Mercredi nous avons publié une vidéo sur l’application Stop Covid. Nous voulions parler des problèmes entourant sa conception et son développement, et surtout à quel point c’est dommage car la technologie pourrait, et devrait, nous épauler pour lutter contre la pandémie actuelle. Et en l’état, ça semble mal parti pour atteindre cet objectif, tout en ouvrant la porte à des dérives pouvant porter atteinte à nos libertés individuelles. La vidéo a soulevé quelques questions, voyons ça en détails !
Question de l’anonymat de Stop Covid
Première question, posée une fois en commentaires mais aussi plusieurs fois oralement par notre entourage, sur l’anonymat de l’application Stop Covid basée sur le protocole ROBERT. Intuitivement, puisque les pseudonymes ne contiennent pas d’information sur la personne et que l’identifiant de l’application est généré aléatoirement, on se dit que c’est réellement anonyme.
Oui, mais. Effectivement, les données brutes sont anonymes. Mais à partir du moment ou ces données sont stockées sur un serveur et que quelqu’un a accès à ces données, il devient très simple d’identifier la personne.
Et il y a plusieurs raisons à ça :
Légalement en France, quelqu’un qui fournit un service sur Internet doit conserver les informations de connexion. Voici trois points légaux qui vont dans ce sens :
Article 6 de la Loi pour la Confiance dans l’Économie Numérique :
Les FAI et hébergeurs « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».
Code des postes et des communications électroniques :
En application du III de l’article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
a) Les informations permettant d’identifier l’utilisateur ;
b) Les données relatives aux équipements terminaux de communication utilisés ;
c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
e) Les données permettant d’identifier le ou les destinataires de la communication.
Loi anti-terroriste de Sarkozy :
« Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent titre ».
Donc pour revenir au point de départ, on a bien une donnée anonyme dans la base de données, mais on a aussi toutes les données de connexion qui sont stockées, et les FAI possèdent également l’information que c’est bien vous qui vous êtes connecté au serveur avec telle IP.
Maintenant, le gouvernement grâce au cadre légal mis en place et / ou renforcé pendant la vague de terrorisme, peut accéder à ces informations et vérifier qui est malade ou non. Même sans ces points légaux, ça serait déjà possible juste en obtenant les informations « sur quel téléphone est installée cette application » qui est elle stockée dans les serveurs de Google ou d’Apple.
Et admettons que le gouvernement actuel soit de bonne foi, ce qui reste à prouver, on ne sait pas qui sera élu le prochain coup, et Stop Covid peut vite déraper.
C’est valable pour n’importe quoi, vous n’êtes quasiment jamais réellement anonyme sur internet. On vous renvoie à notre vidéo à propos de Nord VPN qui martèle le contraire partout.
Les autres applications sur vos téléphones
Sur un téléphone, les applications sont censées avoir leur propre espace et ne pas trop aller farfouiller dans les données les unes des autres. Mais, puisqu’il existe des failles de sécurité dans tous les systèmes, il est toujours possible d’avoir des applications qui espionne ce que vous faites sur votre téléphone. Les « trojans » n’existent pas que sur ordinateur malheureusement.
Et donc dans la vidéo, lorsqu’on dit « qu’une autre application malicieuse soit présente », et bien il est tout à fait possible d’installer sans le vouloir des applications sur son téléphone, ou d’installer une application volontairement mais qu’elle soit véreuse. Et que les applications en question puissent utiliser des failles pour espionner les autres.
Ce n’est absolument pas spécifique à l’application Stop Covid ni au téléphone. Ce sont des risques qui existent dès qu’on utilise l’outil informatique, il faut être toujours vigilent à ce qu’on installe et à ce qu’on essaie de nous faire installer. La Youtubeuse Heliox, qui fait pourtant très attention à ces sujets là et qui avait mis en place toutes les protections nécessaires, s’est fait avoir par un mail qui lui proposait un partenariat et lui avait envoyé un lien pour tester un produit. Le produit était en fait un trojan que les pirates ont utilisé pour lui voler sa chaîne depuis son propre ordinateur.
