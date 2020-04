Apple et Google travaillent sur un système de suivi des contacts Bluetooth qui pourrait aider à suivre et éventuellement réduire la propagation de COVID-19. Mais les experts en sécurité dont AppleInsider a parlé pour exprimer leurs préoccupations concernant la confidentialité et l’exécution, ce qui pourrait nuire à son efficacité.

Les experts en sécurité et les cryptographes ont des préoccupations persistantes concernant la confidentialité et la sécurité du suivi des contacts COVID-19. Crédits: Brian McGowan

Apple et Google ont clairement indiqué qu’ils se concentrent sur la technologie de suivi des coronavirus en gardant à l’esprit la confidentialité et la sécurité. Mais, il existe des limites inhérentes à Bluetooth qu’Apple et Google ne peuvent pas atténuer, aggravées par les préoccupations concernant les tiers qui manipuleraient les données collectées via les systèmes.

Pour les utilisateurs peu soucieux de la confidentialité des données, ou pour ceux qui sont prêts à sacrifier certains des leurs pour aider à stopper une pandémie, ce n’est pas un problème. D’un autre côté, la confiance dans les protocoles de confidentialité et de sécurité du traçage des contacts mobiles, en particulier les protocoles volontaires, sera absolument essentielle pour convaincre les gens de l’utiliser. Même si cela ne va pas être une panacée, le système a des obstacles majeurs à surmonter et des questions auxquelles il faut répondre avant de pouvoir aider.

Problèmes de confidentialité et de sécurité

Un diaporama expliquant comment fonctionnent les systèmes Apple et Google.

En ce qui concerne la confidentialité, Apple et Google ont pris des mesures pour anonymiser les utilisateurs et éviter la collecte massive de données de localisation et d’autres données, notamment en changeant l’identifiant Bluetooth unique toutes les 10 à 15 minutes. Mais même alors, le système n’est pas nécessairement conçu pour être complètement anonyme.

Par exemple, ces identifiants de proximité roulants sont uniquement privés jusqu’à ce que quelqu’un teste positif pour COVID-19. Après cela, un identifiant de périphérique peut être lié et le système enverra une copie de ses clés cryptographiques à tous les périphériques qui se sont rapprochés de lui.

Comme exemple de la façon dont cela peut être exploité par un mauvais acteur, l’ancien technologue de la Federal Trade Commission Ashkan Soltani a donné un exemple d’une soi-disant “attaque par liaison” qui pourrait révéler l’identité d’une personne positive au COVID-19.

“De par sa conception, votre smartphone diffusera un identifiant unique rotatif (via Bluetooth) toutes les quelques minutes (l’identifiant de proximité mobile) à toute personne à portée”, a déclaré Soltani à AppleInsider. Cela signifie qu’il n’y a pas de contrôles granulaires pour les utilisateurs pour éviter cela, au-delà de ne pas utiliser le système.

Quelqu’un avec un renifleur Bluetooth et une caméra vidéo pourrait collecter des paires de photos et des identifiants roulants dans un lieu public, explique Soltani. Si l’une de ces personnes est testée positive pour COVID-19, l’attaquant pourrait coupler ses clés de diagnostic avec les images et les identifiants de roulement.

Soltani ajoute qu’un attaquant disposant de ressources suffisantes, comme une entreprise de suivi des emplacements de vente au détail, pourrait étendre cette tactique à une échelle plus large, ce qui pourrait lui permettre de suivre les mouvements plus larges d’une personne. Le chercheur a précédemment écrit sur les considérations de confidentialité du suivi de vente au détail pour la FTC.

Moxie Marlinspike, cryptographe et créatrice d’applications Signal, a fait écho à la capacité des annonceurs et des sociétés de suivi de vente au détail d’identifier les personnes atteintes de COVID-19. Étant donné que les appareils sur lesquels une application de suivi des contrats est installée obtiendront un journal des identifiants quotidiens, l’appareil d’un utilisateur pourrait devenir lié une fois qu’il recevrait un diagnostic positif.

