IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Commission de l'UE veut des applis mobiles de suivi de la propagation du Covid-19 respectueuses de la vie privée, installables sur la base du volontariat
Et publie donc un guide de mise sur pied

Le , par Patrick Ruiz

236PARTAGES

5  0 
Les applications mobiles dont usent les pays de l'UE pour endiguer la propagation du coronavirus doivent respecter les règles de l'Union en matière de protection de la vie privée et obtenir le consentement des personnes concernées pour utiliser des données personnelles, mais exclure les données de localisation. C’est de façon ramassée ce qui ressort d’une récente note d’information de la Commission européenne.

Les recommandations de l'exécutif européen font partie d'une approche unifiée pour l'utilisation de la technologie dans la lutte contre le COVID-19. Grosso modo, il s’agit d’un guide pratique de mise sur pied des applications de suivi de la propagation publié à l’intention des États membres. C’est une boîte à outils qui définit les exigences essentielles pour ces applications. Dans les grandes lignes on retrouve entre autres : la conformité totale aux règles de l'UE en matière de protection des données et de la vie privée ; la mise en œuvre en étroite collaboration avec les autorités en charge de la santé publique et l’approbation par ces dernières ; l’installation sur la base du volontariat et la suppression lorsque ces applications ne sont plus nécessaires ; l’utilisation des dernières technologies permettant d’améliorer la vie privée, notamment, Bluetooth qui évite de pister les individus ; l’utilisation de données sous anonymat ; l’interopérabilité dans toute l’Union.

Dans sa dernière publication, la Commission de l’UE répertorie un ensemble d’initiatives en cours, qui si elles ne le sont pas déjà, devront s’aligner aux exigences formulées au sein de la boîte à outils. En effet, le 10 avril dernier, Google et Apple ont passé l’annonce conjointe du lancement d’une initiative relative à l’utilisation du protocole Bluetooth comme socle des applications de traçage de la propagation du Covid-19. Il s’agit de s’appuyer sur Bluetooth Low Energy (BLE) pour la détection des téléphones à proximité, les échanges de données pertinentes dans le cadre de l’opération et l’émission d’alertes destinées aux utilisateurs du système. D’après ce que rapporte Reuters, des discussions entre membres de la Commission de l’UE et responsables chez Google et Apple sont en cours pour arrimer leur initiative aux exigences de la boîte à outils de l’UE.



Après, il faut souligner que la publication de la Commission européenne arrive au moment où le projet dénommé Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), qui mobilise 130 experts, a en principe débouché sur la mise sur pied d’une plateforme technologique sous licence. La plateforme dite de traçage de proximité fait un usage anonyme de la technologie Bluetooth des téléphones portables d'une manière qui respecte le règlement général de l'Union européenne sur la protection des données (GDPR). Cela évite d’effectuer un suivi intrusif des données de localisation. Le système enregistre (pendant deux semaines) les connexions établies entre les smartphones sur ces derniers, plutôt que sur un serveur central, en utilisant un chiffrement fort. Seules les autorités sanitaires locales sont considérées comme des personnes de confiance pour télécharger des données afin de pouvoir avertir les personnes à risque d'infection et leur dire de s'isoler.

« En trouvant et en isolant des tiers avec lesquels une personne atteinte a été en contact étroit, on prend une longueur d’avance », expliquent les chercheurs.



À date, 28 pays de par le monde ont chacun déployé des applications de suivi de la propagation du virus. Dans ce lot, l’Europe compte près de la moitié ; onze pour être précis. En France, la récente sortie de la Commission européenne devrait permettre de peaufiner un peu plus les détails de l’application StopCovid en cours de gestation. Ce projet s’appuie lui aussi sur la technologie Bluetooth qui permet à des smartphones d’identifier des appareils à proximité et non de recueillir des données de géolocalisation.

Applications mobiles alignées sur le guide de l’UE : pourquoi ça pourrait ne pas marcher ?

L’efficacité des solutions proposées par les différents acteurs repose sur une adoption de masse des outils qu’ils mettent à la disposition du public. Or, deux facteurs risquent de jouer contre l’atteinte de cet objectif : l’installation sur la base du volontariat et le fait que tout le monde ne dispose pas de smartphone. Sur le deuxième axe de réflexion en effet, près de 23 % de la population en France ne possède pas de téléphone dit intelligent, d’après Statista. L’Espagne, l’Italie et l’Allemagne affichent de façon respective des taux de pénétration de cette technologie de 60,8 %, 70,4 % et 79,9 %. C’est donc un paquet important de la population qui est susceptible de s’ajouter au lot de ceux qui pour une raison ou une autre ne procéderont pas à l’installation d’une des applications de suivi.

En sus, quelques problèmes d’ordre technique se posent. La technologie Bluetooth sur laquelle se basent ces applications ne serait pas suffisamment précise pour permettre de mesurer si l'on se trouvait à plus (ou moins) des deux mètres de distanciation sociale recommandés par les autorités sanitaires. La qualité du signal aussi dépendrait de facteurs additionnels : le terminal utilisé, sa batterie, la qualité de ses composants, etc.

Source : Commission UE

Et vous ?

Que pensez-vous de cette initiative de la Commission européenne ?
Quels sont d’après vous les facteurs susceptibles de la mener à un échec ?
Quels sont ceux qui concourent à ce qu’elle soit une réussite ?

Voir aussi :

StopCovid : quelle serait l'utilité de l'application de traçage qu'étudie le gouvernement français*? Quels obstacles techniques sont rencontrés ? Voici quelques éléments de réponses
StopCovid : la France travaille sur une application qui va tracer l'historique des contacts avec les malades, mais la piste de la géolocalisation est écartée
Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 17/06/2020 à 13:07
StopCovid : l’application collecte bien plus de données que ce que le gouvernement avait annoncé,
le secrétariat d’État au numérique s'explique

Dans un décret relatif au traitement de données dénommé « StopCovid » qui a été publié le 29 mai 2020, le gouvernement a identifié les données qui seraient traitées. Il est par exemple expliqué que, pour les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent, l’historique de proximité des contacts à risque de contamination par le virus du covid-19 est transmis au serveur central.

