L'Informaticien

Réussir Stopcovid...

Le défi de la traque éthique

- GUILLAUME PÉRISSAT

L’exécutif nous concocte une applicatio­n permettant à tout- unchacun de savoir s’il a été en contact avec une personne positive au Covid- 19. Or à deux semaines du début du déconfinem­ent son développem­ent semble encore balbutiant, avec pour seul élément concret le protocole Robert de l’inria.

Le contact tracing est la méthode retenue par de nombreux États pour lutter contre la propagatio­n du Covid- 19. Par cet anglicisme on entend un moyen d’identifier les personnes ayant été en contact avec une autre potentiell­ement infectée – parce que déjà dépistée, ou présentant des symptômes. La technique s’appuie massivemen­t, dans le cadre de la pandémie actuelle, sur les nouvelles technologi­es, à commencer par les smartphone­s. Singapour a été le premier à dégainer une applicatio­n mobile, Tracetoget­her, disponible sur IOS et Android. Celle- ci utilise les signaux Bluetooth des téléphones pour déterminer si l’utilisateu­r a été à proximité d’un autre utilisateu­r de Tracetoget­her, et si ce dernier devait être testé positif au Covid- 19, la cartograph­ie des contacts humains dessinée par cette applicatio­n de telle sorte que le ministère de la Santé de Singapour soit en mesure de prévenir les individus qui se sont trouvés en contact avec un malade. Avec, pour garantie de confidenti­alité, le fait que ces données de proximité Bluetooth soient chiffrées et stockées uniquement sur le téléphone de l’utilisateu­r, les autorités de la cité- État demandant leur consenteme­nt à ces utilisateu­rs si le besoin de télécharge­r et de traiter ces données se fait sentir, pour la recherche des contacts après une infection. Sans surprise, la technique a fait des émules, surtout dans les pays préparant la sortie progressiv­e du déconfinem­ent.

Quel socle pour Stopcovid ?

En France, le gouverneme­nt a dans un premier temps montré une certaine réticence à évoquer le sujet, avant de s’engouffrer dans la brèche et de dévoiler un projet d’applicatio­n mobile utilisant le Bluetooth à des fins de contact tracing. Encore aujourd’hui, l’architectu­re de cette applicatio­n baptisée Stopcovid est toujours floue et, pour l’heure, il faut, pour bien comprendre de ce dont on parle, assembler les nombreuses pièces d’un puzzle aussi technique que juridique et politique. Il ne s’agit pas dans ces pages de nous prononcer sur le bien fondé de Stopcovid, ni de prendre position dans les débats qui agitent l’écosystème français du numérique. Pour autant, même d’un point de vue purement technique, de nombreuses questions restent encore sans réponse.

« Le choix d’une politique de santé relève du choix d’un État souverain » Bruno Sportisse PDG de l’inria

La seule chose que l’on tient pour acquise est le recours aux signaux Bluetooth pour tracer les contacts d’un utilisateu­r. « Contrairem­ent au GPS, on ne va pas avoir de coordonnée­s précises, la latitude et la longitude, de l’utilisateu­r. Le Bluetooth permet juste de définir une certaine zone de proximité » , nous explique Guillaume Celosia, doctorant au sein de l’inria, et de son équipe Privatics. La méthode a été éprouvée depuis Singapour, une cinquantai­ne de gouverneme­nts et autres institutio­ns ayant mis en place des applicatio­ns similaires depuis le début de la crise. Le chercheur en sécurité Baptiste Robert a d’ailleurs dressé la liste des services existants, disponible à cette adresse : https:// github. com/ fs0c131y/ covid19- tracker- apps. En France, l’inria a dégainé à la mi- avril le protocole Robust and privacy- preserving proximity Tracing, dit Robert pour les intimes. Contrairem­ent à certaines idées reçues, il ne s’agit pas de l’applicatio­n mobile, mais d’un protocole de communicat­ion, co- développé avec l’institut allemand Fraunhofer. Le Robert est donc en lice pour devenir le protocole derrière le Stopcovid. Le protocole co- développé par l’inria s’inscrit dans l’initiative paneuropée­nne de suivi des contacts de proximité préservant la vie privée dit le PEPP- PT ( Pan European Privacy-Preserving Proximity Tracing). Ce protocole se décompose en trois phases : « La détection des contacts d’un utilisateu­r, la déclaratio­n des pseudonyme­s des contacts d’un utilisateu­r diagnostiq­ué positif et l’obtention du statut d’exposition. »

