Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Commission de l'UE veut des applis mobiles de suivi de la propagation du Covid-19 respectueuses de la vie privée, installables sur la base du volontariat
Et publie donc un guide de mise sur pied

Le , par Patrick Ruiz

171PARTAGES

5  0 
Les applications mobiles dont usent les pays de l'UE pour endiguer la propagation du coronavirus doivent respecter les règles de l'Union en matière de protection de la vie privée et obtenir le consentement des personnes concernées pour utiliser des données personnelles, mais exclure les données de localisation. C’est de façon ramassée ce qui ressort d’une récente note d’information de la Commission européenne.

Les recommandations de l'exécutif européen font partie d'une approche unifiée pour l'utilisation de la technologie dans la lutte contre le COVID-19. Grosso modo, il s’agit d’un guide pratique de mise sur pied des applications de suivi de la propagation publié à l’intention des États membres. C’est une boîte à outils qui définit les exigences essentielles pour ces applications. Dans les grandes lignes on retrouve entre autres : la conformité totale aux règles de l'UE en matière de protection des données et de la vie privée ; la mise en œuvre en étroite collaboration avec les autorités en charge de la santé publique et l’approbation par ces dernières ; l’installation sur la base du volontariat et la suppression lorsque ces applications ne sont plus nécessaires ; l’utilisation des dernières technologies permettant d’améliorer la vie privée, notamment, Bluetooth qui évite de pister les individus ; l’utilisation de données sous anonymat ; l’interopérabilité dans toute l’Union.

Dans sa dernière publication, la Commission de l’UE répertorie un ensemble d’initiatives en cours, qui si elles ne le sont pas déjà, devront s’aligner aux exigences formulées au sein de la boîte à outils. En effet, le 10 avril dernier, Google et Apple ont passé l’annonce conjointe du lancement d’une initiative relative à l’utilisation du protocole Bluetooth comme socle des applications de traçage de la propagation du Covid-19. Il s’agit de s’appuyer sur Bluetooth Low Energy (BLE) pour la détection des téléphones à proximité, les échanges de données pertinentes dans le cadre de l’opération et l’émission d’alertes destinées aux utilisateurs du système. D’après ce que rapporte Reuters, des discussions entre membres de la Commission de l’UE et responsables chez Google et Apple sont en cours pour arrimer leur initiative aux exigences de la boîte à outils de l’UE.



Après, il faut souligner que la publication de la Commission européenne arrive au moment où le projet dénommé Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), qui mobilise 130 experts, a en principe débouché sur la mise sur pied d’une plateforme technologique sous licence. La plateforme dite de traçage de proximité fait un usage anonyme de la technologie Bluetooth des téléphones portables d'une manière qui respecte le règlement général de l'Union européenne sur la protection des données (GDPR). Cela évite d’effectuer un suivi intrusif des données de localisation. Le système enregistre (pendant deux semaines) les connexions établies entre les smartphones sur ces derniers, plutôt que sur un serveur central, en utilisant un chiffrement fort. Seules les autorités sanitaires locales sont considérées comme des personnes de confiance pour télécharger des données afin de pouvoir avertir les personnes à risque d'infection et leur dire de s'isoler.

« En trouvant et en isolant des tiers avec lesquels une personne atteinte a été en contact étroit, on prend une longueur d’avance », expliquent les chercheurs.



À date, 28 pays de par le monde ont chacun déployé des applications de suivi de la propagation du virus. Dans ce lot, l’Europe compte près de la moitié ; onze pour être précis. En France, la récente sortie de la Commission européenne devrait permettre de peaufiner un peu plus les détails de l’application StopCovid en cours de gestation. Ce projet s’appuie lui aussi sur la technologie Bluetooth qui permet à des smartphones d’identifier des appareils à proximité et non de recueillir des données de géolocalisation.

Applications mobiles alignées sur le guide de l’UE : pourquoi ça pourrait ne pas marcher ?

L’efficacité des solutions proposées par les différents acteurs repose sur une adoption de masse des outils qu’ils mettent à la disposition du public. Or, deux facteurs risquent de jouer contre l’atteinte de cet objectif : l’installation sur la base du volontariat et le fait que tout le monde ne dispose pas de smartphone. Sur le deuxième axe de réflexion en effet, près de 23 % de la population en France ne possède pas de téléphone dit intelligent, d’après Statista. L’Espagne, l’Italie et l’Allemagne affichent de façon respective des taux de pénétration de cette technologie de 60,8 %, 70,4 % et 79,9 %. C’est donc un paquet important de la population qui est susceptible de s’ajouter au lot de ceux qui pour une raison ou une autre ne procéderont pas à l’installation d’une des applications de suivi.

En sus, quelques problèmes d’ordre technique se posent. La technologie Bluetooth sur laquelle se basent ces applications ne serait pas suffisamment précise pour permettre de mesurer si l'on se trouvait à plus (ou moins) des deux mètres de distanciation sociale recommandés par les autorités sanitaires. La qualité du signal aussi dépendrait de facteurs additionnels : le terminal utilisé, sa batterie, la qualité de ses composants, etc.

Source : Commission UE

Et vous ?

Que pensez-vous de cette initiative de la Commission européenne ?
Quels sont d’après vous les facteurs susceptibles de la mener à un échec ?
Quels sont ceux qui concourent à ce qu’elle soit une réussite ?

Voir aussi :

StopCovid : quelle serait l'utilité de l'application de traçage qu'étudie le gouvernement français*? Quels obstacles techniques sont rencontrés ? Voici quelques éléments de réponses
StopCovid : la France travaille sur une application qui va tracer l'historique des contacts avec les malades, mais la piste de la géolocalisation est écartée
Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 17/06/2020 à 13:07
StopCovid : l’application collecte bien plus de données que ce que le gouvernement avait annoncé,
le secrétariat d’État au numérique s'explique

Dans un décret relatif au traitement de données dénommé « StopCovid » qui a été publié le 29 mai 2020, le gouvernement a identifié les données qui seraient traitées. Il est par exemple expliqué que, pour les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent, l’historique de proximité des contacts à risque de contamination par le virus du covid-19 est transmis au serveur central.

Cet historique correspond aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l'historique de proximité.

En clair, sur le papier, si vous avez téléchargé l’application StopCovid, que vous êtes atteint par le virus et que vous le déclarez dans l’application, alors les données transmises au serveur central seront celles des personnes avec lesquelles vous avez été en contact « à moins d'un mètre pendant au moins 15 minutes », et qui disposent aussi de l’application.

La collecte d’informations liées à un utilisateur de StopCovid devait donc se limiter à ces contacts-là : et non à la totalité des personnes croisées. Selon Gaëtan Leurent, un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique (Inria, qui s’occupe du projet StopCovid), en pratique ce n’est pas le cas.

Sur la plateforme, il explique que trop de données sont envoyées au serveur :

« Quelles sont exactement les données envoyées au serveur quand un utilisateur se déclare malade?
  • Tous les contacts croisés pendant les 14 derniers jours, ou
  • Uniquement les contacts avec un risque de transmission, c'est-à-dire à moins d’un mètre pendent plus de 15 minutes

« Le décret relatif à StopCovid indique la deuxième option, qui suit le principe de minimisation des données demandé par la CNIL et le RGPD. Cependant, à ma connaissance, la version actuelle de StopCovid utilise la première option. Elle envoie donc une grande quantité de données au serveur qui n'a pas d'intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée.

« Est-ce que vous travaillez sur une mise en place de la deuxième option?

« Le principe de minimisation des données du RGPD, mentionné aussi dans l'avis de CNIL voudrait qu'on utilise la deuxième option ».

Selon lui, les textes (notamment l’arrêté et le décret qui encadre le déploiement de StopCovid) indiquent clairement la situation 2 : l'application ne traite et stocke que les contacts « à risque de contamination » et en cas de déclaration du malade, ne transmet que les contacts « à risque de contamination ». D'après l'arrêté, cela signifie à moins d'un mètre pendant plus de 15 minutes.


« Malheureusement, l'application StopCovid utilise apparemment la première option. J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé).