Cet historique correspond aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l'historique de proximité.

En clair, sur le papier, si vous avez téléchargé l’application StopCovid, que vous êtes atteint par le virus et que vous le déclarez dans l’application, alors les données transmises au serveur central seront celles des personnes avec lesquelles vous avez été en contact « à moins d'un mètre pendant au moins 15 minutes », et qui disposent aussi de l’application.

La collecte d’informations liées à un utilisateur de StopCovid devait donc se limiter à ces contacts-là : et non à la totalité des personnes croisées. Selon Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria, qui s’occupe du projet StopCovid), en pratique ce n’est pas le cas.

Sur la plateforme, il explique que trop de données sont envoyées au serveur :

« Quelles sont exactement les données envoyées au serveur quand un utilisateur se déclare malade?
  • Tous les contacts croisés pendant les 14 derniers jours, ou
  • Uniquement les contacts avec un risque de transmission, c'est-à-dire à moins d’un mètre pendent plus de 15 minutes

« Le décret relatif à StopCovid indique la deuxième option, qui suit le principe de minimisation des données demandé par la CNIL et le RGPD. Cependant, à ma connaissance, la version actuelle de StopCovid utilise la première option. Elle envoie donc une grande quantité de données au serveur qui n'a pas d'intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée.

« Est-ce que vous travaillez sur une mise en place de la deuxième option?

« Le principe de minimisation des données du RGPD, mentionné aussi dans l'avis de CNIL voudrait qu'on utilise la deuxième option ».

Selon lui, les textes (notamment l’arrêté et le décret qui encadre le déploiement de StopCovid) indiquent clairement la situation 2 : l'application ne traite et stocke que les contacts « à risque de contamination » et en cas de déclaration du malade, ne transmet que les contacts « à risque de contamination ». D'après l'arrêté, cela signifie à moins d'un mètre pendant plus de 15 minutes.


« Malheureusement, l'application StopCovid utilise apparemment la première option. J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).

« Ce comportement est aussi confirmé par les Administrateurs StopCovid

« Bizarrement, il y a du code dans l'application qui a l'air d'implémenter un algorithme de mesure de distance de Gorce, Egan et Gribonval, mais ce code n'est apparemment pas utilisé par le reste de l'application. Si ce comportement est confirmé, je pense que c'est en contradiction avec le décret qui encadre l'utilisation de StopCovid, et cela présente un vrai risque pour le serveur d'apprendre le graphe social des utilisateurs ».

Le secrétariat d’État au numérique s'explique

Contacté par Mediapart, le secrétariat d’État au numérique n’a pas remis en cause ces révélations : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». Sous-entendu : tous les contacts, et non pas seulement les plus proches.

Cependant il a tenu à les justifier. Il explique que « tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil » : « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. »

Raison pour laquelle « le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur ». C’est donc le serveur qui va déterminer, entre tous les contacts de la personne positive, ceux qui auront été exposés suffisamment près et suffisamment longtemps.

Ces explications ne convainquent, cependant, pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. »

Le chercheur estime que « Ce qui serait plus respectueux de la vie privée, c’est que le téléphone calcule » lui-même la distance qui le sépare d’un autre repéré par Bluetooth, puis envoie au serveur, le cas échéant, seulement ceux qui seront restés assez près, assez longtemps. « Ce qui est dommage, c’est que si on envoie tous les contacts, c’est beaucoup plus d’infos que ce qui est utile. Il y a un risque sur la vie privée en cas de réidentification ou de recyclage des infos par malveillance. » Car la portée du Bluetooth peut aller, selon la puissance des appareils, émetteurs et récepteurs, jusqu’à une vingtaine de mètres.

Pour Baptiste Robert, hacker et chercheur en sécurité informatique qui a participé à la recherche de bugs dans l’application, l’envoi de tous les contacts permet « de voir des récurrences » : chaque jour, « on croise les mêmes personnes, on bosse avec les mêmes personnes ». Ainsi, des acteurs mal intentionnés pourraient « réidentifier la donnée assez rapidement ». Il regrette le choix qui a été fait, car selon lui, « l’appli pourrait trier ce qu’elle envoie ».

La Commission nationale informatique et libertés (CNIL) a fait savoir à Mediapart que des contrôles étaient « en cours » sur le sujet. Au secrétariat d’État au numérique, on assure, ce mardi 16 juin, que la CNIL a été parfaitement informée du fonctionnement réel de StopCovid et que son avis sur le dispositif, largement positif et rendu mardi 26 mai, a été pris en toute connaissance de cause.

Sources : Gaëtan Leurent, Mediapart

Et vous ?

Que pensez-vous de ces explications ?
Que pensez-vous de la proposition de Gaëtan Leurent ?
22  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 23/03/2021 à 16:47
Application TousAntiCovid : un coût de 6,5 millions d’euros sans appel d'offres,
ANTICOR saisit la Cour de justice de la République

Le ministre de la Santé Olivier Véran est accusé de "favoritisme" dans la gestion de l'application TousAntiCovid par l'association ANTICOR. Elle a déposé une plainte devant la Cour de justice de la République (CJR), estimant qu'un marché public aurait dû être passé pour sélectionner les entreprises travaillant sur ce dispositif de contact tracing de 6,5 millions d’euros, le code de la commande publique rendant une telle procédure impérative pour les marchés de fourniture et de services supérieurs à un certain seuil. ANTICOR écarte également l’argument potentiel de l’urgence liée à la crise sanitaire qui pourrait avoir conduit à passer outre un appel d’offres.

