprend mieux les différentes approches lorsque l’on compare l’approche Apple/Google et celle prise par le gouvernement français. L’approche suivie par Apple et Google favorise un modèle de recueil de données décentralisé, qui minimise les informations pour limiter l’intrusion dans la vie privée des utilisateurs. En revanche, celle du gouvernement français est centralisée et repose lourdement sur le recueil de données pour contribuer - selon l’argument avancé - à mieux identifier les foyers d’infection et endiguer le virus, mais au prix d’un programme de recueil de données bien plus intrusif. Jusqu’ici, les géants de la Silicon Valley ont refusé de céder aux exigences du gouvernement français et de leur fournir l’accès aux signaux Bluetooth. La France a dû se débrouiller toute seule, au prix de défauts technologiques probables voire même de failles de sécurité.

5 questions à se poser avant d’installer une appli de traçage

La situation évolue si rapidement que l’on vous conseille de vous poser les questions suivantes avant d’installer toute application de traçage sur votre téléphone :
1. L’application est-elle basée sur le volontariat (opt-in) ou son installation est-elle rendue obligatoire ? Avez-vous le choix d’installer ces applications et cette technologie de traçage sur votre appareil, ou s’agit-il d’une décision obligatoire ? En Corée du Sud et à Singapour – deux pays précurseurs en technologies de traçage – leur installation était facultative.
2. Qui détient les données ? Les données Bluetooth sont-elles détenues sur l’appareil jusqu’à ce qu’on les demande ou sont-elles stockées sur un serveur central ? Peuvent-elles être vendues ou utilisées par des organismes externes ?
3. Est-on réellement anonyme ? Les applications individuelles peuvent opérer le processus de contact et de traçage de plusieurs manières. Il existe un risque que l’anonymisation des données puisse être inversée pour les « personnaliser » à nouveau et identifier les individus si nécessaire.
4. Qui examine le code source ? La ruée pour lancer ces applications de traçage permet aux entreprises de passer outre l’examen permettant de détecter les vulnérabilités et problèmes de sécurité. C’est problématique car une application pourrait incorporer une gamme de technologies de traçage qui aillent au-delà du simple Bluetooth.
5. Une fois que cette application a accédé à ma vie privée, puis-je la récupérer ? Ces nouvelles modifications Bluetooth apportées aux systèmes d’exploitation Android et iOS, seront-elles supprimées lorsque le virus aura disparu ? Les défenseurs du droit à la vie privée, comme l’EFF, craignent que ce ne soit pas le cas, à l’image du recueil de masse des métadonnées des téléphones aux États-Unis.

Même les applications les mieux conçues pourraient simplement ne pas marcher. L’Université d’Oxford estime qu’il faudrait que près de 80 % des propriétaires de smartphones utilisent une application de traçage pour que ce système soit efficace. Et c’est un niveau difficile à atteindre sans rendre la mesure obligatoire ni miser sur une bonne communication. En raison du manque de tests dans de nombreuses zones, développer une application de traçage pourrait revenir à fermer la porte du garage à clé après que la voiture ait été volée…