« Ce comportement est aussi confirmé par les Administrateurs StopCovid

« Bizarrement, il y a du code dans l'application qui a l'air d'implémenter un algorithme de mesure de distance de Gorce, Egan et Gribonval, mais ce code n'est apparemment pas utilisé par le reste de l'application. Si ce comportement est confirmé, je pense que c'est en contradiction avec le décret qui encadre l'utilisation de StopCovid, et cela présente un vrai risque pour le serveur d'apprendre le graphe social des utilisateurs ».

Le secrétariat d’État au numérique s'explique

Contacté par Mediapart, le secrétariat d’État au numérique n’a pas remis en cause ces révélations : « StopCovid repose sur la remontée de l’historique de proximité d'un utilisateur diagnostiqué positif : cet historique de proximité est constitué des contacts rencontrés par l’utilisateur positif ». Sous-entendu : tous les contacts, et non pas seulement les plus proches.

Cependant il a tenu à les justifier. Il explique que « tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil » : « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques. »

Raison pour laquelle « le calcul de l’exposition au risque d’un des contacts de cet historique de proximité est effectué sur le serveur ». C’est donc le serveur qui va déterminer, entre tous les contacts de la personne positive, ceux qui auront été exposés suffisamment près et suffisamment longtemps.

Ces explications ne convainquent, cependant, pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. »

Le chercheur estime que « Ce qui serait plus respectueux de la vie privée, c’est que le téléphone calcule » lui-même la distance qui le sépare d’un autre repéré par Bluetooth, puis envoie au serveur, le cas échéant, seulement ceux qui seront restés assez près, assez longtemps. « Ce qui est dommage, c’est que si on envoie tous les contacts, c’est beaucoup plus d’infos que ce qui est utile. Il y a un risque sur la vie privée en cas de réidentification ou de recyclage des infos par malveillance. » Car la portée du Bluetooth peut aller, selon la puissance des appareils, émetteurs et récepteurs, jusqu’à une vingtaine de mètres.

Pour Baptiste Robert, hacker et chercheur en sécurité informatique qui a participé à la recherche de bugs dans l’application, l’envoi de tous les contacts permet « de voir des récurrences » : chaque jour, « on croise les mêmes personnes, on bosse avec les mêmes personnes ». Ainsi, des acteurs mal intentionnés pourraient « réidentifier la donnée assez rapidement ». Il regrette le choix qui a été fait, car selon lui, « l’appli pourrait trier ce qu’elle envoie ».

La Commission nationale informatique et libertés (CNIL) a fait savoir à Mediapart que des contrôles étaient « en cours » sur le sujet. Au secrétariat d’État au numérique, on assure, ce mardi 16 juin, que la CNIL a été parfaitement informée du fonctionnement réel de StopCovid et que son avis sur le dispositif, largement positif et rendu mardi 26 mai, a été pris en toute connaissance de cause.

Sources : Gaëtan Leurent, Mediapart

Et vous ?

Que pensez-vous de ces explications ?
Que pensez-vous de la proposition de Gaëtan Leurent ?
22  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 20/07/2020 à 21:48
StopCovid : la CNIL relève plusieurs irrégularités sur l'application,
et donne un mois au ministère des Solidarités et de la Santé pour corriger les différents problèmes

Dans le contexte de l'état d'urgence sanitaire lié à l'épidémie de covid-19, et plus particulièrement de la stratégie dite de « déconfinement » menée par le gouvernement, le ministère des Solidarités et de la Santé a proposé dans les magasins d'applications App Store et PlayStore, depuis le 2 juin 2020, une application dénommée «StopCovid France », disponible sur smartphones tournant sur iOS et Android. Le traitement de données personnelles dénommé « StopCovid » a pour responsable de traitement le ministre chargé de la santé (direction générale de la santé).

L'application « StopCovid France » est une application de suivi de contacts (ou « contact tracing ») qui permet à chaque utilisateur d'enregistrer un historique de « contacts » avec d'autres utilisateurs, c'est-à-dire une information relative à la proximité entre deux terminaux mobiles. Elle permet à l'utilisateur de se déclarer diagnostiqué ou dépisté au virus SARS-CoV 2. Elle permet également aux utilisateurs d'être informés qu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus SARS-CoV-2 et, le cas échéant, d'être invités à prendre attache avec un professionnel de santé pour être pris en charge le plus rapidement possible et, ainsi, d'être intégrés dans le système plus général de gestion du virus SARS-CoV-2 (systèmes d'information « SI-DEP » et « Contact Covid »).

L'application, dont le téléchargement et l'utilisation reposent sur une démarche volontaire de l'utilisateur, fonctionne grâce à la conservation de l'historique de proximité, constitué des pseudonymes émis par les ordiphones via la technologie Bluetooth à basse consommation (Bluetooth Low Energy — BLE).

En pratique, une fois installée et les fonctionnalités activées, l'application émet des messages Bluetooth spécifiques et en reçoit en provenance d'autres ordiphones sur lesquels l'application « StopCovid France » a été installée et activée.

Si un utilisateur de l'application est diagnostiqué ou dépisté positif au virus SARS-CoV-2, il peut le déclarer dans l'application grâce à un code fourni par le professionnel de santé (via un code de 6 caractères ou un QR Code). L'utilisation de ce code par l'utilisateur lui permet d'envoyer son historique de « contacts » au serveur central qui traite alors chacun des contacts présents dans l'historique, afin d'en estimer le risque de contamination au virus SARS-CoV-2. Le serveur maintient une base de données dont chaque enregistrement correspond à un utilisateur et contient le score de risque associé à cet utilisateur.

L'application contacte une fois par jour le serveur afin de vérifier le statut d'exposition de l'utilisateur. Les utilisateurs ayant été en contact (à moins d'un mètre pendant au moins 15 minutes) avec la personne diagnostiquée ou dépistée positive sont prévenus qu'ils ont été exposés à un risque de contamination au virus SARS-CoV-2. Ils sont alors invités à suivre des consignes spécifiques liées à la protection de leur santé et à la lutte contre la propagation du virus (surveillance des symptômes, confinement, mise en relation avec un professionnel de santé).


La mise à jour

Une nouvelle version de l'application « StopCovid France » (version v1.1) a été déployée fin juin 2020, et constitue une version mise à jour de la version « StopCovid France » à sa date de lancement (version v1.0.). Cette nouvelle version de l'application apporte deux changements majeurs. D'une part, la méthode d'authentification par « captcha » - qui permet de vérifier lors de l'activation initiale de l'application que cette dernière est utilisée par un être humain - qui reposait sur la technologie « reCaptcha » de la société GOOGLE, est désormais remplacée par la technologie « captcha » développée par la société ORANGE. D'autre part, une fonction de préfiltre de l'historique des contacts de l'utilisateur qui se déclare positif au virus SARS-CoV 2, fondée sur des critères de durée et de distance du contact, est activée pour agir au niveau du téléphone de l'utilisateur.

À ce jour, les deux versions de l'application coexistent. Les utilisateurs qui ont téléchargé l'application à compter du 25 juin 2020 ou qui ont procédé à la mise à jour de l'application depuis cette date disposent sur leurs smartphones de la version v1.1.

Les contrôles de la CNIL

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. Ils ont débuté le 9 juin dernier par un contrôle en ligne de l’application et l’envoi d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre. Ils se sont poursuivis par des contrôles sur place les 25 et 26 juin 2020.

Au jour des contrôles de la CNIL des 25 et 26 juin 2020, l'application « StopCovid France >> dans sa version v1.0 avait été téléchargée environ 1,9 million de fois et avait été activée environ 1,5 million de fois.

Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été prises en compte par le ministère des Solidarités et de la Santé.

En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.

Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. À ce jour, les deux versions de l’application coexistent.


La CNIL a notamment relevé les points suivants lors de ses contrôles :
  • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployée le 26 juin dernier. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
  • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Néanmoins, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
  • Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD, mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
  • Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère, mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Les conclusions de la CNIL

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points. Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

Compte tenu du nombre particulièrement important de personnes concernées (près de 2 millions d’utilisateurs) et du caractère sensible des données personnelles issues de l’application « StopCovid France », qui portent sur l’état de santé des utilisateurs, le Bureau de la CNIL a décidé de rendre publique cette mise en demeure.