L’actualité de l’application TousAntiCovid rebondit, mais cette fois en justice. Le lundi 22 mars, l’association ANTICOR a annoncé avoir saisi la Cour de justice de la République pour lui signaler une possible infraction pénale dans les conditions d’attribution des contrats pour concevoir ce programme de traçage des contacts. La plainte a été déposée en janvier contre le ministre de la Santé Olivier Véran pour "favoritisme" dans la gestion de l’application StopCovid devenue TousAntiCovid, avant qu’elle ne soit rendue publique le lundi dans un article.


« Annoncé le 8 avril, le développement de l'application a été présenté comme fait à titre gratuit par différentes entreprises privées, parmi lesquelles Dassault Systèmes, Capgemini, Orange ou Withings, mais l'Obs avait révélé en juin qu'une fois l'application lancée, son exploitation et sa maintenance feraient l'objet d'une facturation », a rappelé lundi l’AFP.

En juin 2020, le coût d’exploitation de l’application StopCovid (qui n’était pas encore renommée TousAntiCovid) était évalué entre 200 000 et 300 000 euros par mois. L’hébergement du serveur de l’application est assuré par Outscale, une filiale de Dassault Systèmes. À la fin du même mois, Cédric O, secrétaire d’État en charge du numérique, détaillait les postes de dépense au cours d’une conférence de presse :

40 000 euros mensuels pour l’hébergement informatique ; 40 000 à 80 000 euros par mois pour la maintenance et le développement de l’application ; 50 000 euros par mois d’appui au support utilisateur ; 30 000 euros par mois pour les frais de déploiement.

À l’époque, Cédric O avait considéré que ces dépenses n’étaient pas si élevées compte tenu de la pandémie, du coût que la crise fait peser sur l’hôpital et de l’échelle à laquelle doit évoluer l’application, au niveau de tout un pays.« Ce montant est epsilonesque par rapport aux coûts et aux effets délétères évités d’une admission en réanimation par exemple », avait-il fait remarquer.

Dans sa plainte, l’association anticorruption, défendue par Me Jean-Baptiste Soufron et Patrick Rizzo, rappelle l’évaluation d’un rapport parlementaire de novembre selon lequel le coût global de cette application destinée à lutter contre l’épidémie de coronavirus a été estimé à 6,5 millions d’euros du début juin à fin octobre.

ANTICOR considère que le coût engendré par l’application « va bien au-delà des seuils réglementaires permettant une dispense de procédure d’appel d’offres ». « Le bilan financier StopCovid rendu public fin novembre révèle que l’application StopCovid a coûté bien plus cher à l’État » : « Les licences (69.676 € TTC/an), le support utilisateur (720.000€ TTC/an), l’animation du déploiement (432.000€ TTC/an), l’hébergement (576.000€ TTC/an) ainsi que la campagne de communication (2.793.000€ TTC/an) », a rappelé l’association.

Selon ses calculs, le montant total étant de 6,5 millions euros TTC alors que « le gouvernement est tenu de procéder à un appel d’offres à partir de 139.000 euros HT pour les marchés de fournitures et de services ». L’absence d’appel d’offres dans les cas où il est obligatoire est susceptible de constituer l’infraction pénale de favoritisme, a indiqué l’association.

ANTICOR estime aussi que la liste des entreprises du secteur privé ayant développé l’application au côté d’acteurs publics, tels que Santé publique France ou l’Agence nationale de la sécurité des systèmes d’information (Anssi), n’est pas précisément connue.

Le caractère d’urgence n’autorise pas de s’affranchir des règles en vigueur

ANTICOR ne discute pas le bien-fondé de créer une application mobile devant appuyer la lutte contre la crise sanitaire due au coronavirus. Mais elle estime néanmoins que cela n’autorise pas de s’affranchir des règles en vigueur, et cela même si la situation revêtait un caractère inédit et d’urgence. Elle estime qu’entre le lancement du projet et son aboutissement début juin, le gouvernement avait deux mois pour faire ces procédures jugées nécessaires.

L’association avait d’ailleurs déjà saisi en juin 2020 le parquet national financier, pour une possible atteinte aux finances publiques. Le 10 juin, l’association dénonçait « un prix très supérieur aux pratiques du marché ».

« Pour des marchés publics portant sur des montants aussi importants, la mise en concurrence était obligatoire pour garantir la transparence, d’une part dans l’attribution des marchés et d’autre part dans l’usage de l’argent public », justifie ANTICOR. « Les manquements aux règles relatives à la commande publique ont un impact sur la vie démocratique, mais également sur les comptes publics ».


Impossible de connaître le verdict de la CJR, mais cette nouvelle procédure s'ajoute aux nombreux couacs de TousAntiCovid qui reste en encore trop peu utilisé pour être véritablement efficace dans la lutte contre le covid-19. Boudée pendant de longs mois par les Français qui s’inquiétaient pour leur vie privée, et même désinstallée plusieurs centaines de milliers de fois, l’application StopCovid est devenue TousAntiCovid mi-octobre et a connu un plus grand nombre de téléchargements. Plus de 13,9 millions de personnes l’ont téléchargée et activée depuis le 2 juin 2020, a indiqué l’application du gouvernement le lundi 22 mars.

Source : ANTICOR

Et vous ?

Que pensez-vous du coût de l’application TousAntiCovid  ?
Selon vous, le gouvernement devrait-il respecter les procédures d’appels d’offres pendant la pandémie ?

