Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Covid-19 : la France ne ferme pas la porte à la solution du bracelet connecté pour des tiers dépourvus de smartphones
Qui seront équipés d'applications de traçage de contacts

Le , par Patrick Ruiz

115PARTAGES

3  0 
Le bracelet connecté est déjà une réalité dans certains pays dans le cadre de la lutte contre le coronavirus. À titre d’illustration, le gouvernement de Corée du Sud a, il y a peu, décidé d’en instaurer le port. La mesure s’applique aux personnes atteintes par le virus et surprises en violation des mesures de distanciation sociale. En Europe, le port d’Anvers teste une méthode similaire. En partenariat avec la société de technologie numérique Rombit, il est lancé sur des essais du bracelet électronique Romware Covid Radius. Le but : garantir la distanciation sociale et le suivi des contacts physiques. Le nouveau bracelet électronique émet un signal sonore lorsque des personnes se rapprochent trop près les unes des autres.

En France, de récents développements suggèrent que les autorités ne ferment pas la porte à cette approche. L’objectif : équiper les 23 % de Français qui ne possèdent pas de smartphone, d’après des chiffres publiés par l’Arcep alors que l’année dernière tirait à son terme. À la manœuvre : Sigfox – une société toulousaine spécialiste des réseaux télécoms bas débit.


À l’heure où les questions sur la vie privée se retrouvent au centre des discussions liées à la mise sur pied d’applications de traçage de proximité en Europe, le Cabinet du secrétariat d’État au Numérique précise que si le gouvernement travaille sur un objet connecté susceptible d'être associé à une éventuelle application de traçage des contacts des malades, il ne s'agit en aucun cas de suivre les malades, ni de géolocalisation. « L'idée est d'avoir un bracelet, ou un autre objet connecté, qui ne soit pas relié au smartphone et permettrait de connaître les personnes croisées par son porteur durant la journée et celles qui se sont rendues dans différents lieux. Le but n'est pas de traquer une personne pour savoir si elle est allée à la Poste ou au supermarché, mais d'aider les autorités à gérer la circulation du virus. C'est un acte de civisme, comme l'attestation de sortie. Une fois que le bracelet est enlevé, c'est fini. Alors que le téléphone restera dans notre poche après la crise », explique le PDG de Sigfox.

En France, cette solution fait l’objet de proposition aux autorités dans un contexte où ce sont les applications de traçage de contacts sur smartphones qui mobilisent l’essentiel des débats. Au coude-à-coude, l’application Stopcovid de conception française et l’API annoncée par Google et Apple. D’après les derniers développements, c’est la solution des deux géants américains qui devrait entrer en scène en premier. La toute première version de l’API est attendue pour le 28 avril 2020. À travers le bracelet connecté, Sigfox veut offrir à la France une alternative à ces projets d’applications qu’il qualifie de solutions de facilité qui vont fournir encore plus d'informations à Apple et Google qui en savent déjà un paquet sur la vie privée des utilisateurs de leurs services.

Selon une enquête menée par le gouvernement, 80 % des Coréens seraient favorables à l’utilisation de ces bracelets électroniques. En Europe, les positions sont très mitigées sur la question avec, semble-t-il, une forte majorité de tiers contre l’usage de telles méthodes. Sur le Vieux Continent, on trouve très peu de réactions d’internautes allant dans le sens d’approuver l’utilisation de bracelets. La plupart des réactions soulignent que devoir se faire poser un bracelet de pistage dans le cadre de la lutte contre le coronavirus a quelque chose de dégradant. On préfère largement avoir affaire à une application sur smartphone que de devoir en arriver là.


Néanmoins, d’autres intervenants sont d’avis qu’il faudrait les imposer dans les zones où le confinement n’est pas respecté.



La piste des bracelets électroniques est également évoquée chez le voisin italien, mais pour les personnes âgées, une population à risque qui utilise peu le smartphone. Si le port d’Anvers teste de tels dispositifs, il faut dire que le gouvernement belge pour sa part écarte pour le moment la piste d’une application de traçage de contacts physiques.

Source : RTL

Et vous ?

Partagez-vous l’avis des internautes qui pensent que la pose de bracelet a quelque chose de dégradant pour les porteurs ?
Pourquoi l’utilisation de telles approches semble-t-elle trouver plus de résistance en Europe que dans les pays d’Asie ?
Seriez-vous pour qu’elles soient imposées dans les zones européennes où l’on ne respecte pas les mesures de confinement ?

Voir aussi :

StopCovid : quelle serait l'utilité de l'application de traçage qu'étudie le gouvernement français ? Quels obstacles techniques sont rencontrés ? Voici quelques éléments de réponses
StopCovid : la France travaille sur une application qui va tracer l'historique des contacts avec les malades, mais la piste de la géolocalisation est écartée
Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 13/05/2020 à 12:40
L'INRIA publie une partie du code source de StopCovid, l'application qui s'appuie sur le protocole ROBERT
plutôt que sur l'API proposée par Apple et Google

Tout est parti d'une annonce du secrétaire d’État au Numérique, Cédric O, qui a révélé au journal Le Monde que le gouvernement travaille d’ores et déjà sur une application mobile dénommée StopCovid : « Le gouvernement a décidé de lancer le projet StopCovid afin de développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission ». « L’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner », explique-t-il.

Le secrétaire d'État n'a pas oublié d'expliquer le fonctionnement de StopCovid. Le projet s'appuie sur la technologie Bluetooth, qui permet aux smartphones d'identifier des appareils à proximité (écouteurs, enceintes, imprimantes...) et non le recueil de données de géolocalisation. « L'application ne géolocalisera pas les personnes. Elle retracera l'historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure ni transmettre aucune donnée », explique le secrétaire d'État.

Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l'un enregistre les références de l'autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique.

Sous la supervision du Ministère de la Santé et des solidarités et du Secrétariat d’État au numérique, en lien avec le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, Inria pilote depuis le 7 avril 2020 le développement de l’application « StopCovid » auquel contribue à titre gracieux un ensemble d’acteurs publics et privés, au sein de l’équipe-projet StopCovid, qui rassemble ANSSI, Capgemini, Dassault Systèmes, INSERM, Lunabee, Orange, Santé Publique France et Withings , et que complète un écosystème de contributeurs. Ce projet contribue à la gestion de la crise sanitaire Covid-19 et au suivi épidémiologique par les autorités de santé.

En amont de toute décision politique, l’objectif du projet est de pouvoir rendre possible la mise à disposition d’une application permettant d’informer les usagers s’ils ont été en contact avec une personne ayant été testée positive au Covid-19, et de leur proposer des conduites à tenir, conformément aux préconisations du Ministère de la Santé et des solidarités.

Le projet repose sur l’implémentation d’un protocole, ROBERT (ROBust and privacy-presERving proximity Tracing), qui a donné lieu à un avis du Conseil national du numérique (rendu public le 24 avril 2020) et à une délibération de la CNIL (rendue publique le 26 avril 2020). Cinq fondements ont guidé les développements :
  • L’inscription de l’application StopCovid dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique.
  • Le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la commission européenne sur les applications de suivi de proximité.
  • La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. L’objectif est d’apporter toutes les garanties : transparence des algorithmes, code ouvert à terme, interopérabilité, auditabilité, sécurité et réversibilité des solutions.
  • Le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l’épidémie et accélérer la recherche médicale.
  • Le caractère temporaire du projet, dont la durée de vie correspondra, s’il est déployé, à la durée de gestion de l’épidémie de Covid-19.