Cette publicité contribue également à l’objectif de transparence du contrôle mené par la CNIL sur les conditions et modalités du fonctionnement de l’application « StopCovid France », mise en œuvre par un responsable public dans le cadre d’une mission d’intérêt public. À cet égard, elle permet de sensibiliser les usagers de l’application à la nécessité d’accepter la mise à jour afin de disposer d’une application plus protectrice de leurs données.

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti. Dans ce cas, la clôture de la procédure sera également publique. Dans le cas contraire, la Présidente pourra saisir la formation restreinte de la CNIL afin qu’une sanction soit prononcée.

Source : CNIL

Voir aussi :

Covid-19 : seuls 3,1 % des Français ont téléchargé l'application StopCovid, selon une étude de Sensor Tower
StopCovid : l'application collecte bien plus de données que ce que le gouvernement avait annoncé, le secrétariat d'État au numérique s'explique
StopCovid : l'association anticorruption ANTICOR s'interroge sur le coût de maintenance de l'application et alerte le parquet national financier sur des soupçons de favoritisme
16  0 
Avatar de Cpt Anderson
Membre expérimenté https://www.developpez.com
Le 24/06/2020 à 8:41
Il y a au moins une chose qui reste certaine en ce bas monde : la France est nulle en terme d'anticipation mais reste championne du monde pour ce qui est des dépenses inutiles.
15  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 13/05/2020 à 12:40
L'INRIA publie une partie du code source de StopCovid, l'application qui s'appuie sur le protocole ROBERT
plutôt que sur l'API proposée par Apple et Google

Tout est parti d'une annonce du secrétaire d’État au Numérique, Cédric O, qui a révélé au journal Le Monde que le gouvernement travaille d’ores et déjà sur une application mobile dénommée StopCovid : « Le gouvernement a décidé de lancer le projet StopCovid afin de développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission ». « L’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner », explique-t-il.

Le secrétaire d'État n'a pas oublié d'expliquer le fonctionnement de StopCovid. Le projet s'appuie sur la technologie Bluetooth, qui permet aux smartphones d'identifier des appareils à proximité (écouteurs, enceintes, imprimantes...) et non le recueil de données de géolocalisation. « L'application ne géolocalisera pas les personnes. Elle retracera l'historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure ni transmettre aucune donnée », explique le secrétaire d'État.

Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l'un enregistre les références de l'autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique.

Sous la supervision du Ministère de la Santé et des solidarités et du Secrétariat d’État au numérique, en lien avec le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, Inria pilote depuis le 7 avril 2020 le développement de l’application « StopCovid » auquel contribue à titre gracieux un ensemble d’acteurs publics et privés, au sein de l’équipe-projet StopCovid, qui rassemble ANSSI, Capgemini, Dassault Systèmes, INSERM, Lunabee, Orange, Santé Publique France et Withings , et que complète un écosystème de contributeurs. Ce projet contribue à la gestion de la crise sanitaire Covid-19 et au suivi épidémiologique par les autorités de santé.

En amont de toute décision politique, l’objectif du projet est de pouvoir rendre possible la mise à disposition d’une application permettant d’informer les usagers s’ils ont été en contact avec une personne ayant été testée positive au Covid-19, et de leur proposer des conduites à tenir, conformément aux préconisations du Ministère de la Santé et des solidarités.

Le projet repose sur l’implémentation d’un protocole, ROBERT (ROBust and privacy-presERving proximity Tracing), qui a donné lieu à un avis du Conseil national du numérique (rendu public le 24 avril 2020) et à une délibération de la CNIL (rendue publique le 26 avril 2020). Cinq fondements ont guidé les développements :
  • L’inscription de l’application StopCovid dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique.
  • Le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la commission européenne sur les applications de suivi de proximité.
  • La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. L’objectif est d’apporter toutes les garanties : transparence des algorithmes, code ouvert à terme, interopérabilité, auditabilité, sécurité et réversibilité des solutions.
  • Le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l’épidémie et accélérer la recherche médicale.
  • Le caractère temporaire du projet, dont la durée de vie correspondra, s’il est déployé, à la durée de gestion de l’épidémie de Covid-19.



Le code source est désormais disponible

C’est dans ce contexte qu’une ne première partie des briques logicielles a été publiée le 12 mai. Désormais visible, le code peut être revu par tous ceux qui le souhaitent. En le rendant public, l’équipe-projet StopCovid respecte son engagement de transparence.

Les personnes externes à l’équipe-projet StopCovid peuvent, à ce stade, donner un avis, faire remonter des suggestions ou des commentaires. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité.

Cette phase 1 limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée sur le développement, dans le cadre d’un agenda restreint. Toutes les contributions seront lues attentivement afin de pouvoir retenir celles qui seront jugées pertinentes voire qui seront susceptibles de jouer un rôle critique à ce stade du développement du code.

Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application.

ROBERT ne permet pas la surveillance et serait totalement anonyme

Selon une courte description sur le site officiel de l’INRIA, ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont l’objectif est de permettre la mise en place d’outils interopérables de suivi de contacts, respectueux des règlementations européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie.

Bruno Sportisse, PDG de l’INRIA a déclaré : « Il me semble très utile de commencer par rappeler ce qu’une application qui reposerait sur le protocole ROBERT n’est pas, eu égard aux interrogations légitimes qui s’expriment et aux confusions qui peuvent avoir lieu ». « Sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales », a-t-il poursuivi. Selon Bruno Sportisse donc, il ne s’agit en aucun cas d’un protocole qui permet le tracking.

En outre, toute application basée sur ce protocole n’est pas non plus une application de surveillance : elle est totalement anonyme. « Elle n’est pas non plus une application de délation : dans le cas où je suis notifié, je ne sais pas qui est à l’origine de la notification. Dans le smartphone de mon voisin, il n’y a aucune donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des crypto-identifiants de tous les smartphones rencontrés », a déclaré Bruno Sportisse pour expliquer que les données personnelles ne sont pas sauvegardées.

Toujours pour rassurer sur l’utilisation des données de l’application, il a déclaré ce qui suit : « Les paramètres du modèle de transmission et les données statistiques anonymes sont entre les mains de l’autorité de santé qui fixe l’utilisation de ce système. Pas d’une compagnie privée, aussi innovante soit-elle ». Par ailleurs, Sportisse estime que StopCovid n’est pas un remède miracle contre le Covid-19, mais qu’elle fait partie d’une longue liste de mesures visant à freiner la propagation du virus. Ils espèrent qu’elle leur donne de la visibilité face à un ennemi invisible.

Source : INRIA

Et vous ?

Que pensez-vous de cette initiative ?
Le protocole Bluetooth vous paraît-il sécurisé ?
Malgré l'absence du code source pour envoyer les données sur le serveur ainsi que les mécanismes de protection de la vie privée, pouvez-vous vous faire une idée de la sécurité de l'application ?
Que pensez-vous de la décision du gouvernement de choisir sa propre solution au détriment de l'API proposée conjointement par Google et Apple ?
Que pensez-vous de l'idée de proposer le code source en consultation ?
Envisagez-vous de contribuer ?
14  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 09/05/2020 à 10:09
Covid-19 : le NHS, système national de santé en Grande-Bretagne, dévoile le code source de son application de traçage de contacts,
Qui contourne les restrictions d’Apple liées au Bluetooth

Alors que plusieurs pays préparent le déconfinement, le gouvernement britannique s'est empressé de trouver des moyens d'assouplir les restrictions sans mettre en danger la sécurité publique. Parmi ses solutions, il y a une application de traçage de contacts qui peut permettre la recherche numérique de contacts à grande échelle. Au cours de cette semaine, le gouvernement a révélé de plus amples détails sur cette application, dont a première phase de déploiement est en cours sur l'île de Wight avant d’être étendue au reste du Royaume-Uni, si elle s'avère efficace. NHS a dévoilé le code source de l’application de recherche de contacts le jeudi dernier.

