Samedi 19 Septembre 2020

Les plus grandes questions sur Apple et le nouveau traqueur de coronavirus de Google


Vendredi, Google et Apple se sont associés pour un ambitieux projet d'urgence, établissant un nouveau protocole pour suivre l'épidémie de coronavirus en cours. C’est un projet urgent et complexe, aux implications énormes pour la vie privée et la santé publique. Des projets similaires ont été couronnés de succès à Singapour et dans d'autres pays, mais il reste à voir si les agences de santé publique des États-Unis seraient en mesure de gérer un tel projet - même avec les plus grandes sociétés de technologie du monde.
Nous avons couvert les grandes lignes du projet ici, mais il y a beaucoup plus à creuser - à commencer par les documents techniques publiés par les deux sociétés. Ils révèlent beaucoup de choses sur ce qu'Apple et Google essaient réellement de faire avec ces données sensibles, et sur où le projet échoue. Nous avons donc plongé dans ces dossiers et essayé de répondre aux douze questions les plus pressantes, en commençant par le début absolu:

Qu'est-ce que cela fait?

Lorsqu'une personne tombe malade d'une nouvelle maladie comme le coronavirus de cette année, les agents de santé publique tentent de contenir la propagation en recherchant et en mettant en quarantaine toutes les personnes avec lesquelles la personne infectée a été en contact. C'est ce qu'on appelle la recherche des contacts, et c'est un outil essentiel pour contenir les épidémies.
Le système enregistre les points de contact sans utiliser les données de localisation
Essentiellement, Apple et Google ont construit un système automatisé de recherche des contacts. Il est différent de la recherche de contacts conventionnelle et probablement plus utile lorsqu'il est combiné avec des méthodes conventionnelles. Plus important encore, il peut fonctionner à une échelle beaucoup plus grande que la recherche de contacts conventionnelle, ce qui sera nécessaire compte tenu de la propagation de l'épidémie dans la plupart des pays. Étant donné qu'elles proviennent d'Apple et de Google, certaines de ces fonctionnalités seront également intégrées à Android et iPhones au niveau du système d'exploitation. Cela rend cette solution technique potentiellement disponible pour plus de trois milliards de téléphones dans le monde, ce qui serait impossible autrement.
Il est important de noter que ce sur quoi Apple et Google travaillent ensemble est un cadre et non une application. Ils s'occupent de la plomberie et garantissent la confidentialité et la sécurité du système, mais laissent la construction des applications réelles qui l'utilisent à d'autres.

Les plus grandes questions sur Apple et le nouveau traqueur de coronavirus de Google

Comment ça marche?

En termes de base, ce système permet à votre téléphone d'enregistrer d'autres téléphones qui se trouvent à proximité. Tant que ce système fonctionne, votre téléphone diffusera périodiquement un petit morceau de code unique et anonyme, dérivé de l'ID unique de ce téléphone. Les autres téléphones à portée reçoivent ce code et s'en souviennent, créant un journal des codes qu'ils ont reçus et quand ils les ont reçus.

Lorsqu'une personne utilisant le système reçoit un diagnostic positif, elle peut choisir de soumettre son code d'identification à une base de données centrale. Lorsque votre téléphone vérifie avec cette base de données, il exécute une analyse locale pour voir si l'un des codes de son journal correspond aux ID de la base de données. En cas de correspondance, vous recevez une alerte sur votre téléphone vous informant que vous avez été exposé.
C'est la version simple, mais vous pouvez déjà voir à quel point ce type de système pourrait être utile. En substance, il vous permet d'enregistrer des points de contact (c'est-à-dire exactement ce dont les traceurs de contact ont besoin) sans collecter de données de localisation précises et en ne conservant que des informations minimales dans la base de données centrale.

Comment soumettez-vous que vous avez été infecté?