Voir aussi :

L'application de traçage des contacts, TousAntiCovid, passe la barre des 10 millions de téléchargements, mais beaucoup de choses restent encore à améliorer pour satisfaire les utilisateurs
StopCovid : la première application de contact tracing développée par la France aurait coûté 6,5 millions €, mais « aurait été d'une inutilité sanitaire manifeste », selon un rapport des députés
StopCovid : l'association anticorruption ANTICOR s'interroge sur le coût de maintenance de l'application, et alerte le parquet national financier sur des soupçons de favoritisme
TousAntiCovid : le scan de QR codes via l'application pourrait entrer en phase de test dans les prochains jours, au sein des restaurants réservés aux routiers
21  0 
Avatar de Michael Guilloux
Chroniqueur Actualités https://www.developpez.com
Le 04/08/2021 à 18:03
Fausse bonne nouvelle : le code source de TousAntiCovid Verif publié, mais...
il est incomplet et pire encore, sous licence propriétaire

Dans une tentative de calmer les critiques sur le manque de transparence et les éventuels problèmes de sécurité de TousAntiCovid-Verif, IN Groupe a annoncé la publication du code source de l'application mobile de vérification des passes sanitaires. Mais il y a un problème : le code source est incomplet et pire encore, il est sous licence propriétaire, un cocktail parfait pour rendre furieuses bon nombre de personnes.

IN Groupe ne fera pas mieux que ce qu'il en était il y a un an pour StopCovid, le prédécesseur de TousAntiCovid. Après plusieurs mois d'attente injustifiée, il a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif. Mais « encore une fois, ils jouent la carte de la comédie sécuritaire burlesque », s'insurge un internaute dans une série de tweets. « Une déception pour ceux qui s'attendaient à une vraie démarche open source et transparente », estime ce dernier.


Adoptant l'attitude des partisans de la sécurité par l'obscurité (paradigme de sécurité propre aux éditeurs de logiciels propriétaires), IN Groupe explique en effet dès le début qu'ils ont publié uniquement certaines parties du code source pour des raisons de sécurité : « Le code publié contient l'ensemble des règles de gestion des modes lite et détaillé. Les éléments de code relatifs à l'activation du mode étendu sont volontairement omis de cette publication pour des raisons de sécurité », lit-on dans le dépôt GitLab de l'application TousAntiCovid-Verif.

Les raisons de sécurité en question ne sont pas explicitées, « mais elles sont de toute façon ridicules », poursuit l'internaute dans sa série de tweets, estimant que n'importe qui peut lire toutes les données du QR Code du passe sanitaire ou activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances. Il profite pour exposer les failles et les signes d'amateurisme de l'application : « N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé [par IN Groupe] », dit-il. « De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK ».

Ce serait donc absurde qu'IN Groupe refuse de publier le code complet sous prétexte de ne pas vouloir mettre en péril la sécurité du système. N'y a-t-il pas de solutions plus efficaces que la sécurité par l'obscurité ? Il est aussi regrettable que le repo soit hébergé sur le GitLab de l'INRIA, qu'on ne puisse donc ouvrir des tickets que sur invitation et que les pull requests soient complètement fermées.

Comme si cela n'était pas suffisant, IN Groupe a publié le code source sous une licence propriétaire qui interdit notamment les forks et la redistribution des sources. « Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente », estime l'internaute. Ce dernier « trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open source bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif ».

Bref, la publication du code source de TousAntiCovid Verif est juste une fausse bonne nouvelle. Peut-on justifier le fait de publier un tel code partiellement et en plus sous licence propriétaire quand on sait qu'ailleurs, en Suisse par exemple, l'application similaire est entièrement libre et open source et que toutes les contributions extérieures sont acceptées ?

Sources : Twitter, Dépôt GitLab de l’INRIA

Et vous ?

Publier partiellement le code source de TousAntiCovid Verif et sous licence propriétaire, qu’en pensez-vous ?

Voir aussi :

L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Covid-19 : accord trouvé sur le passe sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM
21  1 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 05/08/2021 à 10:42
Citation Envoyé par setni Voir le message
Toute l'administration Française est une usine à gaz, donc rien de nouveau sous le soleil
J'ai le sentiment pour avoir passé toute ma carrière dans le privé, que les grandes entreprises privées n'ont rien à envier à l'administration sur ce chapitre.
Plutôt que tomber dans le stéréotype public/privé, je crois que c'est surtout la taille des organisations qui provoque les lourdeurs, les lenteurs et la complexité.
17  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 20/07/2020 à 21:48
StopCovid : la CNIL relève plusieurs irrégularités sur l'application,
et donne un mois au ministère des Solidarités et de la Santé pour corriger les différents problèmes

Dans le contexte de l'état d'urgence sanitaire lié à l'épidémie de covid-19, et plus particulièrement de la stratégie dite de « déconfinement » menée par le gouvernement, le ministère des Solidarités et de la Santé a proposé dans les magasins d'applications App Store et PlayStore, depuis le 2 juin 2020, une application dénommée «StopCovid France », disponible sur smartphones tournant sur iOS et Android. Le traitement de données personnelles dénommé « StopCovid » a pour responsable de traitement le ministre chargé de la santé (direction générale de la santé).

L'application « StopCovid France » est une application de suivi de contacts (ou « contact tracing ») qui permet à chaque utilisateur d'enregistrer un historique de « contacts » avec d'autres utilisateurs, c'est-à-dire une information relative à la proximité entre deux terminaux mobiles. Elle permet à l'utilisateur de se déclarer diagnostiqué ou dépisté au virus SARS-CoV 2. Elle permet également aux utilisateurs d'être informés qu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus SARS-CoV-2 et, le cas échéant, d'être invités à prendre attache avec un professionnel de santé pour être pris en charge le plus rapidement possible et, ainsi, d'être intégrés dans le système plus général de gestion du virus SARS-CoV-2 (systèmes d'information « SI-DEP » et « Contact Covid »).

L'application, dont le téléchargement et l'utilisation reposent sur une démarche volontaire de l'utilisateur, fonctionne grâce à la conservation de l'historique de proximité, constitué des pseudonymes émis par les ordiphones via la technologie Bluetooth à basse consommation (Bluetooth Low Energy — BLE).

En pratique, une fois installée et les fonctionnalités activées, l'application émet des messages Bluetooth spécifiques et en reçoit en provenance d'autres ordiphones sur lesquels l'application « StopCovid France » a été installée et activée.