Selon un article publié par BBC News, jusqu’à jeudi, plus de 40 000 personnes avaient installé le logiciel pour smartphone. L’application britannique de traçage de contacts, comme toute autre application de ce type, est conçue pour permettre aux personnes de savoir si elles ont été en contact étroit avec une personne qui, par la suite, a signalé un résultat positif au test Covid-19. Elle pourrait permettre de déterminer exactement qui doit être mis en quarantaine et qui ne doit pas l'être, ce qui est essentiel pour assouplir les mesures de distanciation sociale. L'objectif de l'application est d'essayer de retrouver les personnes et de les alerter de la nécessité de s'isoler plus rapidement que les méthodes traditionnelles.


Un système de recherche de contacts centralisé

L'application Covid-19 du NHS est conçue pour utiliser les smartphones des gens afin de savoir quand ils se sont rapprochés les uns des autres et pendant combien de temps, en envoyant des signaux Bluetooth. Les utilisateurs qui téléchargent l'application peuvent choisir volontairement d'enregistrer les détails de leurs symptômes lorsqu'ils commencent à se sentir mal. L'application garde une trace des personnes qui ont été en contact étroit grâce à des signaux Bluetooth qui transmettent une identification anonyme. Ces signaux Bluetooth à faible énergie effectuent une "poignée de main" numérique lorsque deux utilisateurs entrent en contact étroit, mais gardent ces données anonymes, selon NHS.

Si une personne signale ultérieurement qu'elle est positive au coronavirus, elle enverra un message ping aux personnes qui ont été en contact étroit avec elle, et qu’elle aurait pu infecter, au cours des 28 derniers jours, en se basant sur leurs identifiants anonymes. L'application recommandera à ces personnes de s'isoler au cas où elles auraient contracté la maladie, éventuellement avant qu'elles n'aient des symptômes. Les personnes contactées ne connaîtront pas l'identité de la personne susceptible d'avoir transmis le coronavirus. Si la personne passe un test et que celui-ci est négatif, elle peut être libérée de son auto-isolement par une notification via l'application.

Pour son application mobile, le NHSX, l'unité d'innovation numérique du service de santé, a opté pour un système centralisé pour alimenter l'application, de sorte que le processus de recherche des contacts se déroule sur un serveur informatique basé au Royaume-Uni plutôt que sur les smartphones des particuliers.


Et il y a eu beaucoup de spéculations sur le fait que cette décision signifierait que l'application était condamnée à mal fonctionner sur certains smartphones. En effet, l’un des acteurs majeurs des systèmes d’exploitation mobiles, Apple, limite la possibilité pour les applications tierces d'utiliser le Bluetooth lorsqu'elles fonctionnent en arrière-plan, bien qu'elle ait promis d'assouplir cette règle pour les applications de recherche de contacts qui utilisent un système décentralisé qu'elle co-développe avec Google.

L’Allemagne, qui soutenait auparavant l’option de recherche centralisée, a fini par adopter le mois dernier la recherche décentralisée de contacts préconisée par Google et Apple. La communauté scientifique et les associations britanniques ainsi que plusieurs centaines de scientifiques européens et de militants ont critiqué sévèrement le choix du pays en mettant en garde contre les dérives potentielles de l'approche. Selon BBC News, Singapour et l'Australie ont signalé qu'ils passeraient également de l'approche centralisée à des applications décentralisées, pour respecter les contraintes d’Apple.

Des iPhone "jailbreakés" pour contourner les restrictions d’Apple liées au Bluetooth

Malgré les restrictions imposées par Apple aux applications tierces qui n’utilisent pas l’API Apple-Google, le NHSX avait dit avoir trouvé sa propre solution, et les tests préliminaires effectués par une société de cybersécurité suggèrent qu'elle a réussi, a rapporté BBC News. En effet, Pen Test Partners a installé l'application sur une poignée d'iPhone "jailbreakés" – modifiés pour leur permettre de surveiller des activités en arrière-plan.

« Lorsqu'ils étaient placés à proximité les uns des autres, les téléphones commençaient à "balayer" par Bluetooth à des intervalles de huit ou seize secondes », a déclaré le cofondateur Ken Munro. « D'autres ont exprimé leur inquiétude quant à l'inefficacité de l'application lorsqu'elle est placée en arrière-plan. Nos tests ont montré que cela ne semblait pas affecter le balisage, que les téléphones se soient rapprochés pour la première fois ou qu'ils aient été déplacés physiquement puis remis à portée », a-t-il ajouté.

Une autre société, Reincubate, a constaté que l'application était parfois "silencieuse" lorsqu'elle restait en arrière-plan pendant plus de 90 minutes sans être affichée à l’écran, mais a suggéré que cela ne devrait pas être un problème trop important dans des conditions réelles, a rapporté BBC News.


« Un certain nombre de facteurs raisonnables peuvent déclencher l'extension à cette fenêtre, y compris l'utilisation de Bluetooth, la présence d'appareils Android et l'efficacité des notifications [demandant à l'utilisateur de rouvrir l'application] », a-t-elle écrit sur son blog. « Dans nos tests, les appareils iOS sur lesquels nous avons lancé l'application ont continué à faire fonctionner le service en arrière-plan pendant la nuit », a ajouté la société.

Selon BBC News, les tests effectués pour son compte ont confirmé que les développeurs ont trouvé un moyen de contourner les restrictions qu'Apple impose à l'utilisation de Bluetooth dans les iPhone.

La France, dont l’application StopCovid entrera en phase test au cours de la semaine du 11 mai, refuse également d’adopter l’API proposée par Apple et Google et a demandé au fabricant d’iPhone d’assouplir ses restrictions liées au Bluetooth, ce qu’Apple refuse jusqu’à présent. Selon le gouvernement français, le contrôle français de la politique de santé est une « prérogative souveraine » qui ne devait pas être confiée à des entreprises privées.

Le code source de l’application traçage de NHS divulgué

« Il est là ! Le code source des applications COVID-19 BETA ». C’est sous ces termes que le NHSX a annoncé jeudi la divulgation du code source de son application Covid-19. Maintenant que le code est en ligne sur GitHub, l'application, qui fait déjà l’objet de déploiement, fera l'objet d'un examen plus approfondi. Ce qui permettra à d'autres, qui ne veulent pas utiliser l’API des deux géants de la technologie, de voir comment une solution de contournement a été réalisée.


Mais l’application ne passera pas sans critiques. Selon BBC News, déjà cette semaine, la commission conjointe des droits de l'homme a entendu des témoignages selon lesquels, malgré l'anonymat des utilisateurs, ceux-ci pourraient en théorie être réidentifiés, ce qui pourrait permettre aux autorités - voire aux pirates informatiques - de révéler les cercles sociaux des gens à d'autres fins. La commission a déclaré qu'un nouvel observatoire devrait être créé pour surveiller l'utilisation de l'application et les mesures prises pour garder les données en sécurité.

Harriet Harman, président du comité, a déclaré : « Les assurances des ministres sur la vie privée ne sont pas suffisantes ». « Il doit y avoir une protection juridique solide pour les individus sur ce à quoi ces données seront utilisées, qui y aura accès et comment elles seront protégées contre le piratage », a-t-il ajouté.

Selon BBC News, ceux qui critiquent l’approche britannique, disent que décentralisée permettrait de mieux protéger la vie privée des utilisateurs. Aussi, la nomination de la baronne Dido Harding par le ministre de la Santé Matt Hancock pour dirigera le programme de test, de suivi et de traçabilité, a surpris plus d'un. En effet, selon BBC, lorsqu'elle était directrice générale de TalkTalk, le fournisseur d'accès Internet a subi une importante violation de données et n'a pas informé correctement les clients concernés.

Le professeur Christophe Fraser - un épidémiologiste qui conseille NHSX - a déclaré à BBC News que leur approche centralisée avait deux principaux avantages. D’abord, elle permet de demander aux gens de s'autodiagnostiquer plutôt que d'attendre les résultats des tests. Ensuite, les données collectées pourraient être utilisées pour affiner le système afin de fournir différents types d'alertes en fonction des scores de risque calculés.