Le code source est désormais disponible

C’est dans ce contexte qu’une ne première partie des briques logicielles a été publiée le 12 mai. Désormais visible, le code peut être revu par tous ceux qui le souhaitent. En le rendant public, l’équipe-projet StopCovid respecte son engagement de transparence.

Les personnes externes à l’équipe-projet StopCovid peuvent, à ce stade, donner un avis, faire remonter des suggestions ou des commentaires. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité.

Cette phase 1 limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée sur le développement, dans le cadre d’un agenda restreint. Toutes les contributions seront lues attentivement afin de pouvoir retenir celles qui seront jugées pertinentes voire qui seront susceptibles de jouer un rôle critique à ce stade du développement du code.

Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application.

ROBERT ne permet pas la surveillance et serait totalement anonyme

Selon une courte description sur le site officiel de l’INRIA, ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont l’objectif est de permettre la mise en place d’outils interopérables de suivi de contacts, respectueux des règlementations européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie.

Bruno Sportisse, PDG de l’INRIA a déclaré : « Il me semble très utile de commencer par rappeler ce qu’une application qui reposerait sur le protocole ROBERT n’est pas, eu égard aux interrogations légitimes qui s’expriment et aux confusions qui peuvent avoir lieu ». « Sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales », a-t-il poursuivi. Selon Bruno Sportisse donc, il ne s’agit en aucun cas d’un protocole qui permet le tracking.

En outre, toute application basée sur ce protocole n’est pas non plus une application de surveillance : elle est totalement anonyme. « Elle n’est pas non plus une application de délation : dans le cas où je suis notifié, je ne sais pas qui est à l’origine de la notification. Dans le smartphone de mon voisin, il n’y a aucune donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des crypto-identifiants de tous les smartphones rencontrés », a déclaré Bruno Sportisse pour expliquer que les données personnelles ne sont pas sauvegardées.

Toujours pour rassurer sur l’utilisation des données de l’application, il a déclaré ce qui suit : « Les paramètres du modèle de transmission et les données statistiques anonymes sont entre les mains de l’autorité de santé qui fixe l’utilisation de ce système. Pas d’une compagnie privée, aussi innovante soit-elle ». Par ailleurs, Sportisse estime que StopCovid n’est pas un remède miracle contre le Covid-19, mais qu’elle fait partie d’une longue liste de mesures visant à freiner la propagation du virus. Ils espèrent qu’elle leur donne de la visibilité face à un ennemi invisible.

Source : INRIA

Et vous ?

Que pensez-vous de cette initiative ?
Le protocole Bluetooth vous paraît-il sécurisé ?
Malgré l'absence du code source pour envoyer les données sur le serveur ainsi que les mécanismes de protection de la vie privée, pouvez-vous vous faire une idée de la sécurité de l'application ?
Que pensez-vous de la décision du gouvernement de choisir sa propre solution au détriment de l'API proposée conjointement par Google et Apple ?
Que pensez-vous de l'idée de proposer le code source en consultation ?
Envisagez-vous de contribuer ?
14  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 09/05/2020 à 10:09
Covid-19 : le NHS, système national de santé en Grande-Bretagne, dévoile le code source de son application de traçage de contacts,
Qui contourne les restrictions d’Apple liées au Bluetooth

Alors que plusieurs pays préparent le déconfinement, le gouvernement britannique s'est empressé de trouver des moyens d'assouplir les restrictions sans mettre en danger la sécurité publique. Parmi ses solutions, il y a une application de traçage de contacts qui peut permettre la recherche numérique de contacts à grande échelle. Au cours de cette semaine, le gouvernement a révélé de plus amples détails sur cette application, dont a première phase de déploiement est en cours sur l'île de Wight avant d’être étendue au reste du Royaume-Uni, si elle s'avère efficace. NHS a dévoilé le code source de l’application de recherche de contacts le jeudi dernier.

Selon un article publié par BBC News, jusqu’à jeudi, plus de 40 000 personnes avaient installé le logiciel pour smartphone. L’application britannique de traçage de contacts, comme toute autre application de ce type, est conçue pour permettre aux personnes de savoir si elles ont été en contact étroit avec une personne qui, par la suite, a signalé un résultat positif au test Covid-19. Elle pourrait permettre de déterminer exactement qui doit être mis en quarantaine et qui ne doit pas l'être, ce qui est essentiel pour assouplir les mesures de distanciation sociale. L'objectif de l'application est d'essayer de retrouver les personnes et de les alerter de la nécessité de s'isoler plus rapidement que les méthodes traditionnelles.


Un système de recherche de contacts centralisé

L'application Covid-19 du NHS est conçue pour utiliser les smartphones des gens afin de savoir quand ils se sont rapprochés les uns des autres et pendant combien de temps, en envoyant des signaux Bluetooth. Les utilisateurs qui téléchargent l'application peuvent choisir volontairement d'enregistrer les détails de leurs symptômes lorsqu'ils commencent à se sentir mal. L'application garde une trace des personnes qui ont été en contact étroit grâce à des signaux Bluetooth qui transmettent une identification anonyme. Ces signaux Bluetooth à faible énergie effectuent une "poignée de main" numérique lorsque deux utilisateurs entrent en contact étroit, mais gardent ces données anonymes, selon NHS.

Si une personne signale ultérieurement qu'elle est positive au coronavirus, elle enverra un message ping aux personnes qui ont été en contact étroit avec elle, et qu’elle aurait pu infecter, au cours des 28 derniers jours, en se basant sur leurs identifiants anonymes. L'application recommandera à ces personnes de s'isoler au cas où elles auraient contracté la maladie, éventuellement avant qu'elles n'aient des symptômes. Les personnes contactées ne connaîtront pas l'identité de la personne susceptible d'avoir transmis le coronavirus. Si la personne passe un test et que celui-ci est négatif, elle peut être libérée de son auto-isolement par une notification via l'application.

Pour son application mobile, le NHSX, l'unité d'innovation numérique du service de santé, a opté pour un système centralisé pour alimenter l'application, de sorte que le processus de recherche des contacts se déroule sur un serveur informatique basé au Royaume-Uni plutôt que sur les smartphones des particuliers.


Et il y a eu beaucoup de spéculations sur le fait que cette décision signifierait que l'application était condamnée à mal fonctionner sur certains smartphones. En effet, l’un des acteurs majeurs des systèmes d’exploitation mobiles, Apple, limite la possibilité pour les applications tierces d'utiliser le Bluetooth lorsqu'elles fonctionnent en arrière-plan, bien qu'elle ait promis d'assouplir cette règle pour les applications de recherche de contacts qui utilisent un système décentralisé qu'elle co-développe avec Google.