Les documents publiés sont moins détaillés sur ce point. Il est supposé dans la spécification que seuls les fournisseurs de soins de santé légitimes seront en mesure de soumettre un diagnostic, afin de garantir que seuls les diagnostics confirmés génèrent des alertes. (Nous ne voulons pas que des trolls et des hypocondriaques inondent le système.) Il n'est pas entièrement clair comment cela se produira, mais cela semble être un problème résoluble, qu'il soit géré via l'application ou une sorte d'authentification supplémentaire avant qu'une infection ne soit enregistrée de manière centralisée.

Comment le téléphone envoie-t-il ces signaux?

La réponse courte est: Bluetooth. Le système fonctionne avec les mêmes antennes que vos écouteurs sans fil, bien qu'il s'agisse de la version Bluetooth Low Energy (BLE) de la spécification, ce qui signifie qu'il ne déchargera pas votre batterie de manière aussi notable. Ce système particulier utilise une version du système BLE Beacon qui est utilisée depuis des années, modifiée pour fonctionner comme un échange de code bidirectionnel entre les téléphones.

Jusqu'où le signal atteint-il?

Nous ne savons pas encore vraiment. En théorie, BLE peut enregistrer des connexions jusqu'à 100 mètres, mais cela dépend beaucoup des paramètres matériels spécifiques et il est facilement bloqué par les murs. La plupart des utilisations les plus courantes du BLE - comme le jumelage d'un étui AirPods avec votre iPhone - ont une portée efficace qui se rapproche de six pouces. Les ingénieurs du projet sont optimistes quant à la possibilité de modifier la plage au niveau du logiciel grâce au «seuillage» - essentiellement, en rejetant les signaux de faible intensité - mais comme il n'y a pas encore de logiciel réel, la plupart des décisions pertinentes doivent encore être prises.
Dans le même temps, nous ne savons pas exactement quelle est la meilleure portée pour ce type d'alerte. Les règles de distanciation sociale recommandent généralement de rester à six pieds des autres en public, mais cela pourrait facilement changer à mesure que nous en apprendrons davantage sur la propagation du nouveau coronavirus. Les responsables se méfieront également d'envoyer tellement d'alertes que l'application devient inutile, ce qui pourrait rendre la gamme idéale encore plus petite.

C'est donc une application?

Sorte de. Dans la première partie du projet (qui devrait être terminée à la mi-mai), le système sera intégré aux applications de santé publique officielles, qui enverront les signaux BLE en arrière-plan. Ces applications seront construites par des agences de santé au niveau de l'État et non par des entreprises de technologie, ce qui signifie que les agences seront en charge de nombreuses décisions importantes sur la manière d'informer les utilisateurs et de recommander quoi qu'une personne ait été exposée.
À terme, l'équipe espère intégrer cette fonctionnalité directement dans les systèmes d'exploitation iOS et Android, comme un tableau de bord natif ou une bascule dans le menu Paramètres. Mais cela prendra des mois, et cela incitera toujours les utilisateurs à télécharger une application de santé publique officielle s'ils ont besoin de soumettre des informations ou de recevoir une alerte.

Est-ce vraiment sûr?

Surtout, il semble que la réponse soit oui. Sur la base des documents publiés vendredi, il sera assez difficile de revenir à des informations sensibles basées uniquement sur les codes Bluetooth, ce qui signifie que vous pouvez exécuter l'application en arrière-plan sans vous soucier de compiler quoi que ce soit potentiellement incriminant. Le système lui-même ne vous identifie pas personnellement et n'enregistre pas votre position. Bien sûr, les applications de santé qui utilisent ce système devront éventuellement savoir qui vous êtes si vous souhaitez télécharger votre diagnostic auprès des autorités sanitaires.

Les pirates pourraient-ils utiliser ce système pour faire une grande liste de tous ceux qui ont eu la maladie?

Ce serait très difficile, mais pas impossible. La base de données centrale stocke tous les codes envoyés par des personnes infectées alors qu'elles étaient contagieuses (c'est ce contre quoi votre téléphone vérifie), et il est tout à fait plausible qu'un mauvais acteur puisse obtenir ces codes. Les ingénieurs ont fait du bon travail en veillant à ce que vous ne puissiez pas travailler directement de ces codes à l'identité d'une personne, mais il est possible d'envisager certains scénarios dans lesquels ces protections tomberaient en panne.
  