Si un utilisateur de l'application est diagnostiqué ou dépisté positif au virus SARS-CoV-2, il peut le déclarer dans l'application grâce à un code fourni par le professionnel de santé (via un code de 6 caractères ou un QR Code). L'utilisation de ce code par l'utilisateur lui permet d'envoyer son historique de « contacts » au serveur central qui traite alors chacun des contacts présents dans l'historique, afin d'en estimer le risque de contamination au virus SARS-CoV-2. Le serveur maintient une base de données dont chaque enregistrement correspond à un utilisateur et contient le score de risque associé à cet utilisateur.

L'application contacte une fois par jour le serveur afin de vérifier le statut d'exposition de l'utilisateur. Les utilisateurs ayant été en contact (à moins d'un mètre pendant au moins 15 minutes) avec la personne diagnostiquée ou dépistée positive sont prévenus qu'ils ont été exposés à un risque de contamination au virus SARS-CoV-2. Ils sont alors invités à suivre des consignes spécifiques liées à la protection de leur santé et à la lutte contre la propagation du virus (surveillance des symptômes, confinement, mise en relation avec un professionnel de santé).


La mise à jour

Une nouvelle version de l'application « StopCovid France » (version v1.1) a été déployée fin juin 2020, et constitue une version mise à jour de la version « StopCovid France » à sa date de lancement (version v1.0.). Cette nouvelle version de l'application apporte deux changements majeurs. D'une part, la méthode d'authentification par « captcha » - qui permet de vérifier lors de l'activation initiale de l'application que cette dernière est utilisée par un être humain - qui reposait sur la technologie « reCaptcha » de la société GOOGLE, est désormais remplacée par la technologie « captcha » développée par la société ORANGE. D'autre part, une fonction de préfiltre de l'historique des contacts de l'utilisateur qui se déclare positif au virus SARS-CoV 2, fondée sur des critères de durée et de distance du contact, est activée pour agir au niveau du téléphone de l'utilisateur.

À ce jour, les deux versions de l'application coexistent. Les utilisateurs qui ont téléchargé l'application à compter du 25 juin 2020 ou qui ont procédé à la mise à jour de l'application depuis cette date disposent sur leurs smartphones de la version v1.1.

Les contrôles de la CNIL

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. Ils ont débuté le 9 juin dernier par un contrôle en ligne de l’application et l’envoi d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre. Ils se sont poursuivis par des contrôles sur place les 25 et 26 juin 2020.

Au jour des contrôles de la CNIL des 25 et 26 juin 2020, l'application « StopCovid France >> dans sa version v1.0 avait été téléchargée environ 1,9 million de fois et avait été activée environ 1,5 million de fois.

Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été prises en compte par le ministère des Solidarités et de la Santé.

En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.

Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. À ce jour, les deux versions de l’application coexistent.


La CNIL a notamment relevé les points suivants lors de ses contrôles :
  • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployée le 26 juin dernier. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
  • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Néanmoins, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
  • Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD, mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
  • Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère, mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Les conclusions de la CNIL

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points. Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

Compte tenu du nombre particulièrement important de personnes concernées (près de 2 millions d’utilisateurs) et du caractère sensible des données personnelles issues de l’application « StopCovid France », qui portent sur l’état de santé des utilisateurs, le Bureau de la CNIL a décidé de rendre publique cette mise en demeure.

Cette publicité contribue également à l’objectif de transparence du contrôle mené par la CNIL sur les conditions et modalités du fonctionnement de l’application « StopCovid France », mise en œuvre par un responsable public dans le cadre d’une mission d’intérêt public. À cet égard, elle permet de sensibiliser les usagers de l’application à la nécessité d’accepter la mise à jour afin de disposer d’une application plus protectrice de leurs données.

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti. Dans ce cas, la clôture de la procédure sera également publique. Dans le cas contraire, la Présidente pourra saisir la formation restreinte de la CNIL afin qu’une sanction soit prononcée.

Source : CNIL

Voir aussi :

Covid-19 : seuls 3,1 % des Français ont téléchargé l'application StopCovid, selon une étude de Sensor Tower
StopCovid : l'application collecte bien plus de données que ce que le gouvernement avait annoncé, le secrétariat d'État au numérique s'explique
StopCovid : l'association anticorruption ANTICOR s'interroge sur le coût de maintenance de l'application et alerte le parquet national financier sur des soupçons de favoritisme
16  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 07/06/2021 à 18:20
Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair,
prévient Christian Quest

Mercredi 9 juin, la France va passer à une nouvelle phase du déconfinement, notamment avec la réouverture totale des bars, cafés et des restaurants, mais aussi des salles de sport et des stades. Les entreprises retrouveront une certaine marge de manœuvre au sujet du nombre minimum de jours de télétravail par semaine, comme l'a indiqué Élisabeth Borne, ministre du Travail, de l’Emploi et de l’Insertion annonçant la fin du télétravail à 100 %. Pour sa part, l’heure du couvre-feu sera repoussée à 23 heures, au lieu de 21 heures.

La Direction de l'information légale et administrative (Premier ministre) a annoncé « qu'à compter du 9 juin 2021, un pass sanitaire sera mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il ne sera pas obligatoire et ne sera pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons... ».

Dans cette optique, l'application TousAntiCovid dispose d’un carnet des tests et vaccinations, qui pourront servir dans le cadre des pass sanitaires. Pour mémoire, en avril, une fonctionnalité a été ajoutée à l'application de suivi des contacts TousAntiCovid. Appelée TousAntiCovid-Carnet, cette dernière vous permet d'ajouter les résultats de vos tests PCR et antigéniques dans l'application pour les présenter à un tiers. Elle permet également d'ajouter la preuve de votre vaccination, notamment votre certificat de vaccination, ce qui vous permettra de prendre l'avion ou d'aller à l'étranger.