L’Allemagne, qui soutenait auparavant l’option de recherche centralisée, a fini par adopter le mois dernier la recherche décentralisée de contacts préconisée par Google et Apple. La communauté scientifique et les associations britanniques ainsi que plusieurs centaines de scientifiques européens et de militants ont critiqué sévèrement le choix du pays en mettant en garde contre les dérives potentielles de l'approche. Selon BBC News, Singapour et l'Australie ont signalé qu'ils passeraient également de l'approche centralisée à des applications décentralisées, pour respecter les contraintes d’Apple.

Des iPhone "jailbreakés" pour contourner les restrictions d’Apple liées au Bluetooth

Malgré les restrictions imposées par Apple aux applications tierces qui n’utilisent pas l’API Apple-Google, le NHSX avait dit avoir trouvé sa propre solution, et les tests préliminaires effectués par une société de cybersécurité suggèrent qu'elle a réussi, a rapporté BBC News. En effet, Pen Test Partners a installé l'application sur une poignée d'iPhone "jailbreakés" – modifiés pour leur permettre de surveiller des activités en arrière-plan.

« Lorsqu'ils étaient placés à proximité les uns des autres, les téléphones commençaient à "balayer" par Bluetooth à des intervalles de huit ou seize secondes », a déclaré le cofondateur Ken Munro. « D'autres ont exprimé leur inquiétude quant à l'inefficacité de l'application lorsqu'elle est placée en arrière-plan. Nos tests ont montré que cela ne semblait pas affecter le balisage, que les téléphones se soient rapprochés pour la première fois ou qu'ils aient été déplacés physiquement puis remis à portée », a-t-il ajouté.

Une autre société, Reincubate, a constaté que l'application était parfois "silencieuse" lorsqu'elle restait en arrière-plan pendant plus de 90 minutes sans être affichée à l’écran, mais a suggéré que cela ne devrait pas être un problème trop important dans des conditions réelles, a rapporté BBC News.


« Un certain nombre de facteurs raisonnables peuvent déclencher l'extension à cette fenêtre, y compris l'utilisation de Bluetooth, la présence d'appareils Android et l'efficacité des notifications [demandant à l'utilisateur de rouvrir l'application] », a-t-elle écrit sur son blog. « Dans nos tests, les appareils iOS sur lesquels nous avons lancé l'application ont continué à faire fonctionner le service en arrière-plan pendant la nuit », a ajouté la société.

Selon BBC News, les tests effectués pour son compte ont confirmé que les développeurs ont trouvé un moyen de contourner les restrictions qu'Apple impose à l'utilisation de Bluetooth dans les iPhone.

La France, dont l’application StopCovid entrera en phase test au cours de la semaine du 11 mai, refuse également d’adopter l’API proposée par Apple et Google et a demandé au fabricant d’iPhone d’assouplir ses restrictions liées au Bluetooth, ce qu’Apple refuse jusqu’à présent. Selon le gouvernement français, le contrôle français de la politique de santé est une « prérogative souveraine » qui ne devait pas être confiée à des entreprises privées.

Le code source de l’application traçage de NHS divulgué

« Il est là ! Le code source des applications COVID-19 BETA ». C’est sous ces termes que le NHSX a annoncé jeudi la divulgation du code source de son application Covid-19. Maintenant que le code est en ligne sur GitHub, l'application, qui fait déjà l’objet de déploiement, fera l'objet d'un examen plus approfondi. Ce qui permettra à d'autres, qui ne veulent pas utiliser l’API des deux géants de la technologie, de voir comment une solution de contournement a été réalisée.


Mais l’application ne passera pas sans critiques. Selon BBC News, déjà cette semaine, la commission conjointe des droits de l'homme a entendu des témoignages selon lesquels, malgré l'anonymat des utilisateurs, ceux-ci pourraient en théorie être réidentifiés, ce qui pourrait permettre aux autorités - voire aux pirates informatiques - de révéler les cercles sociaux des gens à d'autres fins. La commission a déclaré qu'un nouvel observatoire devrait être créé pour surveiller l'utilisation de l'application et les mesures prises pour garder les données en sécurité.

Harriet Harman, président du comité, a déclaré : « Les assurances des ministres sur la vie privée ne sont pas suffisantes ». « Il doit y avoir une protection juridique solide pour les individus sur ce à quoi ces données seront utilisées, qui y aura accès et comment elles seront protégées contre le piratage », a-t-il ajouté.

Selon BBC News, ceux qui critiquent l’approche britannique, disent que décentralisée permettrait de mieux protéger la vie privée des utilisateurs. Aussi, la nomination de la baronne Dido Harding par le ministre de la Santé Matt Hancock pour dirigera le programme de test, de suivi et de traçabilité, a surpris plus d'un. En effet, selon BBC, lorsqu'elle était directrice générale de TalkTalk, le fournisseur d'accès Internet a subi une importante violation de données et n'a pas informé correctement les clients concernés.

Le professeur Christophe Fraser - un épidémiologiste qui conseille NHSX - a déclaré à BBC News que leur approche centralisée avait deux principaux avantages. D’abord, elle permet de demander aux gens de s'autodiagnostiquer plutôt que d'attendre les résultats des tests. Ensuite, les données collectées pourraient être utilisées pour affiner le système afin de fournir différents types d'alertes en fonction des scores de risque calculés.

« Il y a eu beaucoup de discussions sur la vie privée, et à juste titre », a-t-il déclaré. « Mais il y a aussi votre capacité à sauver des vies. Et il y a la capacité de ne pas mettre en quarantaine des millions de personnes ». « La question de savoir comment trouver le système optimal qui permette de concilier ces différentes exigences est un peu ouverte à ce stade », a-t-il ajouté.

Aussi, l'analyse de la façon dont l'application est utilisée sur l'île de Wight permettra de décider de la meilleure façon de procéder. Par ailleurs, M. Fraser a ajouté que les discussions se poursuivaient avec Apple et Google.

Selon un commentateur qui a vu le code publié sur GitHub, il y a beaucoup de problèmes très sérieux qui se posent. « Les clés "secrètes" sont générées par le serveur central, Google Analytics suit les utilisateurs, l’application ne fonctionne pas sur les appareils OnePlus ou Samsung et elle utilise le HTTP », a-t-il écrit. Il a ajouté qu’il n’y a pas de chiffrement et que l’application ne fonctionne pas correctement sur les appareils Apple.

« Ce n'est pas un bon début, et il ne sera certainement pas installé tant qu'il n'aura pas été fortement révisé et que la sécurité n'aura pas été vérifiée », a-t-il conclu. Et vous, qu’en pensez-vous ?

Source : BBC News

Et vous ?

Avez-vous vu le code source publié ? Quel commentaire en faites-vous ?
Quel commentaire faites-vous de l’approche centralisée et l’initiative de contourner les restrictions liées au Bluetooth d’Apple ?
L’application Covid-19 du NHS sera-t-elle efficace, selon vous ?
L’application du NHS constitue-t-elle une menace contre la vie privée ?