“À ce stade, Adtech (au minimum) sait probablement qui vous êtes, où vous avez été et que vous êtes (positif pour COVID)”, a écrit Marlinspike.

Un autre point important est que l’API Apple et Google, en l’état, n’est pas nécessairement la mise en œuvre finale. Au lieu de cela, c’est un cadre à utiliser par les développeurs pour créer des applications qui peuvent fonctionner sans problème en arrière-plan – ce qui n’est pas possible avec les restrictions iOS actuelles. Dans ce cas, ces développeurs seront des organisations de santé publique.

Pour cette raison, la confidentialité et la sécurité du système dépendent vraiment des développeurs d’applications de suivi des contacts mobiles, selon Sergio Caltagirone, vice-président du renseignement sur les menaces de la société de cybersécurité Dragos.

Caltagirone a déclaré à AppleInsider que la spécification cryptographique fournie par Apple et Google “stipule simplement que la mise en œuvre ne doit pas stocker ou corréler les données mais ne fournit aucun contrôle supplémentaire – beaucoup de confiance en ce qui concerne les données de santé publique et le risque d’utilisation abusive”.

Dans son expérience en matière de sécurité, il a déclaré qu’un exercice courant consiste à prendre n’importe quelle spécification et à rechercher les mots «doit» ou «peut» et ensuite demander «et si ce n’est pas le cas? Caltagirone appelle cela une confidentialité “basée sur la foi”, plutôt qu’une confidentialité garantie cryptographiquement.

Il y a déjà des signes que certains groupes de santé publique n’aiment pas les restrictions d’Apple et de Google. Le National Health Service du Royaume-Uni, par exemple, serait en conflit avec les deux sociétés car il souhaite créer une base de données centralisée des identifiants. C’est quelque chose qu’Apple et Google empêchent les organisations de faire.

De plus, Soltani a ajouté que les organisations peuvent “concevoir (leur) application pour collecter toutes les informations supplémentaires qu’elles pensent” que les gens consentiront.

En pratique, cela signifie que bien que l’API Apple et Google «préserve la confidentialité», les applications de recherche de contacts réelles que les organisations de santé développent peuvent collecter des données d’une manière qui ne l’est pas.

“Le traçage des contacts Bluetooth est une amélioration considérable par rapport au suivi de localisation avec des informations de GPS ou de site cellulaire, mais il a encore besoin de solides mesures de protection de la vie privée et de la sécurité”, a déclaré Kurt Opsahl, avocat général d’Electronic Frontier Foundation, dans un communiqué à AppleInsider. Faisant écho à Soltani, Opsahl a déclaré que le cadre Apple et Google n’est qu’une “partie de l’équation” et que “nous avons également besoin de garanties de confidentialité avec les applications de proximité de santé publique qui interagissent avec cette API”.

Étant donné que ces sauvegardes doivent être mises en œuvre au niveau de l’application et de l’organisation de la santé, elles ne sont pas nécessairement quelque chose que Apple et Google peuvent garantir.

Efficacité du suivi des contacts Bluetooth

Une illustration du suivi des contacts Bluetooth. Crédit: MIT

Les risques inhérents à Bluetooth et les questions sans réponse sur la collecte de données de santé pourraient saper ce qui est finalement la partie la plus importante du traçage des contrats mobiles: l’adoption.

Pour que ce type de recherche de contacts soit efficace, il doit être largement adopté par une population. Certains experts, comme le groupe de recherche sur le suivi des contacts Covid Watch, affichent une statistique de 60% pour que son efficacité en vaille la peine.

Apple et Google ont interdit à des tiers de rendre l’application obligatoire, ce qui signifie que les utilisateurs devront la télécharger volontairement. La question de savoir s’ils le feront peut-être vraiment comment les géants de la technologie et l’organisation de la santé ont configuré leur application, ainsi que les promesses de confidentialité et de sécurité qu’ils font.