« Il y a eu beaucoup de discussions sur la vie privée, et à juste titre », a-t-il déclaré. « Mais il y a aussi votre capacité à sauver des vies. Et il y a la capacité de ne pas mettre en quarantaine des millions de personnes ». « La question de savoir comment trouver le système optimal qui permette de concilier ces différentes exigences est un peu ouverte à ce stade », a-t-il ajouté.

Aussi, l'analyse de la façon dont l'application est utilisée sur l'île de Wight permettra de décider de la meilleure façon de procéder. Par ailleurs, M. Fraser a ajouté que les discussions se poursuivaient avec Apple et Google.

Selon un commentateur qui a vu le code publié sur GitHub, il y a beaucoup de problèmes très sérieux qui se posent. « Les clés "secrètes" sont générées par le serveur central, Google Analytics suit les utilisateurs, l’application ne fonctionne pas sur les appareils OnePlus ou Samsung et elle utilise le HTTP », a-t-il écrit. Il a ajouté qu’il n’y a pas de chiffrement et que l’application ne fonctionne pas correctement sur les appareils Apple.

« Ce n'est pas un bon début, et il ne sera certainement pas installé tant qu'il n'aura pas été fortement révisé et que la sécurité n'aura pas été vérifiée », a-t-il conclu. Et vous, qu’en pensez-vous ?

Source : BBC News

Et vous ?

Avez-vous vu le code source publié ? Quel commentaire en faites-vous ?
Quel commentaire faites-vous de l’approche centralisée et l’initiative de contourner les restrictions liées au Bluetooth d’Apple ?
L’application Covid-19 du NHS sera-t-elle efficace, selon vous ?
L’application du NHS constitue-t-elle une menace contre la vie privée ?

Lire aussi

L'application française de traçage Covid-19 devrait être testée dans la semaine du 11 mai, lorsque le déconfinement commencera à entrer en vigueur dans le pays
StopCovid : le gouvernement demande à Apple de lever certaines restrictions liées à Bluetooth dans les iPhone, pour permettre à l'application de fonctionner
Appli de traçage du Covid-19 : comment Apple et Google ont fait plier l'Allemagne. L'Allemagne opte pour la décentralisation des données en se basant sur l'API d'Apple et Google
Une coalition européenne se forme autour de l'adoption d'applications de traçage de proximité, mais tous les pays ne s'accordent pas sur la meilleure façon de traiter des données recueillies
13  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 11/06/2020 à 20:00
Stopcovid : seulement 0,5 % de la population française utiliserait activement l'application onéreuse,
le gouvernement espère renverser la tendance en misant sur une campagne de communication

Depuis ce mardi 2 juin, StopCovid est disponible en téléchargement sur Google Play et Apple Store. La difficulté pour l’application est de se voir massivement adoptée car, selon les chercheurs, l’application ne sera vraiment utile que si elle est adoptée par une bonne partie de la population. Et pour le moment, il y a encore du chemin à parcourir.

En une semaine, 1,4 million d’activations ont été dénombrées, précisait au Monde, mardi 9 juin, le cabinet de Cédric O, le secrétaire d’État chargé du numérique. Ce chiffre, qui représente environ 2 % de la population française. Le gouvernement a fait savoir que ce chiffre ne correspond pas simplement à des téléchargements, mais bel et bien à l'activation de l'application qui a par ailleurs recours au Bluetooth ; en clair, mardi 9 juin, 1,4 million d’utilisateurs ont téléchargé StopCovid, ouvert l’application, puis ont cliqué sur le bouton « J’active StopCovid » après l’avoir autorisé à utiliser le Bluetooth du smartphone qui est la technologie servant à enregistrer les téléphones à proximité.

Un pourcentage somme toute bien faible. S’il fallait mettre des statistiques en perspective, nous pourrions noter que CovidSAFE, l’application australienne de contact tracing, a été téléchargée par 8% de sa population en un peu plus de 24 heures, bien sûr sur la base du volontariat. À ce propos, le ministre australien de la Santé a déclaré « plus de 2 millions d'Australiens ont volontairement téléchargé et se sont inscrits sur la nouvelle application de coronavirus, COVIDSafe. C'est une grande réussite pour les Australiens qui jouent leur rôle en se protégeant eux-mêmes, leur famille et la communauté de la propagation du coronavirus. Surtout, cela protégera nos travailleurs de la santé, qui ont également été à l'avant-garde pour encourager les gens à télécharger et à s'inscrire. Nous remercions tous ceux qui ont téléchargé l'application et se sont inscrits et nous encourageons ceux qui ne l'ont pas encore fait à le faire. Nous avons franchi cette étape en un peu plus de 24 heures depuis que l'application était disponible pour inscription ».


Plus tôt dans la semaine, sur le plateau de France 2, Cédric O avait déclaré : « Évidemment, il faudra que plusieurs millions de Français téléchargent l'application, mais c'est un très bon démarrage. [...] Tout le monde doit télécharger l'application, mais c'est d'autant plus important pour les personnes qui croisent des gens qu'elles ne connaissent pas, pour ceux qui prennent les transports en commun, ceux qui vont dans les restaurants, les bars, les magasins, parce que c'est là que le virus circule. »

Si Cédric O n'a jamais voulu se donner d'objectif d'utilisateurs, il avait, lors de son plaidoyer devant les députés, assuré que l'application serait efficace dès lors qu'elle serait adoptée par au moins 10 % de la population, soit 6 à 7 millions de Français. Cet écart entre les attentes et la réalité n'est toutefois pas suffisant pour inquiéter le secrétariat d’État au numérique qui assure au Monde qu'il est trop tôt pour tirer des conclusions. D’ailleurs, pour encourager les mobinautes à télécharger l’application, le gouvernement veut miser sur une large campagne de communication qui va cibler « les lieux à forte densité dans les transports en commun ». Elle comportera notamment des panneaux numériques dans les transports en commun, des spots diffusés à la radio et des publicités sur les réseaux sociaux.

Une autre métrique intéressante : le nombre d’utilisateurs actifs, soit le nombre d’applications qui, quotidiennement, sont actives et peuvent enregistrer les contacts rapprochés. Le secrétariat d’État au numérique ne dispose pas de cette donnée pour le moment.

Plusieurs experts indépendants sont cependant parvenus à une estimation de ce nombre. Ils ont profité du fait que, lorsqu’elle est activée, StopCovid dialogue régulièrement avec plusieurs serveurs centraux. Ces chiffres, accessibles dans un premier temps librement, ont ainsi permis de déterminer le nombre d’applications dialoguant, chaque minute, avec le serveur. La valeur obtenue, qui varie selon les calculs effectués, plaçait en fin de semaine dernière le nombre d’utilisateurs actifs aux alentours de 350 000 (soit environ 0,5 % de la population française), selon trois experts ayant réalisé ces calculs et interrogés par Le Monde.

Une polémique autour de la collecte des adresses IP

C’est un élément qui pourrait représenter (ou non) une épine dans le pied de l’adoption de l’application. Tout est parti d’une discussion sur GitLab, au sujet de la collecte de données autour de l’application serveur. L’auteur de la discussion, François Lesueur, qui est maître de conférences en informatique, faisait observer le 29 mai :

« À ma connaissance, il n'y a aucune information concernant les données qui seront collectées en dehors de l'application : journaux du serveur, journaux du réseau, proxys, etc. Ces informations incluent l'IP source et le port, mais peuvent également inclure certains détails techniques de l'appareil demandé.

« La journalisation est une pratique de sécurité basique et je serais surpris qu’il n’y ait aucune journalisation du tout. S’il y a une certaine journalisation, là, les détails doivent être révélés, car ils pourraient être en contradiction avec les propriétés de confidentialité annoncées ».

