[ad_1]
Les applications mobiles de « contact tracing » n’enchantent pas les experts en sécurité informatique, c’est le moins qu’on puisse dire. Alors que le gouvernement français devrait bientôt donner des précisions sur StopCovid à l’occasion d’un débat parlementaire, plus de 140 cryptographes et chercheurs en sécurité informatique viennent de signer une lettre ouverte pour alerter sur les risques d’une telle solution. « L’objectif est d’attirer l’attention des pouvoirs publics. Ces technologies ne sont pas anodines, il ne faut pas réagir dans l’urgence », nous explique Olivier Blazy, maître de conférences à l’université de Limoges, qui a participé à la rédaction de cette lettre.
Les signataires n’entrent pas dans le débat qui a agité le milieu des cryptographes ces dernières semaines, à savoir s’il faut choisir entre une architecture centralisée ou décentralisée. « Toutes les solutions présentent des risques pour la protection des données personnelles. Elles sont toutes mauvaises », estime Olivier Blazy.
Dans le cas de l’architecture centralisée — qui est actuellement celle retenue pour StopCovid — c’est à l’État qu’il faut faire confiance. C’est lui qui crée les identifiants uniques pour les utilisateurs. En recoupant ces informations avec d’autres données, il serait possible de les déanonymiser en masse. « Des mesures de sécurité seront certainement implémentées, mais on ne les connaît pas. La CNIL a finalement livré un avis en temps record sur un projet qui n’est pas finalisé », déplore Olivier Blazy.
Mais l’architecture décentralisée présente aussi des risques non négligeables. Dans un tel système, les identifiants des personnes malades sont diffusés à tous les utilisateurs. « Le voisin que vous avez croisé peut donc, dans certaines conditions, savoir si vous avez été infecté ou non », explique le maître de conférences. Le modèle décentralisé facilite également le fichage des personnes malades par des tiers qui pourraient, le cas échéant, les déanonymiser en les recoupant avec des données supplémentaires.
Les risques illustrés par quinze scénarios
De manière générale, les risques sont nombreux. Certains signataires de la lettre ouverte ont imaginé une quinzaine de scénarios concrets qui pourraient mettre à mal la protection des données personnelles, indépendamment de l’architecture sous-jacente. Pour savoir si mes voisins sont malades, il suffit d’appliquer le scénario 4 et de déposer un vieux smartphone dans la boîte aux lettres à l’entrée de l’immeuble. Dans le scénario 13, un supermarché pourrait déployer des capteurs Bluetooth dans ses magasins et simuler des contacts tout en récupérant l’identité de certaines personnes grâce à une application de fidélité. Résultat : l’entreprise pourrait savoir quels clients sont tombés malades.
Il est également possible de créer de faux contacts à la pelle, comme dans les scénarios 7, 8 et 9. Il suffirait de récupérer le smartphone d’une personne qui présente des symptômes et de le faire circuler dans certains milieux. « Un élève malveillant pourrait envoyer en quarantaine toute sa classe. On peut également imaginer la même chose dans une caserne de soldats ou de pompiers. Au fond, la sécurité du traçage repose aussi sur le fait que les utilisateurs sont bienveillants, ce qui n’est pas forcément le cas », commente Olivier Blazy.
Il faut choisir entre la peste et le choléra
Malheureusement, il est impossible d’imaginer un système avec un meilleur niveau de sécurité que ceux qui sont proposés actuellement. « On pourrait implémenter des mécanismes cryptographiques avancés, avec des protocoles d’échange entre les utilisateurs et du calcul partagé. Mais cela demanderait beaucoup plus de ressources et ce n’est pas réaliste à l’échelle d’un pays », poursuit le chercheur.
La sélection d’une solution — Apple/Google, DP3T, ROBERT, etc. — revient donc à choisir les risques que l’on est prêt à assumer, en toute connaissance de cause. Or, d’après les signataires, c’est justement là que le bât blesse. Face à l’urgence, les acteurs publics manquent de transparence et les conséquences potentiellement néfastes sont insuffisamment analysées. C’est le coup classique de l’apprenti sorcier.
[ad_2]
Source link