Lire aussi

L'application française de traçage Covid-19 devrait être testée dans la semaine du 11 mai, lorsque le déconfinement commencera à entrer en vigueur dans le pays
StopCovid : le gouvernement demande à Apple de lever certaines restrictions liées à Bluetooth dans les iPhone, pour permettre à l'application de fonctionner
Appli de traçage du Covid-19 : comment Apple et Google ont fait plier l'Allemagne. L'Allemagne opte pour la décentralisation des données en se basant sur l'API d'Apple et Google
Une coalition européenne se forme autour de l'adoption d'applications de traçage de proximité, mais tous les pays ne s'accordent pas sur la meilleure façon de traiter des données recueillies
13  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 26/05/2020 à 17:51
La CNIL donne son aval au déploiement de StopCovid dont l'algorithme de chiffrement a été remplacé,
Bercy en profite pour partager des captures d'écran de l'application

Dans le cadre de la stratégie globale de « déconfinement progressif », le Gouvernement a prévu la mise en œuvre de plusieurs dispositifs numériques. Le Gouvernement a souhaité mettre à disposition de la population une application mobile, disponible sur smartphones et dénommée « StopCovid ». Son objectif est d’informer les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué positif au COVID-19. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth.

La CNIL s’était prononcée le 24 avril 2020 sur le principe de la mise en œuvre d’une telle application et avait formulé un certain nombre de préconisations. Elle a rendu public un second avis le 26 avril 2020 où elle note que ses principales recommandations formulées dans le premier avis ont été suivies.

Par exemple, l’INRIA faisait appel à l’algorithme 3DES pour chiffrer l’identifiant des utilisateurs, algorithme qui avait été déconseillé par la CNIL dans sa délibération du 24 avril 2020. Comme l’a noté la CNIL dans son second avis, conformément à la recommandation de l’ANSSI, l’INRIA l’a remplacé par SKINNY-CIPHER64/192 : « sur le recours à des mécanismes cryptographiques, la Commission rappelle s’être prononcée dans son avis sur la nécessité d’utiliser des algorithmes cryptographiques à l’état de l’art et conformes au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle note à cet égard que le protocole a évolué, l'algorithme de chiffrement 3DES ayant été remplacé par SKINNY-CIPHER64/192, tel que recommandé par l’ANSSI ».

Étant donné que ses recommandations ont été suivies dans l’ensemble, la CNIL estime qu’il est possible de déployer cet instrument :

« La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions. Par ailleurs, des données à caractère personnel concernant la santé seront traitées.

« Elle constate que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées, mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.

« Les principales recommandations de la CNIL, formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment la responsabilité du traitement confiée au ministère en charge de la politique sanitaire, l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application, ou encore la mise en œuvre de certaines mesures techniques de sécurité.

« La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus ».

Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière. Elle a également émis de toutes nouvelles recommandations parmi lesquelles :
  • L’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles.
  • La nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs.
  • La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.
  • Le libre accès à l’intégralité du code source de l’application mobile et du serveur.

Des captures d’écran disponibles

Le ministère de l’Économie et des Finances a partagé des premières captures d'écran de l'application StopCovid qui pourrait être lancée dès le 2 juin prochain sur Android et iOS. L’application dispose également d’un thème sombre.

Une fois téléchargée et installée sur le smartphone, l’application affiche trois grandes rubriques (« protéger », « me déclarer » et « partager ») dans lesquelles des options supplémentaires sont visibles. Ces rubriques sont accessibles manifestement une fois que l’utilisateur confirme une nouvelle fois au premier lancement de l’application qu’il veut bien participer au traçage des contacts.


A priori, vous ne pourrez pas être identifié comme un porteur du Covid-19 si vous n’avez eu un code fourni par une autorité de santé : « vous avez effectué un test de COVID-19 et il est positif ? Votre médecin ou laboratoire vous a remis un code : merci de le rentrer pour que les personnes que vous avez croisées soient alertées ». Le code sera inscrit sur les résultats du test Covid-19 seulement s’il est positif. Il pourra être entré manuellement ou scanné via un code QR. Il s’agit probablement d’une mesure pour éviter d’avoir de fausses déclarations.

Pour rappel, l’utilisation de l’application sera basée sur le volontariat, comme l’a déjà indiqué le gouvernement. Cependant, les autres écrans partagés par le ministère montrent notamment une rubrique qui incite les utilisateurs à promouvoir l’application.


Une autre capture montre également à quoi ressemblera une notification reçue via StopCovid. Voici le message d’alerte :


Vous pourrez désactiver temporairement StopCovid si vous le souhaitez, un bouton est prévu à cet effet et des écrans de réglages sont également accessibles depuis l’onglet Protéger : Gérer mes données et Confidentialité.

L’application est techniquement prête, mais la décision de la déployer n’est pas encore prise. Un débat parlementaire est prévu à partir du 27 mai 2020. Visiblement, les captures d'écran ont été faites depuis un iPhone. Un choix qui n'est peut-être pas fortuit. En effet, lors de son audition par la commission des Lois du Sénat, Cédric O, secrétaire d’État au numérique, a déclaré que l’équipe de développeurs chargée de mettre au point l’application rencontre actuellement des « difficultés techniques avec le système d’exploitation des mobiles de marque Apple ». D'après lui, le problème réside sur le fait que les applications fonctionnant en arrière-plan seraient « progressivement éteintes et déconnectées » automatiquement par l’iPhone. « Nous avons besoin qu’Apple modifie cet élément (…) faute de quoi l’application européenne telle qu’elle a été conçue ne pourra pas fonctionner correctement »

Invité sur BFM Business, il n'a pas manqué de le rappeler : « Nous considérons que la surveillance du système de santé, la lutte contre le coronavirus, est une affaire de gouvernements et pas nécessairement de grandes entreprises américaines » avant de dire qu’il ne comprenait pas la raison pour laquelle Apple refuse d’apporter son aide à la France. StopCovid fonctionne grâce au Bluetooth et Apple a opposé son veto quand la France lui a demandé d’amoindrir l’accès au Bluetooth de l’iPhone pour lui faciliter la tâche.

« Apple aurait pu nous aider à faire fonctionner l'application encore mieux sur l'iPhone. Ils n'ont pas souhaité le faire », a-t-il déclaré Cédric O. «  Je le regrette, alors que nous sommes dans une période où tout le monde est mobilisé pour lutter contre l'épidémie, et qu'une grande entreprise qui se porte si bien sur le plan économique refuse d’aider un gouvernement dans cette crise », a-t-il continué.

Ces captures d'écran sur iOS seraient-elles le signe que l'équipe a réussi à contourner ce problème ?

Source : délibération de la CNIL, captures d'écran StopCovid (ministère de l’Économie et des Finances)
11  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 25/05/2020 à 12:54
StopCovid : l'INRIA va remplacer l'algorithme de chiffrement de l'application de contact tracing
à quelques jours d’un passage à l’Assemblée nationale

Sous la supervision du ministère des Solidarités et de la Santé et du secrétariat d'État chargé du Numérique, en lien avec le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation, Inria pilote depuis le 7 avril 2020 le développement de l’application « StopCovid » auquel contribue à titre gracieux un ensemble d’acteurs publics et privés, au sein de l’équipe-projet StopCovid, qui rassemble ANSSI, Capgemini, Dassault Systèmes, INSERM, Lunabee, Orange, Santé Publique France et Withings, et que complète un écosystème de contributeurs. Ce projet contribue à la gestion de la crise sanitaire Covid-19 et au suivi épidémiologique par les autorités de santé.