    
    
      
        
    
  
  
    
      
        Un diagramme du livre blanc de cryptographie, expliquant les trois niveaux de clé
  

Pour expliquer pourquoi, nous devons être un peu plus techniques. La spécification de cryptographie définit trois niveaux de clés pour ce système: une clé principale privée qui ne quitte jamais votre appareil, une clé de suivi quotidienne générée à partir de la clé privée, puis la chaîne des «ID de proximité» générés par la clé quotidienne. Chacune de ces étapes est effectuée via une fonction unidirectionnelle robuste sur le plan cryptographique - vous pouvez donc générer une clé de proximité à partir d'une clé quotidienne, mais pas l'inverse. Plus important encore, vous pouvez voir quelles clés de proximité provenaient d'une clé quotidienne spécifique, mais uniquement si vous commencez avec la clé quotidienne en main.
Le journal de votre téléphone est une liste d'ID de proximité (le niveau de clé le plus bas), ils ne sont donc pas très bien par eux-mêmes. Si vous testez positif, vous partagez encore plus, affichant les clés quotidiennes pour chaque jour où vous étiez contagieux. Étant donné que ces clés quotidiennes sont désormais publiques, votre appareil peut faire le calcul et vous dire si l'un des ID de proximité dans votre journal provient de cette clé quotidienne; s'ils l'ont fait, cela génère une alerte.
Comme le fait remarquer le cryptographe Matt Tait, cela conduit à une réduction significative de la confidentialité pour les personnes testées positives sur ce système. Une fois que ces clés quotidiennes sont publiques, vous pouvez savoir quels ID de proximité sont associés à un ID donné. (N'oubliez pas, c'est ce que l'application est censée faire pour confirmer l'exposition.) Bien que des applications spécifiques puissent limiter les informations qu'elles partagent et je suis sûr que tout le monde fera de son mieux, vous êtes désormais en dehors des protections strictes du chiffrement. Il est possible d’imaginer une application malveillante ou un réseau de détection Bluetooth qui collecte à l’avance les identifiants de proximité, les connectant à des identités spécifiques et les corrélant ensuite à des clés quotidiennes extraites de la liste centrale. Ce serait difficile à faire et ce serait encore plus difficile à faire pour chaque personne sur la liste. Même alors, tout ce que vous obtiendrez du serveur, ce sont les 14 derniers jours de codes. (C'est tout ce qui est pertinent pour le suivi des contacts, donc c'est tous les magasins de bases de données centrales.) Mais ce ne serait pas carrément impossible, ce qui est généralement ce que vous recherchez en cryptographie.
Pour résumer: il est difficile de garantir absolument l'anonymat d'une personne si elle partage qu'elle a été testée positive grâce à ce système. Mais pour la défense du système, c’est une garantie difficile à fournir en toutes circonstances. Dans le cadre de l'éloignement social, nous limitons tous nos contacts personnels. Par conséquent, si vous apprenez que vous avez été exposé un jour donné, la liste des vecteurs potentiels sera déjà assez courte. Ajoutez la quarantaine et parfois l'hospitalisation qui accompagnent un diagnostic COVID-19, et il est très difficile de garder l'intimité médicale complètement intacte tout en avertissant les personnes qui peuvent avoir été exposées. À certains égards, ce compromis est inhérent au suivi des contacts. Les systèmes techniques ne peuvent que l'atténuer.
De plus, la meilleure méthode de recherche de contacts que nous avons actuellement implique que les humains vous interviewent et demandent avec qui vous avez été en contact. Il est pratiquement impossible de créer un système de suivi des contacts complètement anonyme.

Google, Apple ou un pirate informatique pourraient-ils l'utiliser pour savoir où je me suis rendu?