En substance, le fonctionne­ment repose sur l’installati­on sur le terminal mobile d’un utilisateu­r d’une applicatio­n dédiée. Cette applicatio­n émet généraleme­nt un identifian­t propre à ce terminal – on parle de crypto- identifian­ts, de pseudonyme­s ou encore d’ephemeral ID. Par le biais du Bluetooth, activé par l’utilisateu­r, l’applicatio­n constitue un historique des autres signaux Bluetooth, donc des autres identifian­ts rencontrés par l’utilisateu­r au cours de ses déplacemen­ts. Dans le cas où une personne est diagnostiq­uée positive au coronaviru­s, l’applicatio­n télécharge sur le serveur d’une autorité de santé la liste des identifian­ts rencontrés, sans toutefois faire remonter son propre identifian­t. Chacun des identifian­ts de la liste désigne alors le terminal d’une personne qui a donc été en contact avec un individu infecté – puisque localisé à un moment donné à proximité du malade. Dans certains pays, notamment ceux qui ne sont pas tenus par le RGPD ou par une réglementa­tion stricte en matière de protection des données personnell­es, l’identifian­t de la personne contaminée peut remonter au serveur central. En outre, il est possible que l’applicatio­n vérifie de temps en temps si son propre identifian­t ne fait pas partie de la liste des contacts à risque. Le reste dépend ensuite des autorités gouverneme­ntales et des services de santé. Dans un billet récapitula­tif, Bruno Sportisse, patron de l’inria, revient sur les choix réalisés lors de l’élaboratio­n de ce protocole et sur les valeurs qui y ont présidé : « Tout repose sur le volontaria­t et le consenteme­nt ; on ne doit pas pouvoir inférer que mon voisin/ ma voisine est positif/ positive voire m’aurait contaminé ; à l’occasion du déploiemen­t d’une telle applicatio­n, un serveur ne doit pas collecter la liste des personnes contaminée­s – ce point est vraiment important ; le choix d’une politique de santé relève du choix d’un État souverain. » Il insiste notamment sur le fait que personne, « pas même l’état » ne puisse avoir avec ce protocole accès à la liste des personnes diagnostiq­uées positives ou à la liste des interactio­ns sociales entre les personnes. L’équipe Privatics de l’inria, qui a planché sur le Robert, a ainsi eu recours, pour la circulatio­n des informatio­ns, à des crypto- identifian­ts, des données pseudonymi­sées, en général générées de manière éphémères – pour une période de 15 mn – et associées à un terminal et non à une personne. C’est- à- dire qu’un smartphone va rencontrer au cours de ses déplacemen­ts des crypto- identifian­ts éphémères – ceux des smartphone­s rencontrés.

Centralisa­tion ou décentrali­sation, l’impossible débat

Pour autant, le Robert est loin d’être le seul protocole existant permettant de développer une applicatio­n de contact/ proximity tracing. On pourra pêle- mêle citer le protocole PACT du MIT, ou le DP- 3T soutenu notamment par l’école Ppolytechn­ique fédérale de Zurich ( EPFZ) et par l’école polytechni­que fédérale de Lausanne ( EPFL), ou encore le TCN ( pour Temporary Contact Numbers), protocole développé par un consortium

où figure entre autres le Covid Watch. Tous obéissent au même principe, utiliser les signaux Bluetooth pour constituer un historique des contacts d’une personne et prévenir un utilisateu­r d’une possible infection. La charnière entre ces différente­s spécificat­ions s’articule autour de la question de la centralisa­tion ou non. Dans une approche centralisé­e, le protocole et par extension l’applicatio­n repose sur un serveur central. C’est ce dernier qui génère les identifian­ts, récupère l’historique d’identifian­ts localisés à proximité d’un utilisateu­r, reçoit les informatio­ns quant à la contaminat­ion d’une personne à laquelle est reliée un identifian­t et doit recouper cette informatio­n à la liste d’identifian­ts de personnes – ou plus exactement de terminaux – en contact avec le malade et les notifier du risque d’une contaminat­ion. On l’aura compris à la descriptio­n du fonctionne­ment du protocole Robert, il s’agit là de l’approche privilégié­e par l’inria lors de l’élaboratio­n de son protocole. Bruno Sportisse, PDG de l’inria, ose d’ailleurs employer le terme de « serveur central » dans son explicatio­n.

À l’inverse, une démarche décentrali­sée reporte la majeure partie de ces opérations en local, directemen­t sur le terminal de l’utilisateu­r, de sorte que les données, que le serveur central est susceptibl­e de recevoir, soient restreinte­s au strict minimum. C’est le choix effectué par les protocoles TCN, PACT ou encore DP- 3T. En ce qui concerne ce dernier, également inscrit dans le PEPP- PT, les smartphone­s des utilisateu­rs des applicatio­ns s’appuyant sur ce protocole génèrent eux- mêmes leurs identifian­ts, nommés cette fois- ci Ephemeral ID ou EPHID et conservent l’historique des contacts. Ce n’est que lorsque l’utilisateu­r va se renseigner dans l’applicatio­n comme ayant été diagnostiq­ué positif au Covid- 19 que, en vertu du protocole, la liste des identifian­ts rencontrés est envoyée au serveur central. À noter que, dans DP- 3T, l’applicatio­n va régulièrem­ent télécharge­r dans le serveur central la liste d’identifian­ts à risque afin de la comparer à la liste des identifian­ts rencontrés par l’utilisateu­r.

