Lancement de l'application StopCovid: nécessaire, mais pas suffisant

Perspectives sur la mise en oeuvre du protocole StopCovid. Le gouvernement par l'intermédiaire de Cédric O a annoncé le recours possible à une solution technique pour identifier et informer les personnes potentiellement au contact de malades du COVID-19, à l’instar de l’application TraceTogether disponible à Singapour, afin qu'ils puissent être testé en priorités et confinés si positifs. Je vous partage ma perspective sur ce sujet:

Cette initiative s’inscrit dans la continuité de ce qui se fait dans les autres pays, en moins intrusif

Le lancement de cette application s’inspire de ce qui se fait dans beaucoup d’autres pays, La corée du Sud, par exemple a été très loin, et construit une carte précise qui retrace les endroits visités par des gens infectés du COVID-19. Le suivi individuel est fait sur la base des données de géolocalisation collectées via le téléphone, mais également des données d’achats, ou encore des échanges physiques avec des docteurs ou des pharmaciens. La carte est complètement ouverte au public qui peut consulter les parcours des personnes infectées en quasi temps réel.

A Taiwan, le gouvernement a créé un “portail électronique” qui traque la position des individus, et alerte les autorités quand des personnes confinées sortent de chez elles.

En Chine, championne toute catégorie du tracking des ses concitoyens, le même principe qu’en Corée a été développé, facilité via l'écosystème Alibaba avec un code couleur Rouge, Jaune ou Vert en fonction du risque individuel. Par ailleurs, ce dispositif a été complété en utilisant le réseau de reconnaissance faciale et de capteurs infrarouge, pour suivre et blâmer les personnes infectées non respectueuses du confinement.

En France, et en Europe, ce type de suivi individuel est évidemment impensable. Des opérateurs de Télécommunication dont Orange ont toutefois annoncé il ya quelques semaines accepter collaborer avec le gouvernement pour partager des informations sur les évolutions des masses. (C’est comme ça que l’on connaît le nombre de parisiens partis dans leur résidence secondaire!) Il faut bien comprendre la différence: il s’agit pour l’instant uniquement de données agrégées, que Orange qui collabore déjà avec L’inserm sur ce sujet partage, par grande zone géographique, et en aucun cas de données individuelles, même anonymisées

Le tracking n’est pas nouveau et est déjà largement utilisé dans l’univers de la publicité notamment

Le tracking, est déjà très connu et utilisé dans l’univers de la publicité: il repose sur un échange entre une borne connue-fixe et un device qu’on appelle. Les principales méthodes sont:

• Le wifi, qui fonctionne bien ou par triangulation avec des émetteurs wifi. Très utile notamment pour faire des cartes “chaudes” dans les centres commerciaux, les magasins, et adapter le parcours
• Le GPS: le plus classique, triangulation par Satellite, précision: 10 m
• Le Bluetooth; ici c’est fait un échange avec une  borne fixe (les très connu beacon) ou les téléphone qui peuvent eux mêmes être mis en mode émission on utilise le protocole RSSI étant donné qu’on a souvent qu’un seul couple émetteur - récepteurs

Les autres protocoles d'échanges de données (NFC par exemple, sont moins pertinents car de très courte portée)

Les principales questions sont liées aux modalités de collecte et de partage d’information, et notamment : dans quel mesure la consentement est avéré  et si ce n’est pas le cas quel mesure la données est anonymisée. C’est pour cette raison que la CNIL interdit désormais tout stockage ou usage de ce type de données personnelles sans consentement explicite. Il y a eu en fin d’année dernière un scandale révélé par le New York Times : des millions de points collectés en mode passif aux US et qui permettait de “retracer” le parcours d’individus dans une journée.  Ce type de protocole, aujourd’hui complètement interdit par le GDPR permettait de collecter facilement 300 points par jours par individu 

Le Bluetooth Low Energy (BLE) est un des protocoles connu pour partager des informations d’interaction à courte portée

L’usage du bluetooth à des fins commerciales est connu dans le retail depuis des années: Il repose sur l’interaction entre un émetteur (souvent un “beacon”) et un récepteur (téléphone) qui déclenche par exemple l’affichage d’une notification à l’entrée d’un magasin. Dans le cadre du tracking l’interaction est enregistrée dans l’application mobile du consommateur, et est partagée à un serveur qui retient l’information, la date et l'identifiant du téléphone de passage, pour mesure ultérieure.

Une des fonctionnalités additionnelles clé du bluetooth c’est le BLE ou Bluetook Low Energy, qui permet avec un usage réduit de la batterie de transférer des paquets de données réduits. Ce protocole a la particularité de transforme le téléphone en émetteur beacon (sur des fréquences particulières) à des intervalles de temps très courts (milli seconde), qui lui permet d’interagir avec tous les autres téléphones ayant également activés le Bluetooth.

Le BLE envoie un paquet d’information assez courtes, et notamment peut partager un identifiant unique qu’on pourra appeler un UUID (Universal User Identifier ) qui est une considéré par la CNIl comme une donnée pseudonyme (donc personnelle),  lié à un utilisateur d’une application spécifique. Ces données sont alors récupérées par l’ensemble des téléphones dans la zone et enregistrées pour une période de temps donnée. L’UUID est un identifiant temporaire, qui n’est pas attaché au téléphone, mais au contraire, il peut changer et change régulièrement, soit par défaut, soit à la demande de l’utilisateur.

Ce dispositif se prête particulièrement bien au cas du COVID

Le principe est donc simple: tous les utilisateurs ayant acceptés de télécharger l’application activeront le bluetooth. (c’est donc très peu consommateur de batterie). 