Quel problème avec le consortium d’entreprises
Oui, nous avons décidé d’être critique sur le consortium d’entreprises qui développe Stop Covid, sans les citer particulièrement. Parce que ce ne sont pas ces entreprises en particulier qu’on vise, même si certaines ont un certain passif dans le domaine, mais la manière d’organiser les projets, et les résultats peu efficaces que ça a eu par le passé.
Pour donner quelques exemples de projets informatiques qui ont été menés de la sorte, sans écouter les experts et sans fournir un code open source, on peut parler de :
- France.fr qui a coûté des millions sans raison valable et qui a eu un lancement catastrophique : article.
- SAIP, application censée permettre d’alerter en cas d’attaque terroriste, qui n’a jamais fonctionne : article.
- Le cloud souverain, projet qui a englouti une quantité d’argent phénoménale pour là aussi, terminer en échec : article.
Trois exemples parmi d’autres, et aussi du vécu, dans le cadre de nos jobs : nous avons été amenés à intervenir sur des applications créés par l’État pour les auditer et / ou aider les personnes concernées à les mettre en œuvre et à chaque fois même constat : des tonnes d’acteurs différents qui n’arrivent à se coordonner pour un résultat désastreux.
Bien sûr, nous n’avons pas étudié tous les projets, mais on constate que les mêmes mécanismes sont toujours à l’œuvre, et c’est ce que nous voyons avec ce consortium d’entreprises.
Malheureusement, tout ça nous fait penser que le projet sera vraisemblablement un échec technique alors que c’est quelque chose qui devrait être là pour sauver des vies.
Plus de détails sur les alternatives
Dans la vidéo, nous reprochons à la France de faire cavalier seul avec ROBERT. Et nous ne reprochons pas la même chose à DP-3T, que nous considérons comme une alternative qui nous semble plus adaptée, en particulier grâce à décentralisation. Effectivement, au départ c’est effectivement une initiative isolée, mais très vite la liste des participants rejoignant le développement, et le code ont été publiées dans le github dédié, voilà cette liste :
EPFL: Prof. Carmela Troncoso, Prof. Mathias Payer, Prof. Jean-Pierre Hubaux, Prof. Marcel Salathé, Prof. James Larus, Prof. Edouard Bugnion, Dr. Wouter Lueks, Theresa Stadler, Dr. Apostolos Pyrgelis, Dr. Daniele Antonioli, Ludovic Barman, Sylvain Chatel
ETHZ: Prof. Kenneth Paterson, Prof. Srdjan Capkun, Prof. David Basin, Dr. Jan Beutel, Dennis Jackson
KU Leuven: Prof. Bart Preneel, Prof. Nigel Smart, Dr. Dave Singelee, Dr. Aysajan Abidin
TU Delft: Prof. Seda Gürses
University College London: Dr. Michael Veale
CISPA Helmholtz Center for Information Security: Prof. Cas Cremers, Prof. Michael Backes
University of Oxford: Dr. Reuben Binns
University of Torino / ISI Foundation: Prof. Ciro Cattuto
University of Salerno: Prof. Giuseppe Persiano
IMDEA Software: Prof. Dario Fiore
University of Porto (FCUP) and INESC TEC: Prof. Manuel Barbosa
Stanford Univerity: Prof. Dan Boneh
ROBERT, de son côté, est toujours bien isolé, et il semblerait que seule la France s’acharne dans cette direction.
Et, quelques jours après l’écriture du texte de la vidéo, il semblerait que l’initiative menée par Apple et Google puisse être la solution choisie par plusieurs pays, mais c’est encore incertain et flou. Et ça pose d’autres problèmes autour de la dépendance des états par rapport à des multinationales, mais c’est encore un autre débat.
Conclusion
Cet article est amené à évoluer avec les autres questions qui viendront et la situation de Stop Covid qui elle aussi bouge chaque jour. Si vous avez d’autres questions, n’hésitez pas à les laisser en commentaire de la vidéo Youtube, nous ajouterons les réponses dans cet article au fur et à mesure ! Si vous voulez apporter des informations supplémentaires ou discuter de ce qu’on raconte ici, même chose, soyez les bienvenus dans les commentaires 🙂
Si tout ça vous intéresse et que vous voulez nous aider à continuer à vulgariser l’informatique, vous pouvez bien sûr partager notre travail mais aussi faire un petit tour sur notre uTip 😉