Julien Dubois, spécialisé en Java, qui avait expliqué le 28 mai que tout centraliser n’était pas une bonne idée et que les adresses IP allaient probablement figurer dans la journalisation a reçu une réponse le lendemain lui confirmant que cela ne serait pas le cas. Aussi, lorsqu’il a eu un échange avec Le Monde, il a dit qu’il ne pensait pas que les adresses IP étaient tracées : « C'était techniquement possible, mais je ne voulais pas être paranoïaque et j’avais confiance en la réponse de ces gens. Même s'il est moins efficace, il est en effet parfaitement possible de configurer votre passerelle API et vos logs, de ne stocker aucune information IP. C'est ce que proposent de nombreux fournisseurs de cloud et éditeurs de logiciels. »

Pourtant, il y a quelques heures, il est tombé sur le billet de François Lesueur : « Alors imaginez ma surprise quand j'ai vu ce billet de François Lesueur ce matin : ils prétendent désormais stocker votre adresse IP comme si c'était quelque chose de parfaitement normal ! »


Et de continuer en disant « Les développeurs de StopCovid ne semblent pas tous d'accord sur la question de savoir s'ils stockent les IP ou non. L'ensemble du système semble cassé depuis le début (mon premier fil était correct). Le protocole ROBERT est bon en théorie, pas en pratique. Je n'utiliserais pas cette application si j'étais toi ».

Baptiste Robert, un chercheur en cybersécurité, a réagi en ce tweet en disant :

« L'application française de contact tracing StopCovid stocke l'adresse IP des utilisateurs côté serveur. Pendant ce temps, nos politiciens affirment toujours que c'est totalement anonyme... Cédric O je peux sentir une violation du RGPD ici, l'application ne demande pas la permission à l'utilisateur de stocker son IP. »





Sources : Le Monde, ministère australien de la santé, Julien Dubois, François Lesueur, Baptiste Robert
13  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 17/07/2020 à 14:50
Covid-19 : seuls 3,1 % des Français ont téléchargé l'application StopCovid,
selon une étude de Sensor Tower

Plusieurs pays ont déployé des applications de suivi de contact pour encadrer le déconfinement de la population et le retour à la normale, dont la France avec StopCovid. Cependant, comparativement à plusieurs autres pays, l’enthousiasme de la population pour StopCovid est très faible. Selon une étude récente de Sensor Tower, c’est seulement 3,1 % des Français qui ont téléchargé l’application. C’est un pourcentage extrêmement faible par rapport aux chiffres annoncés par les études sur le nombre de personnes prêtes à installer l’application réalisées avant le lancement de StopCovid.

Globalement, les applications de suivi de contact n’ont pas rencontré le succès que plusieurs études ont prédit. L’étude de Sensor Tower a révélé que les applications de recherche de contacts ont atteint seulement 9 % d'adoption dans les 13 pays les plus peuplés du monde depuis leur arrivée en mars dernier. En effet, l'analyse de Sensor Tower s'est concentrée sur les applications de suivi de contacts approuvées par le gouvernement dans 13 pays de 20 millions d'habitants ou plus : Australie, France, Allemagne, Inde, Indonésie, Italie, Japon, Pérou, Philippines.


Il y a aussi l'Arabie Saoudite, Thaïlande, Turquie et Vietnam. Et en ce qui concerne le taux d'adoption, l’entreprise s’est basée sur les estimations démographiques actuelles des Nations Unies (UN) pour les résidents de ces pays âgés de 14 ans et plus. Les chiffres de population n'excluent pas les résidents n’ayant pas accès aux smartphones. Ainsi, sur une population combinée de près de 1,9 milliard de résidents, la société estime qu’environ 173 millions de personnes dans ces 13 pays ont téléchargé une application de suivi de contacts approuvée par le gouvernement.

Si l’on veut essayer de classer ces pays selon le taux d'adoption, c’est l’Australie qui arrive en tête avec COVIDSafe. L’application a obtenu le taux d'adoption le plus élevé du groupe, soit environ 4,5 millions d'installations uniques sur l'App Store et Google Play depuis son lancement fin avril. Ce chiffre représente 21,6 % de la population du pays. Les autres pays dans le top 5 des taux de téléchargement les plus élevés sont respectivement la Turquie (17,3 %), l'Allemagne (14,4 %), l'Inde (12,5 %) et l'Italie avec 7,2 %. La France quant à elle se classe à la 9e position avec ses 3,1 %.

StopCovid affiche en effet un taux d’adoption nettement inférieur à celui prévu par certaines études. C’est le cas de l’étude menée en mars par une équipe de recherche de l’université britannique d’Oxford qui travaille sur ce type d’application. Sur 1000 Français interrogés (possédant tous un smartphone), l’étude a rapporté que 48 % étaient prêtes à l’installer « sans aucun doute » et environ 31 % à le faire « probablement », un pourcentage qui n’évolue guère avec l’âge. L’étude estime qu’environ huit personnes sur dix envisagent donc directement d’installer une telle application.

Environ 2/3 d’entre elles ont déclaré être prêtes à l’installer si une infection se déclenchait dans leur entourage. De plus, le même nombre de personnes est d’avis pour que l’application s'installe automatiquement sur leurs smartphones. Cependant, ce n’est pas du tout le paysage actuel que révèle le sondage de Sensor Tower. C’est également un taux très faible par rapport à certains pays limitrophes de l’Hexagone. En Suisse par exemple, plusieurs médias locaux ont indiqué que SwissCovid a atteint un taux de téléchargement de 20 %, un taux qu’ils jugent faible.

Source : Sensor Tower

Et vous ?

Que pensez-vous de l'analyse de Sensor Tower ?
Pourquoi les Français sont-ils réticents quant à l’installation de StopCovid selon vous ?

Voir aussi

Les États membres de l'UE se mettent d'accord sur les spécifications devant permettre l'interopérabilité entre les applications de suivi de contact pour lutter contre le covid-19

Covid-19 : la France ne ferme pas la porte à la solution du bracelet connecté pour des tiers dépourvus de smartphones qui seront équipés d'applications de traçage de contacts

Covid-19 : la première application mobile de traçage de contacts au monde utilisant l'API Google-Apple est lancée, SwissCovid étant testée à grande échelle en tant que projet pilote

iOS 13.5, la mise à jour du système d'exploitation mobile d'Apple qui embarque l'API pour le contact tracing a été jailbreak grâce à une faille zero day
13  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 20/04/2020 à 16:35
StopCovid : l’INRIA dévoile ROBERT, un protocole mis au point pour la construction d’applications mobiles de suivi de contacts,
en réponse à celui d’Apple et Google

StopCovid a suscité de nombreuses réactions dans presque toutes les couches de la population française depuis qu’elle a été annoncée pour combattre le covid-19. Certains se sont même donné des raisons de croire à l’échec du projet avant sa mise en application. Alors, où en sommes-nous aujourd’hui ? L’INRIA, qui dirige le projet, a publié ce week-end sur GitHub les spécifications du projet basé sur un protocole du nom de ROBERT. L’institut, à travers son PDG, a aussi précisé qu’il ne faut pas parler d’une application de tracking, mais plutôt d’une application de traçage.

Alors que la pandémie du coronavirus fait rage dans le monde, de plus en plus de gouvernements commencent à faire appel à la technologie pour freiner la propagation du virus. Dans le cas de la France, la solution porte le nom de StopCovid. Il s’agit d’une application censée tracer tous les contacts d’un individu déclaré positif au covid-19. L’objectif est de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner.

ROBERT, un protocole mis au point pour la construction d’applications mobiles de suivi de contacts

Ce week-end, l’INRIA (Institut national de recherche en informatique et en aéronautique) et l’institut allemand Fraunhofer pour la sécurité appliquée et intégrée (AISEC) ont publié le protocole ROBERT (ROBust and privacy-presERving proximity Tracing) dans le cadre du projet StopCovid. Mis en place par les chercheurs des deux institutions, ROBERT pourra être utilisé pour la construction d’applications mobiles de suivi de contacts. Il a été conçu pour respecter strictement le cadre européen de protection des données et pouvoir être résistant à des attaques crédibles.

Selon une courte description sur le site officiel de l’INRIA, ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont l’objectif est de permettre la mise en place d’outils interopérables de suivi de contacts, respectueux des règlementations européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie. De par cette publication, l’INRIA espère convaincre monsieur tout le monde du bien-fondé du projet.