En amont de toute décision politique, l’objectif du projet est de pouvoir rendre possible la mise à disposition d’une application permettant d’informer les usagers s’ils ont été en contact avec une personne ayant été testée positive au Covid-19, et de leur proposer des conduites à tenir, conformément aux préconisations du Ministère de la Santé et des Solidarités.

Le projet repose sur l’implémentation d’un protocole, ROBERT (ROBust and privacy-presERving proximity Tracing), qui a donné lieu à un avis du Conseil national du numérique (rendu public le 24 avril 2020) et à une délibération de la CNIL (rendue publique le 26 avril 2020). Cinq fondements ont guidé les développements :
  • L’inscription de l’application StopCovid dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique.
  • Le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la commission européenne sur les applications de suivi de proximité.
  • La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. L’objectif est d’apporter toutes les garanties : transparence des algorithmes, code ouvert à terme, interopérabilité, auditabilité, sécurité et réversibilité des solutions.
  • Le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l’épidémie et accélérer la recherche médicale.
  • Le caractère temporaire du projet, dont la durée de vie correspondra, s’il est déployé, à la durée de gestion de l’épidémie de Covid-19.

C’est dans ce contexte que, le 12 mai 2020, l’INRIA a publié une partie des briques logicielles de StopCovid. Seulement, l’INRIA faisait appel à l’algorithme 3DES pour chiffrer l’identifiant des utilisateurs, algorithme qui avait été déconseillé par la CNIL dans sa délibération du 24 avril 2020 :

« La Commission rappelle que seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en œuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé ».

Quelques jours plus tard, l’ANSSI lui avait préféré un algorithme de chiffrement plus récent, nommé Skinny-64/192 :

« Le projet d'application StopCovid repose sur la construction d'un historique de contacts pseudonymisés, en utilisant les signaux Bluetooth. Le protocole ROBERT a défini des spécifications techniques de communication par Bluetooth limitant la taille des informations transmises entre les téléphones disposant de l'application. Dans ce contexte, concernant le chiffrement des pseudonymes, l'ANSSI recommande l'utilisation de l'algorithme de chiffrement SKINNY-64/192. Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d'excellentes performances ».

Il y a quelques jours, après que des chercheurs aient signalé le même problème, l’INRIA a déclaré : « Suite à la délibération de la CNIL du 24/04 et à une recommandation de l’ANSSI indiquant qu'il convenait de remplacer l'algorithme 3DES, un nouvel algorithme a été implémenté : SKINNY-CIPHER64/192. Sa publication sera effective début de semaine prochaine ».


Notons que ce changement intervient à quelques jours d’un passage à l’Assemblée nationale qui aura lieu le 27 mai 2020.

Plusieurs failles 3DES sont bien connues. Ironiquement, l’une d’elles a été mise en lumière par des chercheurs de l’INRIA qui avaient prévenu que la faille Sweet32, qui touchait plusieurs algorithmes de chiffrement exploitant des blocs de chiffrement inférieurs à 64 bits, affectait également 3DES. L’attaque présente néanmoins plusieurs conditions pour aboutir. Ainsi, les attaquants devront être en mesure d’analyser le trafic entre un site visé et la victime tout en forçant la victime à exécuter du code JavaScript malicieux sur sa machine. La connexion chiffrée doit également avoir recours à un algorithme ayant recours à une taille de bloc de 64 bits, mais de nombreux protocoles de chiffrement supportent ces algorithmes par souci de rétrocompatibilité. Si un utilisateur démarre une session TLS avec un navigateur mis à jour, la connexion sera automatiquement chiffrée avec un algorithme de chiffrement compatible et donc potentiellement vulnérable.

Cette attaque en particulier est donc peu pratique, mais elle a suscité des réactions de la part des éditeurs et des mainteneurs des protocoles de chiffrement.

Pourquoi le choix de l’algorithme de chiffrement est important ?

Dans le cadre du projet StopCovid, le protocole ROBERT (ROBust and privacy-presERving proximity Tracing) a été mis sur pieds pour protéger l’anonymat. Comme l’a rappelé Bruno Sportisse, PDG de l’INRIA, « sa conception permet que PERSONNE, pas même l’État, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales ». Et de préciser que dans le cas où je suis notifié, je ne sais pas qui est à l’origine de la notification. « Dans le smartphone de mon voisin, il n’y a aucune donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des crypto-identifiants de tous les smartphones rencontrés », a déclaré Bruno Sportisse pour expliquer que les données personnelles ne sont pas sauvegardées.

En fait, un serveur central (contrôlé par l’État) va générer un identifiant unique pour chaque utilisateur. Cet identifiant doit rester le plus secret possible si le gouvernement veut assurer ses promesses d’anonymat.

Pour que l’identifiant soit difficilement attribuable à un smartphone (et donc à une personne), StopCovid va embarquer un module de chiffrement de cet identifiant. Un algorithme va chiffrer à intervalle régulier l’identifiant unique. À chaque fois, l’identifiant unique sera donc chiffré d’une manière différente.

Le choix entre 3DES et Skinny-64/192 était donc essentiel, puisqu’il s’agit de l’algorithme qui va générer les identifiants (ou pseudonymes) des utilisateurs. « Si le chiffrement est trop faible, une personne qui dispose de suffisamment de données va pouvoir déchiffrer les pseudonymes et identifier lesquels appartiennent à la même personne », avertit Olivier Blazy, chercheur en cryptographie à l’université de Limoges.

Indiquons que, le 22 mai 2020, l'INRIA a publié en Open Source (MPL2.0) la partie BLE calibration pour iOS et Android en plus des sources de la partie permettant de générer et d’utiliser les QR Codes.

Sources : INRIA, CNIL, ANSSI

Et vous ?

Qu'est-ce qui peut, selon vous, expliquer le choix du protocole de chiffrement 3DES ?
L'adoption tardive de Skinny-64/192 vous semble-t-elle surprenante ?
Quelles peuvent être les implications d'un changement de cet ordre ? Est-il compliqué à implémenter ? Dans quelle mesure ?
10  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 04/05/2020 à 12:46
L'application française de traçage Covid-19 devrait être testée dans la semaine du 11 mai,
Lorsque le déconfinement commencera à entrer en vigueur dans le pays

Les pays se précipitent pour développer des applications permettant d'évaluer le risque qu'une personne en infecte une autre, ce qui permet d'isoler ceux qui pourraient propager la maladie. La France a été l'un des premiers pays en Europe à créer une application de recherche des contacts Covid-19, et elle est maintenant sur le point de découvrir comment son application fonctionne en pratique. Le ministre des Affaires numériques, Cédric O, a déclaré dans un post publié le dimanche sur Medium que l'application française StopCOVID devrait être testée en situation réelle dès la semaine du 11 mai, au moment même où le pays commencera à assouplir les mesures de lutte contre la pandémie.

Le ministre Cédric O a présenté l'application comme un élément clé de la stratégie française pour lutter contre le coronavirus alors que les autorités sont confrontées à la perspective de tests de masse. L’ensemble des pays européens, même s’ils divergent parfois sur le choix du protocole, travaillent sur le même principe : mettre au point une application qui « historise » les interactions entre deux smartphones afin de déterminer une évaluation de l’exposition au risque des détenteurs de ces smartphones, a rappelé le ministre dans son post.