En fonctionnement normal, les applications enregistreront pas défaut l’ensemble des UUID (qui pourront être additionnellement cryptés) rencontrés au cours de la journée (les paramètres sont à définir, on peut par exemple demander à ne stocker que les contacts restés visibles pendant plus que 30 min). Aucune autre information ne sera stockée, et notamment pas la localisation exacte, ce qui rend de ce protocole de base bien moins intrusif que les équivalents Chinois ou Sud-Coréens.

Si un des contacts est avéré positif au virus, il sera amené à transmettre sa liste de contact et donc l’ensemble des UUIDs contactés dans les derniers jours (de manière cryptée). Les personnes concernés pourront être notifiées, de façon anonyme via un  serveur back-end qui enverra une notification automatique aux UUIDs sur la contact list.

Ce type de protocole est donc particulièrement prudent pour trois raisons: 

• Il repose avant tout sur le consentement tacite des utilisateurs, qui peuvent à chaque instant arrêter de partager leurs informations en effaçant l’application
• C’est une approche de gré à gré entre 2 device, qui ne repose pas sur un envoi d’information systématique à un serveur centralisé, mais sur un échange protégé entre utilisateur un peu à la manière de la blockchain
• L’information transmise n’est pas invasive, et en particulier, on ne stocke pas la géolocalisation 

Je vois plusieurs grands facteurs de risque au déploiement de ce type dans l’application dans le cadre de la lutte contre le COVID-19

Ce dispositif est un filet de sécurité, mais la précision (maille du filet) et la couverture (taille du filet) du dispositif ne sont pas convaincants: pour l’avoir moi-même testé à de multiples reprises : le bluetooth n’est  pas stable: on va très probablement “rater” des échanges (10%-20%). Par ailleurs, quid des populations sans smartphones (25% des français) et pas très réceptives au bluetooth qui sont aussi les populations les plus à risque? Ce dispositif ne capturera donc qu’une fraction de la population : si on prend une hypothèse qu’un français sur 2 téléchargera l’application, que le bluetooth sera activé dans 75% des cas, avec les deux hypothèses précédente, on ne capture que 20% à 25% des contacts...

La méthode et la façon de contacter les personnes à risque nécessite potentiellement de collecter des données personnelles. Si on repose sur un dispositif de collecte de données 100% anonyme de bout en bout: alors par définition on ne pourra théoriquement pas avertir les personnes à risque. Il est donc nécessaire de recourir à l’usage de données personnelles comme l’UUID qui sont des pseudonymes, pouvant être cryptés , et contactées sans interventions humaines par un serveur. (Via par exemple des notification in app ou même de l’affichage à l’ouverture de l’application). Si on souhaite être plus efficace et contacter directement les populations, alors on devra ajouter des données de contact téléphonique ou d’email, et alors pour le coup quitter l’anonymisation.

Il faut se poser des questions autour de la sécurité de bout en bout de l’ensemble de ce dispositif. L’usage massif du bluetooth va permettre à l’ensemble des applications d’écouter massivement l’ensemble des dispositif allumés, avec une possibilité théorique de laisser des acteurs tiers récupérer des données au passage. Par ailleurs, le bluetooth a connu des failles de sécurité sur Apple et Android. A titre d’exemple, une faille a été découverte (et corrigée) en Janvier 2020 sur certain macOS High Sierra et, macOS Mojave permettant théoriquement à des pirates de prendre contrôle à distance et de faire tourner n’importe quel code dessus.

Conclusions et perspectives : N'ayons pas peur de la technologie, ce dispositif est probablement la réponse la plus pragmatique à ce stade, et doit apporter une réponse partielle. Il faudra être vigilant dans son application sur les risques de fuites de données personnelles

• Cette technologie, si elle voit le jour, est pour moi un très bel exemple de l'utilisation de la technologie, et de la data, non pas dans un but de "contrôle", mais au service des citoyens. Ce dispositif semble largement le plus équilibré entre efficacité et protection de la population compte tenu de notre culture. Il a probablement un rôle très important à jouer dans la stratégie de déconfinement progressive, avant l'arrivée d'un vaccin (période qui peut durer de 12 à 18 mois!). Associé à des opérations de tests pour les personnes contactées et des quarantaine ciblées, il pourra donc être efficace dans la réduction de la transmission du virus, et éloigner le risque de voir repartir à la hausse le nombre de contamination post confinement.
• Son aspect non invasif, reposant sur le consentement des utilisateurs, et réversible à chaque instant, plaide beaucoup en sa faveur, surtout dans un contexte où des vies sont en jeux.
• Il est probable que si le gouvernement décide de se lancer, ce soit au travers de ce type de protocole. Un groupe d’universitaires et d'académiciens Européens viennent notamment de lancer ce type de protocole actuellement en test et lui ont donné le nom de Pan-European Privacy-Preserving Proximity Tracing project, or PEPP-PT. en mettant en avant le respect des règles de sécurité et bien sûr le respect du GDPR. Ce dispositif pourrait constituer un socle de référence technologique que les différents pays pourraient intégrer à leurs applications et adapter en fonction de leurs besoins
• Ce dispositif reste malgré tout peu fiable (le bluetooth est imprécis, instable) et on ne pourra donc pas se baser uniquement sur cette technologie comme moyen de mesurer et prévenir, c’est un filet très grand, mais avec de grosses mailles. Il participera à l’effort de guerre, mais devra être compléter par d’autres moyens (masques, limitation des interactions, etc..) pour juguler la propagation du virus
• Par son potentiel tout de même de désanonymisation au moment du transfert de contact potentiellement infectés, il sera nécessaire de piloter ce dispositif pour éviter une collecte massive de données personnelles