Toutefois, ce n’est qu’un document de spécification qui a été publié. Les sources de StopCovid et l’application ne seront probablement pas mises à la disposition du public avant le 11 mai comme l’annonçait le secrétaire d’État au numérique, Cédric O. Le protocole ROBERT ne semble pas encore totalement finalisé. Ainsi, comme souligné plus haut, ceci est d’abord fait dans le but de sensibiliser sur l’architecture qui sous-tend le projet. À côté de cette publication, l'institution a également pris soin de faire la lumière sur certaines zones d’ombre soulevées par les détracteurs du projet.

ROBERT ne permet pas la surveillance et serait totalement anonyme

C’est Bruno Sportisse, PDG de l’INRIA qui s’est chargé de le faire. « Il me semble très utile de commencer par rappeler ce qu’une application qui reposerait sur le protocole ROBERT n’est pas, eu égard aux interrogations légitimes qui s’expriment et aux confusions qui peuvent avoir lieu » a-t-il déclaré. « Sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales », a-t-il poursuivi. Selon Bruno Sportisse donc, il ne s’agit en aucun cas d’un protocole qui permet le tracking.

En outre, toute application basée sur ce protocole n’est pas non plus une application de surveillance : elle est totalement anonyme. Elle n’est pas non plus une application de délation : dans le cas où je suis notifié, je ne sais pas qui est à l’origine de la notification. « Dans le smartphone de mon voisin, il n’y a aucune donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des crypto-identifiants de tous les smartphones rencontrés », a déclaré Bruno Sportisse pour expliquer que les données personnelles ne sont pas sauvegardées.

Toujours pour rassurer sur l’utilisation des données de l’application, il a déclaré ce qui suit : « Les paramètres du modèle de transmission et les données statistiques anonymes sont entre les mains de l’autorité de santé qui fixe l’utilisation de ce système. Pas d’une compagnie privée, aussi innovante soit-elle ». Par ailleurs, Sportisse estime que StopCovid n’est pas un remède miracle contre le Covid-19, mais qu’elle fait partie d’une longue liste de mesures visant à freiner la propagation du virus. Ils espèrent qu’elle leur donne de la visibilité face à un ennemi invisible.

À l’heure où le déconfinement se précise de plus en plus, StopCovid pourrait être un élément clé pouvant faciliter cela. L’application n’est pas obligatoire et certains utilisateurs pourraient couper leur Bluetooth quand ça leur chante, rendant ainsi l’application inopérante. Les contestations se poursuivent, car des individus estiment qu’il n’y a pas de risque zéro dans le monde numérique. D’autres parts, certains soulignent le fait que les gens seront bientôt confrontés à deux choix : faut-il continuer à rester à la maison ou faut-il accepter de se faire tracer pour être libre de ses mouvements ?

Sources : Annonce de l’INRIA, Protocole ROBERT

Et vous ?

Que pensez-vous de ROBERT ?
Ce protocole va-t-il vraiment convaincre les détracteurs de StopCovid ?

Voir aussi

StopCovid : la France travaille sur une application qui va tracer l'historique des contacts avec les malades, mais la piste de la géolocalisation est écartée

StopCovid : quelle serait l'utilité de l'application de traçage qu'étudie le gouvernement français ? Quels obstacles techniques sont rencontrés ? Voici quelques éléments de réponses

Pourquoi le projet français d'application StopCovid fera très probablement un bide ? Voici quelques pistes de réflexion

Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable
12  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 26/05/2020 à 17:51
La CNIL donne son aval au déploiement de StopCovid dont l'algorithme de chiffrement a été remplacé,
Bercy en profite pour partager des captures d'écran de l'application

Dans le cadre de la stratégie globale de « déconfinement progressif », le Gouvernement a prévu la mise en œuvre de plusieurs dispositifs numériques. Le Gouvernement a souhaité mettre à disposition de la population une application mobile, disponible sur smartphones et dénommée « StopCovid ». Son objectif est d’informer les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué positif au COVID-19. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth.

La CNIL s’était prononcée le 24 avril 2020 sur le principe de la mise en œuvre d’une telle application et avait formulé un certain nombre de préconisations. Elle a rendu public un second avis le 26 avril 2020 où elle note que ses principales recommandations formulées dans le premier avis ont été suivies.

Par exemple, l’INRIA faisait appel à l’algorithme 3DES pour chiffrer l’identifiant des utilisateurs, algorithme qui avait été déconseillé par la CNIL dans sa délibération du 24 avril 2020. Comme l’a noté la CNIL dans son second avis, conformément à la recommandation de l’ANSSI, l’INRIA l’a remplacé par SKINNY-CIPHER64/192 : « sur le recours à des mécanismes cryptographiques, la Commission rappelle s’être prononcée dans son avis sur la nécessité d’utiliser des algorithmes cryptographiques à l’état de l’art et conformes au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle note à cet égard que le protocole a évolué, l'algorithme de chiffrement 3DES ayant été remplacé par SKINNY-CIPHER64/192, tel que recommandé par l’ANSSI ».

Étant donné que ses recommandations ont été suivies dans l’ensemble, la CNIL estime qu’il est possible de déployer cet instrument :

« La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions. Par ailleurs, des données à caractère personnel concernant la santé seront traitées.

« Elle constate que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées, mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.

« Les principales recommandations de la CNIL, formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment la responsabilité du traitement confiée au ministère en charge de la politique sanitaire, l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application, ou encore la mise en œuvre de certaines mesures techniques de sécurité.

« La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus ».

Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière. Elle a également émis de toutes nouvelles recommandations parmi lesquelles :
  • L’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles.
  • La nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs.
  • La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.
  • Le libre accès à l’intégralité du code source de l’application mobile et du serveur.

Des captures d’écran disponibles

Le ministère de l’Économie et des Finances a partagé des premières captures d'écran de l'application StopCovid qui pourrait être lancée dès le 2 juin prochain sur Android et iOS. L’application dispose également d’un thème sombre.

Une fois téléchargée et installée sur le smartphone, l’application affiche trois grandes rubriques (« protéger », « me déclarer » et « partager ») dans lesquelles des options supplémentaires sont visibles. Ces rubriques sont accessibles manifestement une fois que l’utilisateur confirme une nouvelle fois au premier lancement de l’application qu’il veut bien participer au traçage des contacts.


A priori, vous ne pourrez pas être identifié comme un porteur du Covid-19 si vous n’avez eu un code fourni par une autorité de santé : « vous avez effectué un test de COVID-19 et il est positif ? Votre médecin ou laboratoire vous a remis un code : merci de le rentrer pour que les personnes que vous avez croisées soient alertées ». Le code sera inscrit sur les résultats du test Covid-19 seulement s’il est positif. Il pourra être entré manuellement ou scanné via un code QR. Il s’agit probablement d’une mesure pour éviter d’avoir de fausses déclarations.

Pour rappel, l’utilisation de l’application sera basée sur le volontariat, comme l’a déjà indiqué le gouvernement. Cependant, les autres écrans partagés par le ministère montrent notamment une rubrique qui incite les utilisateurs à promouvoir l’application.


Une autre capture montre également à quoi ressemblera une notification reçue via StopCovid. Voici le message d’alerte :


Vous pourrez désactiver temporairement StopCovid si vous le souhaitez, un bouton est prévu à cet effet et des écrans de réglages sont également accessibles depuis l’onglet Protéger : Gérer mes données et Confidentialité.