« Il n'y a rien de magique dans cette application, mais ce n'est pas non plus une coquetterie technologique », a écrit Cédric O sur la plateforme de publication en ligne Medium. « Elle n'est utile que si elle est intégrée dans un système global de santé », a-t-il ajouté.

Comme les membres du gouvernement l’ont plusieurs fois dit, l’application StopCOVID « n’est qu’une brique d’une stratégie sanitaire de déconfinement plus globale ». C’est un complément utile du travail des brigades sanitaires, dont la mission vitale d’identification des chaines de transmission se heurte à des limites physiques dans les endroits densément fréquentés comme les transports en commun, a rappelé Cédric O. Cependant, le ministre n'a pas dit quand l'application pourrait être prête à être utilisée à grande échelle, bien que cela dépende probablement des résultats initiaux.

Comme d'autres pays européens, la France a choisi l’option Bluetooth à courte portée entre les appareils comme la meilleure approche, rejetant l'alternative de l'utilisation des données de localisation poursuivie par certains pays d'Asie comme étant intrusive. Le ministre des Affaires numériques a rappelé dans son post que le projet StopCovid n’est pas une application de « tracking » : « la technologie utilisée est celle du Bluetooth et, à la différence d’autres pays, la France s’est refusée à avoir recours aux données de géolocalisation. Il n’y a donc aucun moyen de connaitre la localisation ni les déplacements des personnes détentrices de l’application ».

Mais le débat a fait rage sur la question de savoir s'il fallait enregistrer ces contacts sur des appareils individuels ou sur un serveur central - option qui serait plus directement utile aux équipes de recherche de contacts existantes qui travaillent sur les téléphones et frappent aux portes pour avertir ceux qui pourraient être en danger, a rapporté Reuters.

En effet, alors que le projet StopCOVID entrera dans sa phase test la semaine prochaine, le gouvernement fait face à de nombreuses difficultés concernant sa mise au point. Le respect de la vie privée fait partie des préoccupations qui suscitent toujours des interrogations même si le gouvernement affirme que le système fonctionnera avec des pseudonymes. Le secrétaire d’État au numérique multiplie les interventions pour rassurer les Français. « Le projet StopCovid n’est pas une application de surveillance : lorsque vous installez l’application, il ne se passe, la plupart du temps, rien », lit-on dans son post Medium.

De plus, jusqu'à présent, la France a opté pour une approche "centralisée", qui nécessiterait notamment qu'Apple modifie les paramètres de ses iPhone. Le fabricant de smartphones a refusé de changer ses paramètres, la France ne bouge pas non plus sur son désir d'assouplir les restrictions de Bluetooth d'Apple pour le bien de son application. Les discussions avec la société américaine sont en cours, a déclaré Cedric O.

Le contrôle français de la politique de santé comme est une "prérogative souveraine"

Si Cédric O a reconnu que l'approche centralisée de la France (qui stocke les identifiants des contacts positifs en un seul endroit) et la méthode décentralisée d'Apple et Google ont chacun ses défauts, il a fait valoir que la méthode soutenue par iOS était "paralysante". « Le gouvernement français ne refuse pas l’API proposée en l’état par ces deux entreprises parce que ce sont des entreprises américaines ou parce qu’il cherche à réinventer le Minitel (qui fut, au demeurant, une belle réussite). Il s’y refuse, car dans son format actuel, elle contraint le choix technique : seule une solution « décentralisée » peut fonctionner parfaitement sur les téléphones équipés d’iOS », a-t-il déclaré.


Selon le ministre, la solution décentralisée soutenue par iOS aurait eu des protections de données inférieures par rapport à la solution centralisée et aurait conduit à une perte de maitrise en termes de santé publique, comme l’impossibilité de limiter le nombre total de notifications par jour compte tenu du caractère décentralisé de la décision de notification.

Le ministre est également conscient que faire confiance à un organisme central créait un risque d'abus, mais il considérait le contrôle français de la politique de santé comme une "prérogative souveraine" qui ne devait pas être confiée à des entreprises privées. « Cette crainte ne peut être niée dans l’absolu, mais elle appelle à tout le moins un commentaire. La politique sanitaire est, du point de vue du gouvernement français, une prérogative souveraine qui relève de l’État. C’est à la puissance publique, avec ses qualités et ses défauts, qu’il revient de faire les choix qu’elle estime être les meilleurs pour protéger les Françaises et les Français », lit-on dans le post.

Selon Cédric O, il faudra encore plusieurs jours de travail acharné à l’équipe projet afin de pouvoir disposer d’une application fiable et opérationnelle, d’après le ministre. L’objectif étant de faire des tests dans des conditions du réel dans la semaine du 11 mai afin de terminer la phase de validation opérationnelle.

Leministre a soutenu dans son post que le projet d’application StopCovid est un projet européen, « travaillé en coordination avec nos homologues allemands, belges, britanniques, espagnols, italiens… et bien sûr la Commission européenne ». Mais le plus important partenaire européen de la France, l'Allemagne, a changé de cap la semaine dernière sur le type de technologie pour smartphones qu'elle souhaitait utiliser, soutenant une approche soutenue par Google et Apple ainsi que par un nombre croissant d'autres pays européens.

Jusqu’à la fin du mois dernier, la France et l’Allemagne étaient les principaux soutiens de l’approche centralisée, mais l’Allemagne a finalement opté pour ce qui est de décentraliser les données en se basant sur l’API d’Apple et de Google. Cependant, la démarche centralisée s’est attiré les critiques sévères de la part de la communauté scientifique et d'associations qui, comme le Centre allemand D64, craignent que les libertés individuelles soient inutilement sacrifiées sur l'autel de l'urgence sanitaire.

De plus, plusieurs centaines de scientifiques européens et de militants ont publié une lettre ouverte pour mettre en garde contre les dérives potentielles de l'approche centralisée que préconisait le gouvernement allemand. Toutefois, selon Cédric O, l’approche décentralisée de la France est toujours partagée avec d’autres États, tels que la Grande-Bretagne.

Source : Medium

Et vous ?

Que pensez-vous de la décision de la France de maintenir l’approche centralisée pour son application StopCOVID ?
Pensez-vous que la France lancera une application centralisée malgré le refus d’Apple de modifier ses paramètres Bluetooth ?
Pourrait-il y avoir des conséquences sur l’efficacité si différentes approches d’applications StopCOVID sont lancées dans les pays de l’Union ?