Seulement dans des circonstances très spécifiques. Si quelqu'un recueille vos identifiants de proximité et que votre test est positif et que vous décidez de partager votre diagnostic et qu'ils effectuent tout le rigamarole décrit ci-dessus, ils pourraient potentiellement l'utiliser pour vous relier à un emplacement spécifique où vos identifiants de proximité ont été repérés dans la nature.
Mais il est important de noter que ni Apple ni Google ne partagent des informations qui pourraient vous placer directement sur une carte. Google possède une grande partie de ces informations et la société les a partagées à un niveau agrégé, mais elles ne font pas partie de ce système. Google et Apple savent peut-être où vous êtes déjà, mais ils ne connectent pas ces informations à cet ensemble de données. Ainsi, alors qu'un attaquant pourrait être en mesure de revenir sur ces informations, il finirait par en savoir moins que la plupart des applications de votre téléphone.

Quelqu'un pourrait-il utiliser cela pour savoir avec qui j'ai été en contact?

Ce serait beaucoup plus difficile. Comme mentionné ci-dessus, votre téléphone conserve un journal de tous les identifiants de proximité qu'il reçoit, mais la spécification indique clairement que le journal ne doit jamais quitter votre téléphone. Tant que votre journal spécifique reste sur votre appareil spécifique, il est protégé par le même chiffrement de l'appareil qui protège vos SMS et e-mails.
Même si un mauvais acteur a volé votre téléphone et a réussi à briser cette sécurité, tout ce qu'ils auraient, ce sont les codes que vous avez reçus, et il serait très difficile de comprendre de qui ces clés provenaient à l'origine. Sans clé de travail quotidienne, ils n'auraient aucun moyen clair de corréler un ID de proximité à un autre, il serait donc difficile de distinguer un seul acteur dans le gâchis des trackers Bluetooth, encore moins de savoir qui rencontrait qui. Et surtout, la cryptographie robuste rend impossible de dériver directement la clé quotidienne associée ou le numéro d'identification personnel associé.

Et si je ne veux pas que mon téléphone fasse ça?

N'installez pas l'application, et lorsque les systèmes d'exploitation seront mis à jour au cours de l'été, laissez simplement le paramètre «suivi des contacts» désactivé. Apple et Google insistent sur le fait que la participation est volontaire, et à moins que vous ne preniez des mesures proactives pour participer au suivi des contacts, vous devriez pouvoir utiliser votre téléphone sans vous impliquer du tout.

S'agit-il simplement d'un système de surveillance déguisé?

C'est une question délicate. Dans un sens, la recherche de contacts est une surveillance. Le travail de santé publique est plein de surveillance médicale, tout simplement parce que c'est le seul moyen de trouver des personnes infectées qui ne sont pas assez malades pour aller voir un médecin. L'espoir est que, compte tenu des dommages catastrophiques déjà causés par la pandémie, les gens seront prêts à accepter ce niveau de surveillance comme une mesure temporaire pour endiguer la propagation du virus.
Une meilleure question est de savoir si ce système effectue une surveillance de manière équitable ou utile. Il est très important que le système soit volontaire, et il importe beaucoup qu'il ne partage pas plus de données que nécessaire. Pourtant, tout ce que nous avons en ce moment est le protocole, et il reste à voir si les gouvernements vont essayer de mettre en œuvre cette idée d'une manière plus invasive ou dominante.
Au fur et à mesure que le protocole sera implémenté dans des applications spécifiques, il y aura beaucoup de décisions importantes sur la façon dont il sera utilisé et la quantité de données collectées en dehors de celui-ci. Les gouvernements prendront ces décisions, et ils peuvent les prendre mal - ou pire, ils peuvent ne pas les prendre du tout. Donc, même si vous êtes enthousiasmé par ce qu'Apple et Google ont présenté ici, ils ne peuvent que lancer la balle - et il y a beaucoup à dire sur ce que les gouvernements font après l'avoir attrapé.