L’application est techniquement prête, mais la décision de la déployer n’est pas encore prise. Un débat parlementaire est prévu à partir du 27 mai 2020. Visiblement, les captures d'écran ont été faites depuis un iPhone. Un choix qui n'est peut-être pas fortuit. En effet, lors de son audition par la commission des Lois du Sénat, Cédric O, secrétaire d’État au numérique, a déclaré que l’équipe de développeurs chargée de mettre au point l’application rencontre actuellement des « difficultés techniques avec le système d’exploitation des mobiles de marque Apple ». D'après lui, le problème réside sur le fait que les applications fonctionnant en arrière-plan seraient « progressivement éteintes et déconnectées » automatiquement par l’iPhone. « Nous avons besoin qu’Apple modifie cet élément (…) faute de quoi l’application européenne telle qu’elle a été conçue ne pourra pas fonctionner correctement »

Invité sur BFM Business, il n'a pas manqué de le rappeler : « Nous considérons que la surveillance du système de santé, la lutte contre le coronavirus, est une affaire de gouvernements et pas nécessairement de grandes entreprises américaines » avant de dire qu’il ne comprenait pas la raison pour laquelle Apple refuse d’apporter son aide à la France. StopCovid fonctionne grâce au Bluetooth et Apple a opposé son veto quand la France lui a demandé d’amoindrir l’accès au Bluetooth de l’iPhone pour lui faciliter la tâche.

« Apple aurait pu nous aider à faire fonctionner l'application encore mieux sur l'iPhone. Ils n'ont pas souhaité le faire », a-t-il déclaré Cédric O. «  Je le regrette, alors que nous sommes dans une période où tout le monde est mobilisé pour lutter contre l'épidémie, et qu'une grande entreprise qui se porte si bien sur le plan économique refuse d’aider un gouvernement dans cette crise », a-t-il continué.

Ces captures d'écran sur iOS seraient-elles le signe que l'équipe a réussi à contourner ce problème ?

Source : délibération de la CNIL, captures d'écran StopCovid (ministère de l’Économie et des Finances)
12  0 
Avatar de Patrick Ruiz
Chroniqueur Actualités https://www.developpez.com
Le 26/08/2020 à 13:38
« StopCovid n’a pas obtenu les résultats espérés », reconnaît le Premier ministre français, Jean Castex
Qui évoque le défaut de communication autour de l’application comme cause de son échec

Avec 1,8 million d’activations et seulement 14 notifications au terme du mois de juin de l’année en cours, l’on se posait déjà des questions sur l’utilité et l’efficacité de l’application StopCovid France disponible pour les smartphones tournant sur Android et iOS depuis le 2 juin 2020. La lutte contre la pandémie se poursuit en France et si l’on peut continuer à débattre sur l’utilité de l’application, le moins qu’on puisse dire est qu’elle est inefficace. C’est ce que confirme une sortie du Premier ministre français qui reconnaît que « l’application n’a pas obtenu les résultats que l’on espérait. » Loin de toutes considérations techniques, Jean Castex évoque plutôt le défaut de communication autour de l’application comme cause de son échec.



Les raisons techniques de l’échec de StopCovid France sont pourtant nombreuses

StopCovid s'appuie sur la technologie Bluetooth qui permet aux smartphones d'identifier des appareils à proximité (écouteurs, enceintes, imprimantes...) et non de recueillir des données de géolocalisation. L’idée est de retracer l'historique des relations sociales des tiers qui installent l’application dans les jours qui font suite à son installation. Les raisons pour lesquelles on était en droit de s’attendre à un bide sont nombreuses :

StopCovid est optionnel et pose des questions en lien sur la surveillance de masse

L’installation de StopCovid se fait sur la base du volontariat. C’est une recommandation de la Commission de l’UE destinée à respecter le cadre du RGPD. Seulement, elle soulève des inquiétudes en lien à la surveillance de masse. En effet, StopCovid est architecturé sur un modèle centralisé qui ouvre la possibilité de transmission de données médicales potentiellement sensibles à une seule source.

Tout le monde ne dispose pas de smartphones

Prèe de 23 % de la population en France ne possède pas de téléphone dit intelligent, d’après Statista. À cela, il faut ajouter le cas des personnes (13 millions environ) qui ne savent pas se servir des outils numériques et qui pourraient avoir du mal à faire fonctionner StopCovid.

Quid du Bluetooth ?

La technologie Bluetooth sur laquelle se base l'application StopCovid ne serait pas suffisamment précise pour permettre de mesurer si l'on se trouvait à plus (ou moins) des deux mètres de distanciation sociale recommandés par les autorités sanitaires, sa portée pouvant aller de moins d'un mètre à près de 400 mètres. La qualité du signal aussi dépendrait du terminal utilisé, de sa batterie et de ses composants, et autres.

StopCovid France n’est pas la seule application à faire un bide

Les chiffres parlent un peu plus de trois mois après le lancement des dernières applications de suivi de la propagation du coronavirus par smartphones. Le moins qu’on puisse dire est que l’approche centralisée ou pas ne connaît pas de succès. D’un pays à l’autre, le dénominateur commun est que les pourcentages d’installation des applications sont très en deçà de ceux requis pour qu’elle soit efficace.

Japon : 126 millions d’habitants ; 7,7 millions de téléchargements de l’application de suivi ; seulement 27 cas positifs signalés par cette dernière. Italie : 60 millions d’habitants ; 4,2 millions de téléchargements de l’appli ; Allemagne : 83 millions d’habitants ; 16 millions d’installations de l’application lancée par le gouvernement. Ce sont des chiffres de la BBC qui présentent une tendance similaire à ceux d’un sondage de Sensor Tower, lequel révèle que seuls 3,1 % des Français ont adopté l’application StopCovid. Les experts sont clairs sur la question : la plus grande majorité doit procéder à l’installation de l’application lancée par les autorités d’un pays donné pour qu’elle puisse rendre satisfaction. Une étude publiée par l'Université d'Oxford (pour ne citer que celle-là) révèle qu'une telle application ne peut être utile que si elle était utilisée par plus de 60 % d’une population.


Le difficile équilibre entre droits individuels et intérêt général

Les pays où ces dispositifs de suivi (de la propagation du virus via smartphones) ont du succès sont ceux qui ont mis en place des politiques de gestion qui s’écartent de celles mises en œuvre dans des espaces comme l’UE sur un point principal : celui en lien à la question de volontariat.

Dans le cas de Singapour, les personnes susceptibles d'avoir été exposées au nouveau coronavirus (en particulier celles qui revenaient de l'étranger) ont été soumises à des périodes d'isolement à domicile de 14 jours. Les patients confirmés pour leur part ont été hospitalisés. Pour faire respecter les périodes d'isolement à domicile, les fonctionnaires demandaient aux citoyens d'activer les services de géolocalisation sur leur smartphone et de cliquer de façon périodique sur un lien envoyé par SMS. Ce lien signalait leur position, confirmant qu'ils restaient effectivement chez eux. Ces derniers devaient répondre aux messages dans un court laps de temps pour empêcher que des tiers ne trichent en laissant leur téléphone pendant qu’ils s’aventurent à l’extérieur. En sus, les autorités ont procédé à des descentes sur le terrain pour confirmer la localisation des personnes placées en quarantaine.

À Taïwan, les porteurs potentiels du virus sont dotés d'un smartphone équipé d'un GPS et d’une application de pistage. Ces dispositifs font office de « barrière électronique » et permettent de garantir que les personnes en quarantaine restent chez elles en prévenant les forces de l’ordre si ces dernières sortent de quarantaine, s’éloignent de leur domicile ou éteignent leur téléphone. La police locale appelle jusqu’à deux fois par jour pour s’assurer que les personnes en isolement se trouvent là où ils devraient être.

Source : France Inter

Et vous ?

Êtes-vous en accord avec l’avis selon lequel l’installation de StopCovid sur la base du volontariat est pour beaucoup dans l’explication de son échec ?
Suivi de la propagation du coronavirus par smartphones : qu’est-ce qui n’a pas marché selon vous ? Quels sont les facteurs qui expliquent cet échec

Voir aussi :

Immuni, l'application italienne de suivi des contacts, est développée en open source sous la version 3 de la licence GNU Affero General Public
StopCovid : l'application de contact tracing est enfin disponible sur iOS et Android, les utilisateurs avaient d'abord téléchargé en grand nombre une app catalane qui porte pratiquement le même nom
Un restaurant aux Pays-Bas fait appel à des robots serveurs comme moyen pour réduire les contacts interhumains et faire respecter la distance sociale
Covid-19 : la première application mobile de traçage de contacts au monde utilisant l'API Google-Apple est lancée, SwissCovid étant testée à grande échelle en tant que projet pilote
12  0