Lire aussi

Appli de traçage du Covid-19 : comment Apple et Google ont fait plier l'Allemagne. L'Allemagne opte pour la décentralisation des données en se basant sur l'API d'Apple et Google
StopCovid : les doutes sur le lancement et l'efficacité de l'application persistent, l'exécutif et les responsables tentent néanmoins d'apaiser les esprits
StopCovid : le gouvernement demande à Apple de lever certaines restrictions liées à Bluetooth dans les iPhone, pour permettre à l'application de fonctionner
Les recommandations de l'ANSSI pour sécuriser StopCovid : utilisation d'un coffre-fort, matériel ou logiciel, pour protéger les données pseudonymisées sur le serveur central, etc.
9  0 
Avatar de Pierre Fauconnier
Responsable Office & Excel https://www.developpez.com
Le 13/05/2020 à 17:52
Citation Envoyé par Stan Adkens Voir le message
[...]
En général, les utilisateurs qui téléchargent ces applications peuvent choisir volontairement d'enregistrer les détails de leurs symptômes lorsqu'ils commencent à se sentir mal. L'application garde une trace des personnes qui ont été en contact étroit grâce à des signaux Bluetooth qui transmettent une identification anonyme. Si une personne signale ultérieurement qu'elle est positive au coronavirus, elle enverra un message aux personnes qui ont été en contact étroit avec elle, et qu’elle aurait pu infecter, en se basant sur leurs identifiants anonymes.[...]
Si une techno peut se baser sur un identifiant "anonyme" pour m'avertir que j'ai été en contact avec une personne infectée, c'est que mon identifiant "anonyme" n'est pas si anonyme que ça... ils peuvent se les garder, leurs applications. Perso, dès que je me déplace, le bluetooth est coupé.
8  0 
Avatar de strato35
Membre averti https://www.developpez.com
Le 27/05/2020 à 8:38
Citation Envoyé par 23JFK Voir le message
presque deux mois pour un JEditorPane html et deux JButton. Ils ont recruté le haut du panier.
L'interface est basique, mais en fond il y a aussi toute la gestion du bluethooth, la synchro avec l'api, le développement de l'api, toute la gestion de la sécu, l'anonymat et compagnie, sans compter les tests et les difficultés rencontrées avec Google et Apple sur la manière de faire, d'autant que la France a dit qu'elle n'utiliserais pas l'api proposée par le système de manière décentralisé.
Si on ajoute à ça la conception et la validation du protocole ROBERT, les accords avec Microsoft sur l'hébergement, et faire fonctionner le tout sur les terminaux Apple qui est le plus réfractaire à la technique employée, 2 mois ça semble pas si long.
7  0 
Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 28/05/2020 à 1:41
Le Sénat et l'Assemblée nationale approuvent l'application StopCovid de contact tracing,
qui sera disponible sur les vitrines de téléchargement d'iOS et Android dans les prochains jours

Lors d'un vote consultatif (donc non contraignant) qui a clôturé 4 heures d'un débat toujours accessible sur la plateforme numérique de l'Assemblée nationale, les députés ont donné leur feu vert à l'application StopCovid ce mercredi 27 mai. La déclaration du gouvernement relative à l'application a été approuvée par 338 voix pour (215 contre et 21 abstentions). Dans l'hémicycle, les membres du gouvernement ont insisté sur l'importance de cette application à l'approche d'une nouvelle phase de déconfinement, dont les grandes lignes doivent être présentées jeudi à 16 h par le Premier ministre, Édouard Philippe. En toute fin de soirée, c’est le Sénat, où le gouvernement ne dispose pourtant pas de la majorité, qui a donné son aval, par 186 voix contre 127.

L'exécutif veut lancer dans les jours qui viennent, pour la deuxième étape du déconfinement, cet outil de traçage. Pour rappel, l’application sera téléchargeable volontairement, les données seront « pseudonymisées » et supprimées au bout de 14 jours. L’application s’arrêtera « 6 mois » après la fin de l’état d’urgence sanitaire. Pour la transparence, une partie du code source a été publiée pour permettre entre autres aux experts d'indiquer les failles à corriger s'ils venaient à en trouver.

« Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l'un enregistre les références de l'autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique », a expliqué le secrétaire d’État au Numérique Cédric O. L'application Stop Covid fonctionnerait grâce au bluetooth. Il ne s'agit donc pas de géolocaliser les personnes, mais de retracer l'historique de leurs interactions sociales les jours précédents une contagion. « Ce n'est pas une application qui trace vos déplacements », a tenu à rassurer Cédric O. Et de préciser qu'il n'y aurait « aucune consultation extérieure ni transmission de données ». « Un certain nombre de paramètres sont pris en compte sur l'ergonomie pour que l'application soit simple à utiliser et accessible aux personnes en situation de handicap » a tenu à rassurer Cédric O.

Selon Cédric O, « StopCovid n'est pas magique », mais « offre un complément utile et nécessaire » aux équipes sanitaires, qui retracent les personnes en contact avec des malades du coronavirus. « La seule technologie utilisée est celle du Bluetooth, la seule information disponible est la notification anonyme reçue, et reçue de vous seul, lorsque vous avez été en contact prolongé avec une personne depuis testée positive. Nulle utilisation de la géolocalisation, nul accès ni à vos contacts, ni à la liste des personnes que vous avez croisées, nulle possibilité de savoir de qui vient l'information pour qui que ce soit, ni pour vous, ni pour les autres, ni pour l'État » a-t-il défendu devant les députés.


Les défenseurs de l'application ont fait valoir que StopCovid a reçu le feu vert de la Commission nationale de l'informatique et des libertés (CNIL), qui a estimé que ses recommandations avaient été suivies et que l'application permettait « des alertes plus rapides ».

Si des entreprises privées, aux côtés du public, ont apporté leurs matières grises gratuitement pour le développement, il n’en sera pas de même pour la suite. L’application coûtera « quelques centaines de milliers d’euros par mois » affirme le secrétaire d’État au Sénat.

L’application sera disponible au plus tard mardi. Le gouvernement veut en faire un outil « de la deuxième partie du plan de déconfinement », aux côtés des brigades, dont le principe est similaire. Il est même « complémentaire et renforce le travail des brigades », car il apporte « une capacité de couvrir les cas de transmission anonymes », qui dans « plus de 50 % des cas » ne se savent pas malades. Mais ici, le secrétaire d’État vante un moyen encore plus rapide, car quasi instantané, qui permet de savoir si on a été en présence d’un malade.


Un comité de contrôle et de liaison indépendant sera là pour contrôler l’usage de l’application. On y trouvera notamment « un membre de la conférence nationale de santé », un du Conseil de l’ordre des médecins, un du Comité scientifique, ou encore deux députés et deux sénateurs. « C’est pour nous une condition qu’il faut remplir » a insisté Philippe Bas, président LR de la commission des lois. Cédric O n’exclut pas que le comité de contrôle créé, à la demande du Sénat, pour le système de traçage des brigades, puisse « servir de comité de contrôle » pour l'application.

Les sénateurs se sont posé beaucoup de questions. Par exemple, Philippe Bas a dit être attentif à « ce que les moyens ne soient pas disproportionnés » face « à l’impératif de la protection de la vie privée et des données personnelles ». Le sénateur de la Manche veut bien même « considérer que les risques sont limités, que les données personnelles sont limitées, mais c’est encore trop si ça ne devait être qu’un gadget ». Il entend « vérifier que le jeu en vaut vraiment la chandelle ».

Néanmoins, malgré toute l’énergie qui a été mise, l’application n'est pas infaillible. Cédric O reconnaît une « difficulté » qui a été de calibrer le Bluetooth à 1 mètre, alors que l’outil peut capter jusqu’à « 10 mètres » et au travers des murs, souligne Marie-Pierre de la Gontrie. StopCovid sera efficace en réalité à « 80 % » explique Cédric O. Conséquence : « Il est probable qu’il y ait des personnes faux positifs qui soient prévenues, car elles étaient à 2 mètres et pas 1 mètre par exemple ». Mais Cédric O assume et « préfère avoir quelques faux positifs et que ça marche, que de limiter les faux positifs et de ne pas attraper assez de gens ». Il insiste : « Je préfère avoir un taux de vrais positifs bas et de sécurité sanitaire haut, plutôt que l’inverse ».