Christian Quest (porte-parole d’OpenStreetMap France, entre autres), note que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».

Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.

À ce propos, en rappelant que les données doivent « être limitées à ce qui est nécessaire (principe de minimisation) », la CNIL avait prévenu en avril que la nouvelle fonctionnalité TousAntiCovid-Carnet doit notamment respecter les garanties suivantes :
  • l’utilisateur doit pouvoir en garder le contrôle ;
  • le certificat doit être accessible également au format papier ;
  • les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
  • les données contenues dans le certificat doivent être limitées à ce qui est nécessaire (principe de minimisation) ;
  • les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
  • des mesures de sécurité doivent être apportées (données chiffrées, intégrité vérifiée, audits des systèmes d’information, etc.).

Un risque accru de vol d'identité

Dans un billet intitulé « Pass sanitaire et vie privée : quels sont les risques ? » publié sur Broken By Design, Florian Maury et Piotr Chmielnicki ont tenté de mettre la lumière sur le pass sanitaire. Ce document « vise à mettre au jour de fausses informations diffusées par certains membres du gouvernement, à expliquer et à illustrer pourquoi le pass sanitaire, tel qu’il est conçu, met en danger la vie privée, mais aussi des données médicales des citoyens. En outre, il accroit le risque de vol d’identité ».

« Le pass sanitaire est présenté sous la forme d’un code-barre en deux dimensions, appelé datamatrix. Ce code barre, comme son nom l’indique, encode des informations. Il est en cela similaire aux codes barres des produits que vous achetez en grande surface, et que vous passez à la caisse. Il est juste en deux dimensions et contient plus d’information. Au lieu d’un numéro qui sert à indiquer à la caisse enregistreuse la nature du produit que vous achetez, ce qui lui sert à connaitre le prix à imputer, le code-barre du pass sanitaire contient vos informations personnelles et des informations relatives à la vaccination. L’encodage de ces informations ne constitue pas une mesure de protection des données puisque n’importe qui équipé d’un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire ne fait pas exception.

« D’après le site Service Public.fr, le pass sanitaire contient les informations suivantes :
  • nom, prénom ;
  • date de naissance ;
  • type de certificat et résultat éventuel (test PCR ou antigénique ou vaccination première et seconde dose) ;
  • type de vaccin le cas échéant ;
  • date et heure du certificat.
  • Le site gouvernement.fr indique la même liste.

« Nous avons analysé le contenu du pass sanitaire, à l’aide d’outils grands publics, trouvables sur n’importe quel Store d’applications, comme le Google Play Store ou l’Apple Store. Par exemple, Barcode Scanner de ZXing Team sur le Google Play Store.

« Nous affirmons que la liste dressée par les sites gouvernmentaux est incomplète.

Le pass est composé de 3 types d’informations :
  • des informations techniques, qui permettent de vérifier l’authenticité du pass sanitaire ; on y retrouve des informations sur l’émetteur du pass sanitaire, ainsi que la date d’émission, et le sceau d’authenticité (une signature numérique) ;
  • des informations personnelles : nom, prénom et date de naissance ;
  • des informations de santé : le type de molécule injectée, le nom du vaccin reçu, le nombre de doses reçues, la date de vaccination et si ce nombre est suffisant pour être protégé de manière optimale pour la personne vaccinée.



« Au-delà de ces informations de santé, il est également possible d’inférer des informations de santé encore plus privées sur certains citoyens : ont-ils déjà été infectés par la COVID-19 (besoin que d’une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmi les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ?

« Ces informations dépassent largement le cadre et la finalité du pass sanitaire ».

Qu'en est-il du code QR ?

En janvier, dans un document édité par le Comité de contrôle et de liaison covid-19 (CCL-Covid), chargé de conseiller le gouvernement sur les dispositifs numériques de lutte contre la pandémie, il était prévu une nouvelle fonctionnalité à l’application française TousAntiCovid : l’utilisation de codes QR comme dispositif de traçage des contacts. Ils seraient placés à l’entrée des lieux clos, comme les restaurants et les transports en commun.

CCL-Covid a expliqué que « de manière simplifiée, un code QR sera positionné à l’entrée de certains lieux à risque (liste des lieux en cours d’identification en lien avec SPF [Santé publique France, NDLR]). La personne flashe ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu. Si une personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, la personne ci-avant reçoit une notification de contact warning, dit à ‘risque modéré‘ (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors la personne reçoit une notification classique de contact tracing à ‘risque élevé’. »

Aussi, en plus du 2D-DOC, un QR-Code « classique » est présent sur les attestations de vaccination. Là encore, il est lisible par n’importe qui et contient un lien de la forme :

https://bonjour.tousanticovid.gouv.fr/app/wallet?v=Dxxxxxxx

Cette URL contient l’ensemble des informations du 2D-DOC (après le wallet?v=), sans protection particulière. Sur Twitter, le compte TousAntiCovid explique : « L'ajout d'un QR Code sur le document permet notamment un scan simplifié avec de nombreux smartphones sans ouvrir immédiatement l'application TousAntiCovid. Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web ».


Et TousAntiCovid-Verif, le système de vérification à l'intention de certains professionnels ?

TousAntiCovid-Carnet s’inscrit dans la stratégie du passe sanitaire, qui sera obligatoire dans certaines situations, à commencer par les événements qui rassemblent plus de 1 000 personnes. Il est aussi prévu un système permettant de vérifier l’authenticité des justificatifs qui sont contenus dans cette rubrique, ou qui sont présentés sur une feuille de papier.

Ce système consiste en une autre application, appelée TousAntiCovid-Verif, qui n’est pas à destination du public, mais de certains professionnels (comme les compagnies aériennes, pour vérifier la validité des documents sanitaires avant l’embarquement et déterminer si vous pouvez effectivement voyager).