Certains législateurs et régulateurs se demandent déjà s’ils le peuvent aux États-Unis et en Europe.

Avec des chiffres et des organisations disparates allant de l’American Civil Liberties Union au président Donald Trump, qui mettent en doute le système, il y a une réelle inquiétude à savoir si suffisamment d’utilisateurs lui feront confiance pour le télécharger et l’installer sur leurs appareils.

Ben Adida, un chercheur en cryptographie et en sécurité de l’information, est beaucoup plus optimiste quant au protocole que les autres. Dans un fil Twitter, il dit que cela résout beaucoup de problèmes avec d’autres surveillances et propositions de traçage, et qu’une sorte d ‘”incitations bien réglées” peut suffire pour voir le bon taux d’adoption.

Bien sûr, il existe également de réelles inquiétudes quant à l’efficacité du traçage des contrats mobiles sous ses formes actuelles. Jason Day, responsable produit de l’application de suivi des contacts TraceTogether de Singapour, a déclaré que cela ne remplacerait pas le suivi manuel des contacts.

“Si vous me demandez si un système de suivi des contacts Bluetooth déployé ou en cours de développement, partout dans le monde, est prêt à remplacer le suivi manuel des contacts, je répondrai sans réserve que la réponse est non”, a-t-il écrit dans un article moyen.

Il y a des questions sans réponse sur l’efficacité des méthodes de recherche des contacts de Singapour. Il est important de noter que TraceTogether a été déployé sans les API Apple et Google, ce qui signifie qu’il ne pouvait fonctionner que lorsque l’application s’exécutait au premier plan.

Même avec ce problème résolu par le nouveau cadre Bluetooth, il y a d’autres problèmes sans solutions faciles. Le suivi des contacts mobiles ne couvrira pas non plus ceux qui n’ont pas de smartphone, tels que les enfants et les personnes âgées, a ajouté Soltani dans un tweet. Parce qu’il est basé sur la proximité, il pourrait également créer de faux positifs de contact dans des espaces de vie denses comme les appartements.

Et dans certains pays, comme les États-Unis, le principal obstacle au-delà de l’adoption est probablement la disponibilité des tests. Les API Apple et Google semblent dépendre de la possibilité pour une personne de recevoir un diagnostic d’un responsable de la santé publique. Bien que cela réduise le risque de pêche à la traîne, cela soulève une grande question de savoir si suffisamment de tests sont disponibles pour que cela fonctionne.

Comme le fait remarquer Deidre Connolly, cryptographe et ingénieur de la Fondation ZCash, les États-Unis ne sont tout simplement pas actuellement prêts à se lancer dans le type de test dont les API Apple et Google auraient besoin pour être efficaces.

Au cas où ce ne serait pas clair, _toutes_ ces propositions de notification de contact sont des outils à utiliser pour faciliter le suivi des contacts, et un suivi efficace des contacts _ nécessite des tests de capacité_.

Ils ne peuvent pas être déployés aux États-Unis aujourd’hui, car notre capacité de test actuelle est faible. https://t.co/4HomuAEOoA

– Deirdre Connolly (@durumcrustulum) 14 avril 2020

Bien sûr, malgré ces problèmes de confidentialité et d’efficacité, le système Apple et Google pourrait encore faire partie d’une solution plus large pour arrêter COVID-19, avec des tests suffisants et des mesures telles que la distanciation sociale.

Que ce soit le cas, cela dépendra de la capacité d’Apple, de Google et des groupes de santé publique à convaincre suffisamment de personnes de le télécharger et de l’utiliser. En fin de compte, ce travail peut ne pas être celui d’Apple et de Google.

Sans un effort concentré, transparent et digne de confiance de toutes les personnes impliquées – y compris le public – le traçage des contrats mobiles finira par être un vœu pieux.