Autre question de Philippe Bas : StopCovid ne va-t-il pas vider la batterie ? Laisser brancher le Bluetooth peut en effet réduire plus rapidement la durée d’utilisation de son téléphone. Sur ce point, Cédric O se veut rassurant : « Globalement, ça marche bien et ça ne vide pas votre batterie », même s’il n’exclut pas des problèmes sur de vieilles versions d’Android ou de l’iOS.

StopCovid fonctionnera « très bien » notamment sur iPhone, a assuré Cédric O, même si des problèmes techniques persistaient sur certains « vieux téléphones » et des modèles Apple. Les tests ont impliqué dix-sept marques de téléphones, soit plus de cent modèles parmi les plus utilisés en France, à des niveaux de batterie variables, et utilisant des versions d’Android et d’iOS différentes.

La véritable épreuve du feu pour StopCovid sera celle de son adoption ou non par les Français. Néanmoins, de l'association La Quadrature du net à la Commission nationale consultative des droits de l'Homme (CNCDH), plusieurs organisations de défense des libertés ont pris position contre l'application.

Proposé par Cédric O, StopCovid est au centre d'un projet européen mené par 130 institutions, laboratoires de recherches et entreprises, pour développer ce qui s'appelle le PEEP PT (pan europen privacy preserving proximity tracing). À noter que l'Allemagne et la Suisse, initialement moteur du projet, se sont retirées, préférant opter pour la solution proposée par Apple et Google. Le gouvernement allemand a dénoncé le fait que l'application de traçage envisagée avait recours à un serveur qui centralise toutes les données. En France, c'est l'INRIA qui pilote, sous la supervision du gouvernement, la task force française composée de chercheurs et développeurs issus du public comme du privé. Dans le lot, l'Anssi, Capgemini, Dassault Systèmes, l'INSERM, l'Institut Pasteur, Orange et Santé Publique France. Mais aussi 16 entreprises dont Withings, Lunabee Studio et des start-ups issues de la french tech comme BoforCure, C4Diagnostic, Enalees, Lifen, NamR ou encore Semeia.

Source : Assemblée nationale (débat, annonce), Sénat

Et vous ?

Allez-vous l'installer ?
7  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 28/04/2020 à 17:51
Les recommandations de l’ANSSI pour sécuriser StopCovid : utilisation d’un coffre-fort, matériel ou logiciel,
pour protéger les données pseudonymisées sur le serveur central, etc.

L’Agence nationale de sécurité des systèmes d’information (ANSSI) a publié cette semaine une liste de sept (7) recommandations concernant le volet sécurité de l’application StopCovid. Cette publication a été faite alors que l'Assemblée nationale doit se prononcer aujourd’hui sur le devenir de l’application de suivi de contacts. Les recommandations de l’ANSSI sur sa sécurité tournent autour d’un coffre-fort électronique et de la détection des attaques. Elles font également suite aux recommandations de la CNIL sur le volet RGPD il y a quelques jours.

Dans un document qu’elle a rendu public cette semaine, l’ANSSI a déclaré que face à la réalité de la cybermenace actuelle, la sécurisation de l’application apparaît primordiale pour veiller à sa fiabilité et à la confiance que les professionnels de santé chargés de gérer la crise sanitaire et les utilisateurs lui accorderont. Pour atteindre cet objectif, elle formule sur le volet sécurité de StopCovid, les sept recommandations qui suivent :

  • utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone ;
  • la mise en œuvre sur l'ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations comme qu'envisagé ;
  • l'application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS ;
  • l'utilisation de mécanismes d'audit de l'imputabilité et de la traçabilité des actions menées sur le système [et] qu'un audit de type bug bounty soit mené en parallèle ;
  • la réalisation d'audits et de contrôles de sécurité réalisés par l'ANSSI tout au long de la conception de l'application ;
  • la création d'un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l'application et du serveur central durant toute la durée d'utilisation de l'application ;
  • la mise en place d'un dispositif de détection des cyberattaques pour réagir très tôt en cas de tentatives de compromission du système.


En plus, comme la majorité des applications de suivi de contacts qui ont été déployées ou sont en cours de déploiement, StopCovid base aussi son fonctionnement sur le réseau sans fil Bluetooth. Avant l’ANSSI, la CNIL, dans ses recommandations sur le volet RGPD, a souhaité que l’utilisation de l’application soit basée sur le volontariat et destinée à un usage personnel. De son côté, l'ANSSI recommande fortement aux futurs utilisateurs de mettre régulièrement à jour leur téléphone pour limiter les risques liés à l'usage de cette technologie. Autrement dit, il faut régulièrement mettre à jour son téléphone pour assurer une meilleure sécurité du Bluetooth.

Par ailleurs, l’ANSSI a également souhaité faire une recommandation concernant l'algorithme de chiffrement qui sera utilisé. Dans sa note, elle suggère le chiffrement SKINNY-64/192. « Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en matière de sécurité. De plus, il offre d'excellentes performances », a déclaré l’ANSSI pour justifier son choix. Pour rappel, voici les cinq principales recommandations de la CNIL pour aligner l’application StopCovid de suivi de contacts derrière le RGPD :

  • tout dispositif envisagé devrait être utilisé de manière temporaire, c’est-à-dire uniquement pour la gestion de la crise ;;
  • après la crise, les données devront en principe être détruites, ou sinon conservées pendant un temps limité et de façon protégée, pour ne servir qu’à des finalités complémentaires de recherche ou de gestion d’éventuels contentieux ;;
  • le stockage des données en local sur le terminal de l’utilisateur devrait être privilégié lorsque cela est possible ;;
  • les applications qui s’appuient sur des données Bluetooth, qui sont chiffrées directement sur le téléphone sous le contrôle de son utilisateur, apportent plus de garanties que celles qui s’appuient sur un suivi géolocalisé (GPS) continu des personnes ;
  • un tel dispositif devra, comme tout traitement, respecter le principe de transparence, assurer la sécurité des données et respecter les droits des personnes prévus par le RGPD.

Source : Recommandations de l’ANSSI (PDF)

Et vous ?

Que pensez-vous des recommandations de l’ANSSI ?
Cela vous semble-t-il suffisant pour sécuriser StopCovid ?
Quelles autres recommandations suggéreriez-vous ?

Voir aussi

Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable

StopCovid : le gouvernement saisit le Conseil National du Numérique pour examiner l'application qui ne serait probablement pas prête avant le 11 mai, selon Cédric O

StopCovid : l'INRIA dévoile ROBERT, un protocole mis au point pour la construction d'applications mobiles de suivi de contacts, en réponse à celui d'Apple et Google

StopCovid : les doutes sur le lancement et l'efficacité de l'application persistent, l'exécutif et les responsables tentent néanmoins d'apaiser les esprits

Pourquoi le projet français d'application StopCovid fera très probablement un bide ? Voici quelques pistes de réflexion
6  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 05/05/2020 à 22:25
Voilà qui va remettre sur la table la notion de souveraineté numérique et d'OS national.
7  1