L’édito de MISC n°111 !

Plutôt que de sombrer dans le french bashing et la supposée incapacité de l’État à conduire des projets informatiques, il est intéressant de prendre quelques minutes pour revenir sur l’échec de StopCovid et tenter d’en tirer quelques enseignements.

Début avril, Apple et Google ont annoncé [1] qu’ils travaillaient sur une solution commune de traçage des contacts décentralisés et basée sur Bluetooth Low Energy. Ce mécanisme a été déployé dans les mises à jour d’iOS et Android en mai, la diffusion et réception des messages Bluetooth est intégrée directement à l’OS de même que les mécanismes cryptographiques assurant l’anonymat. L’API n’est utilisable que par les applications conçues par les autorités publiques de santé [2] et validées par Apple et Google qui s’assureront que ces « applications remplissent des critères spécifiques de respect de la vie privée, sécurité et protection des données » [2]. En l’espèce, un des principaux critères est que l’application soit décentralisée.

Si techniquement ce dispositif est séduisant, il peut faire grincer des dents sur le plan politique. Il est en effet tentant d’opter pour un système centralisé sous contrôle de l’autorité publique pour une meilleure maîtrise du système et disposer plus facilement d’indicateurs quant à la diffusion du virus. D’autre part, le fait de se voir dicter par Apple et Google les modalités de gestion des données peut froisser des décideurs politiques attachés à la souveraineté numérique et c’est l’argumentaire de Cédric O [3]. Ainsi, le gouvernement annonce en avril concevoir une application s’appuyant sur le protocole ROBERT développé conjointement par l’INRIA et une équipe de recherche allemande. Le système étant centralisé, il n’est pas possible de s’appuyer sur les mécanismes déployés dans les OS d’Apple et Android et les ennuis commencent pour l’application française.

Tout d’abord, ce que nous avons l’habitude de réaliser sur un ordinateur ou un serveur n’est pas transposable sur un ordiphone. Les OS des premiers sont globalement ouverts et il y a toujours plus ou moins moyen de s’arranger en exécutant une partie du code avec les privilèges système. Avec un ordiphone, le développeur a bien moins de latitudes et doit composer avec les règles du constructeur qui ne peuvent être contournées. Par exemple sur iPhone, une application en arrière-plan n’a qu’un accès limité au Bluetooth et le rapport de force entre Apple et le gouvernement est largement en faveur du premier qui a beau jeu de mettre en avant les questions de protection de la vie privée pour justifier ce choix. Ainsi, sur iOS, il est nécessaire qu’un téléphone Android avec StopCovid passe à portée pour réactiver pendant quelque temps l’application faute de quoi elle est inopérante [4]. Dans le cas d’Android, une application nécessitant l’utilisation de BLE va également demander les droits d’accès à la géolocalisation, ce qui a largement contribué à réduire la confiance des usagers dans l’application [5].

Ensuite, l’argument de Cedric O selon lequel une architecture centralisée améliorerait la protection des données personnelles s’est vite retourné contre lui. Non seulement l’existence d’un serveur central est une cible privilégiée pour les attaquants, mais la CNIL a découvert lors d’un contrôle que toutes les adresses IP des utilisateurs étaient collectées par les briques anti-DDOS et le serveur fournissant les CAPTCHA [6]. Même si l’application repose sur un protocole certainement irréprochable d’un point de vue théorique, les problèmes adviennent au moment de l’implémentation, comme bien souvent en cryptographie. Là encore, ces problèmes de protections des données personnelles ont contribué à semer le doute dans le grand public quant à la sécurité de l’application.

Le dernier point est l’interopérabilité avec les applications des pays limitrophes. Quand beaucoup de pays avaient fait comme la France le choix d’une autre technologie que celles proposées par Google et Apple, la plupart des pays européens ont finalement basculé sur le « standard » de facto afin de rendre les applications compatibles entre elles. La France se retrouvant isolée avec un taux d’adoption huit fois plus bas qu’en Allemagne et avec une technologie incapable de dialoguer avec les applications des voyageurs européens [7].

Au final, au-delà de l’insuccès du projet et du choix discutable de certaines orientations techniques, il est intéressant de noter l’évolution de la prise en compte des enjeux de souveraineté numériques par la sphère politique. Mais, quel que soit le volontarisme politique, les architectures des terminaux mobiles étant verrouillées par Apple et Google, cet épisode aura démontré qu’il est impossible de concevoir une telle application sans leur assentiment.

[1] https://www.apple.com/fr/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/

[2] Voir section 6 : https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.1.pdf

[3] https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12

[4] https://www.igen.fr/app-store/2020/05/stopcovid-aura-un-angle-mort-sur-iphone-114805

[5] https://www.numerama.com/tech/627965-stopcovid-demande-lacces-a-la-geolocalisation-sur-android-mais-sengage-a-ne-pas-lutiliser.html

[6] https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles

[7] https://www.bfmtv.com/economie/coronavirus-l-ue-va-rendre-compatibles-18-applis-nationales-de-tracage-a-l-exception-de-stop-covid_AD-202008030027.html

Cedric Foll / cedric@miscmag.com / @follc


Retrouvez MISC n°111 :