Même si elle est réservée à certaines personnes et services autorisés (un usager lambda n'a pas le droit de s'en servir), dans les faits, il n’est pas dit que des usages inappropriés surviennent. Il est difficile de s’assurer que seules les bonnes personnes s’en servent, malgré un rappel des sanctions possibles.

Concernant ces personnes habilitées, Cédric O a indiqué au Parisien qu'elles ne « sauront que le nom, le prénom et la date de naissance de la personne concernée ». Ce sont effectivement les seules informations affichées par TousAntiCovid Verif, mais uniquement, parce que l’application « cache » le reste. Cela n’empêche pas une personne utilisant une autre application d'y accéder sans peine.

« Pour les compagnies aériennes, il y aura une version spécifique, car elles ont obligation d’avoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination, etc. Elles pourront la télécharger sur les stores, avec un contrôle d’accès par identifiant », ajoutait Cédric O. Comme nous venons de le voir, une telle distinction n'a pas vraiment de sens puisque n’importe qui peut accéder au même niveau d'information.

Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.

De plus, « la partie données de santé aurait pu être chiffrée, et donc accessible si besoin uniquement aux détenteurs d’une clé de déchiffrement dont l’accès aurait pu être sécurisé », comme dans le cas des compagnies aériennes ainsi que l’indiquait le secrétaire d'État chargé de la Transition numérique.

Sources : Service Public, CNIL, Broken By Design, Christian Quest
17  1 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 13/05/2020 à 12:40
L'INRIA publie une partie du code source de StopCovid, l'application qui s'appuie sur le protocole ROBERT
plutôt que sur l'API proposée par Apple et Google

Tout est parti d'une annonce du secrétaire d’État au Numérique, Cédric O, qui a révélé au journal Le Monde que le gouvernement travaille d’ores et déjà sur une application mobile dénommée StopCovid : « Le gouvernement a décidé de lancer le projet StopCovid afin de développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission ». « L’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner », explique-t-il.

Le secrétaire d'État n'a pas oublié d'expliquer le fonctionnement de StopCovid. Le projet s'appuie sur la technologie Bluetooth, qui permet aux smartphones d'identifier des appareils à proximité (écouteurs, enceintes, imprimantes...) et non le recueil de données de géolocalisation. « L'application ne géolocalisera pas les personnes. Elle retracera l'historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure ni transmettre aucune donnée », explique le secrétaire d'État.

Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l'un enregistre les références de l'autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique.

Sous la supervision du Ministère de la Santé et des solidarités et du Secrétariat d’État au numérique, en lien avec le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, Inria pilote depuis le 7 avril 2020 le développement de l’application « StopCovid » auquel contribue à titre gracieux un ensemble d’acteurs publics et privés, au sein de l’équipe-projet StopCovid, qui rassemble ANSSI, Capgemini, Dassault Systèmes, INSERM, Lunabee, Orange, Santé Publique France et Withings , et que complète un écosystème de contributeurs. Ce projet contribue à la gestion de la crise sanitaire Covid-19 et au suivi épidémiologique par les autorités de santé.

En amont de toute décision politique, l’objectif du projet est de pouvoir rendre possible la mise à disposition d’une application permettant d’informer les usagers s’ils ont été en contact avec une personne ayant été testée positive au Covid-19, et de leur proposer des conduites à tenir, conformément aux préconisations du Ministère de la Santé et des solidarités.

Le projet repose sur l’implémentation d’un protocole, ROBERT (ROBust and privacy-presERving proximity Tracing), qui a donné lieu à un avis du Conseil national du numérique (rendu public le 24 avril 2020) et à une délibération de la CNIL (rendue publique le 26 avril 2020). Cinq fondements ont guidé les développements :
  • L’inscription de l’application StopCovid dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique.
  • Le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la commission européenne sur les applications de suivi de proximité.
  • La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. L’objectif est d’apporter toutes les garanties : transparence des algorithmes, code ouvert à terme, interopérabilité, auditabilité, sécurité et réversibilité des solutions.
  • Le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l’épidémie et accélérer la recherche médicale.
  • Le caractère temporaire du projet, dont la durée de vie correspondra, s’il est déployé, à la durée de gestion de l’épidémie de Covid-19.



Le code source est désormais disponible

C’est dans ce contexte qu’une ne première partie des briques logicielles a été publiée le 12 mai. Désormais visible, le code peut être revu par tous ceux qui le souhaitent. En le rendant public, l’équipe-projet StopCovid respecte son engagement de transparence.

Les personnes externes à l’équipe-projet StopCovid peuvent, à ce stade, donner un avis, faire remonter des suggestions ou des commentaires. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité.

Cette phase 1 limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée sur le développement, dans le cadre d’un agenda restreint. Toutes les contributions seront lues attentivement afin de pouvoir retenir celles qui seront jugées pertinentes voire qui seront susceptibles de jouer un rôle critique à ce stade du développement du code.

Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application.

ROBERT ne permet pas la surveillance et serait totalement anonyme

Selon une courte description sur le site officiel de l’INRIA, ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont l’objectif est de permettre la mise en place d’outils interopérables de suivi de contacts, respectueux des règlementations européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie.

Bruno Sportisse, PDG de l’INRIA a déclaré : « Il me semble très utile de commencer par rappeler ce qu’une application qui reposerait sur le protocole ROBERT n’est pas, eu égard aux interrogations légitimes qui s’expriment et aux confusions qui peuvent avoir lieu ». « Sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales », a-t-il poursuivi. Selon Bruno Sportisse donc, il ne s’agit en aucun cas d’un protocole qui permet le tracking.

En outre, toute application basée sur ce protocole n’est pas non plus une application de surveillance : elle est totalement anonyme. « Elle n’est pas non plus une application de délation : dans le cas où je suis notifié, je ne sais pas qui est à l’origine de la notification. Dans le smartphone de mon voisin, il n’y a aucune donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des crypto-identifiants de tous les smartphones rencontrés », a déclaré Bruno Sportisse pour expliquer que les données personnelles ne sont pas sauvegardées.

Toujours pour rassurer sur l’utilisation des données de l’application, il a déclaré ce qui suit : « Les paramètres du modèle de transmission et les données statistiques anonymes sont entre les mains de l’autorité de santé qui fixe l’utilisation de ce système. Pas d’une compagnie privée, aussi innovante soit-elle ». Par ailleurs, Sportisse estime que StopCovid n’est pas un remède miracle contre le Covid-19, mais qu’elle fait partie d’une longue liste de mesures visant à freiner la propagation du virus. Ils espèrent qu’elle leur donne de la visibilité face à un ennemi invisible.

Source : INRIA

Et vous ?

Que pensez-vous de cette initiative ?
Le protocole Bluetooth vous paraît-il sécurisé ?
Malgré l'absence du code source pour envoyer les données sur le serveur ainsi que les mécanismes de protection de la vie privée, pouvez-vous vous faire une idée de la sécurité de l'application ?
Que pensez-vous de la décision du gouvernement de choisir sa propre solution au détriment de l'API proposée conjointement par Google et Apple ?
Que pensez-vous de l'idée de proposer le code source en consultation ?
Envisagez-vous de contribuer ?
14  0 
Avatar de Cpt Anderson
Membre chevronné https://www.developpez.com
Le 24/06/2020 à 8:41
Il y a au moins une chose qui reste certaine en ce bas monde : la France est nulle en terme d'anticipation mais reste championne du monde pour ce qui est des dépenses inutiles.
15  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 26/07/2021 à 21:01
Citation Envoyé par imperio Voir le message
Ça ressemble quand même fortement à un discours anti-vax tout ça...
Si tu lis mon analyse, ne serais-ce que sa conclusion pour ne prendre qu'une minute, tu te contrediras tout seul : il y a de très bonnes raisons de se faire vacciner. Juste que ces raisons ne sont pas absolues. Une réponse à géométrie variable est encore nécessaire, et je ne cautionne pas l'absolutisme prôné par nos dirigeants qui ne voient que tout noir (non vacciné = ) ou tout blanc (vacciné = ). Pour rappel, être vacciné ne fait que, a priori, diminuer la probabilité de contaminer ou de développer des formes graves du COVID. Pour autant, il y a des effets secondaires connus, et pour l'instant on n'a qu'un recul de moins d'un an en phase de pharmacovigilance (phase finale où on applique à la population tout en vérifiant les observations de laboratoire).

Citation Envoyé par imperio Voir le message
Vaccine-toi, protège les tiens et les autres et ta liberté ne sera pas grignotée.
C'est précisément le discours absolutiste que je condamne. Certes les vaccins COVID ont montré des avantages, mais aussi des inconvénients. Et dans tous les cas, on ne peut pas se prononcer sur les effets à long terme de par le nouveau type de vaccin dont il est question. Préserver mes libertés à condition que je fasse confiance à des vaccins prônés par un gouvernement qui a démontré son incompétence en terme de gestion de crise et vendu par des grosses boîtes qui se protègent de toute responsabilité quant aux effets secondaires... désolé mais si c'est si fantastique je ne vois pas pourquoi ces grosses boites, qui ont pourtant les reins solides, ne prennent pas ces responsabilités. Dans un tel contexte de doute, je suis en prônant le doute, et donc pas de vaccination pour ceux qui n'ont pas besoin de prendre des risques.

Citation Envoyé par imperio Voir le message
Tu cites le vaccin contre la grippe, cependant je n'ai littéralement rien vu comme problème sur le long terme dans aucune publication scientifique à ce jour.
Sur le vaccin contre la grippe ? Moi non plus, et ça tombe bien je ne critique pas le vaccin contre la grippe. Juste que la COVID est en de nombreux points comparable à la grippe, mais qu'on la traite presque comme si c'était le tétanos.

Citation Envoyé par imperio Voir le message
Je suppose que la communication du gouvernement absolument désastreuse a joué pour beaucoup dans ce désastre... Cette peur contre les vaccins n'a aucun sens... Ils ont permis d'éradiquer des fléaux et je pense que les gens ont trop tendance à oublier ça.
Et encore une fois, je n'ai rien contre les vaccins de manière général. Quand je suis allé au Japon je me suis fait vacciner sans y réfléchir à deux fois : il s'agit de vaccins bien connus qui ont fait leurs preuves, je n'ai pas plus de raison d'en douter que de ce que je mange tous les midi. Il s'agit là de parler des vaccins propres à la COVID, qui sont d'un tout autre genre. Les données montrant une quasi absence d'effets à long terme des vaccins déjà connus ne peut pas être utilisé comme argument pour motiver un nouveau type de vaccin.

Merci donc de ne pas appliquer un filtre aussi binaire "pro-vaccin vs anti-vaccin". Le sujet n'est pas aussi trivial et doit être nuancé.
24  10 
Avatar de Cpt Anderson
Membre chevronné https://www.developpez.com
Le 27/07/2021 à 9:51
Je pense qu'il n'y a aucune surprise par rapport à l'adoption de cette loi, dans le sens ou les parlementaires et les sénateurs sont totalement déconnectés de la réalité, corrompus et ne sont préoccupés que par leur réélection. Ces gens qui doivent être les représentants du peuple, nous pissent dessus, encore une fois.
Et que dire de la méthode ? qu'on fasse voter des lois pareils a 6h du mat' à la va-vite...viens me parler de démocratie après !

La prochaine étape, c'est la validation par le conseil constitutionnel et là aussi, aucun souci, ces types qui sont censés nous protéger des politiques n' y verront aucun problème.

En résumé, notre système est pire que la dictature du pire pays du monde car il te fait croire à la liberté et à la démocratie alors que c'est pas du tout le cas. C'est la pire forme de totalitarisme.
22  8