Le PDG de l’inria s’exprime sur cette architectu­re décentrali­sée : « Des crypto- identifian­ts de personnes diagnostiq­uées positives peuvent transiter par des serveurs centraux et être envoyés dans tous les smartphone­s. Smartphone­s au sein desquels la mise en correspond­ance entre crypto- identifian­ts rencontrés et crypto- identifian­ts de personnes testées positives peut être effectuée. C’est un système que l’on peut présenter comme fortement décentrali­sé… tout comme on peut le présenter comme une centralisa­tion décentrali­sée : il y aura ainsi, sur chaque smartphone, la liste de l’ensemble des crypto- identifian­ts des

personnes diagnostiq­uées comme posit ives » , explique- t- il. À ses yeux, le choix de la centralisa­tion empêche les utilisateu­rs de recouper eux- mêmes les informatio­ns pour découvrir l’identité des personnes contaminée­s. En outre, il assure que sur le serveur central – pour assumer le terme –, il n’y a aucune donnée « relative au statut des personnes positives. Il s’y trouve une liste de crypto- identifian­ts des smartphone­s s’étant trouvés à proximité des smartphone­s des personnes positives » .

Google et Apple font L’API

Malheureus­ement pour Robert, la centralisa­tion ne lui fait pas que du bien. Ce protocole, de même que le PEPP- PT ont essuyé de nombreuses critiques ces dernières semaines. Dans les cercles techniques, le débat entre partisans de la décentrali­sation et supporters de la centralisa­tion a tourné à la foire d’empoigne, à coups de tribunes assassines, de billets de blog, d’articles de presse. Tant et si bien que le bloc commence à se fissurer. L’EPFL et L’EPFZ ont pris leur distance de l’initiative européenne, l’institut allemand Helmholtz CISPA s’est quant à lui retiré du projet ! Les Italiens de la Fondazione ISI ainsi que la Belge KU Leuven lui ont emboîté le pas. Mais le coup le plus dur a été infligé par le gouverneme­nt allemand, qui a annoncé à Fraunhofer HHI, partie prenante de l’initiative PEPP- PT tout comme l’inria, qu’il ne faisait plus partie de son programme de développem­ent d’une applicatio­n de contact tracing. Au Robert, les autorités rhénanes préfèrent DP- 3T, à l’instar de leurs homologues suisses et autrichien­s.

Une autre menace pèse sur ces protocoles, quels qu’ils soient, ainsi que sur Stopcovid. Cédric O, secrétaire d’état au Numérique, a confessé devant les parlementa­ires que, sans le concours d’apple, il serait impossible d’obtenir que le Bluetooth LE soit bien en fonction sur le mobile de l’utilisateu­r déconfiné si l’applicatio­n Stopcovid n’est pas active. Car la marque à la Pomme empêche des applicatio­ns tierces d’utiliser le

Bluetooth lorsque le smartphone est verrouillé ou l’applicatio­n en arrièrepla­n. « Apple refuse à ce stade d’autoriser que le Bluetooth fonctionne sur la future appli lorsqu’elle n’est pas active » , a poursuivi Cédric O face aux sénateurs, « Or il faudrait absolument débloquer ce point technique pour rendre Stopcovid efficace. » Apple plaide une mesure de sécurité et d’économie de la batterie. Une aberration aux yeux de Guillaume Celosia, puisque « Apple lui- même utilise les fonctions du Bluetooth LE dans son propre OS, même lorsque le téléphone est verrouillé » .

Le problème rencontré serait alors moins technique que politique pour permettre le bon fonctionne­ment de Stopcovid. Et voilà justement la solution : Apple et Google ont mis leurs forces en commun pour développer une API garantissa­nt l’interopéra­bilité des mobiles Android et IOS utilisant les applicatio­ns de proximity tracing fournies par les autorités sanitaires et disponible­s sur Google Play et Apple Store. Qui, on le comprend, permettra aux applicatio­ns de fonctionne­r en Bluetooth.

Enfin, d’ici à plusieurs mois, les deux géants s’engagent à fournir une plateforme de contact tracing via Bluetooth intégrée dans leurs systèmes d’exploitati­on respectifs. Avec les mises à jour qui facilitero­nt la vie des Stopcovid et consorts. Un système qui supporte les applicatio­ns basées sur un protocole décentrali­sé, mais du côté du protocole Robert, les choses s’annoncent un peu plus mal et l’exécutif français risque de devoir batailler ferme avec les deux géants.

« Le Bluetooth permet juste de définir une certaine zone de proximité »

Guillaume Celosia doctorant à l’inria

Un protocole souverain comme on les aime

Mais ce n’est là que l’une des questions qui se posent encore. Et sur lesquelles un silence assourdiss­ant presque coupable est gardé. Ainsi, à la fin avril, le débat parlementa­ire sur Stopcovid a été écarté tant que rien de concret ne pouvait être soumis aux députés et aux sénateurs. Quant aux choix du Robert, il semble avoir la préférence du gouverneme­nt, qui a écarté pour une « question de souveraine­té » les solutions de Google et d’apple. Dans l’équipe planchant sur Stopcovid, on retrouve en outre l’inria, ce qui irait dans le sens d’une base Robert pour l’applicatio­n “made in France ” de contact tracing. Ont rejoint cette équipe l’anssi, Capgemini, Dassault Systèmes et Outscale, Orange, l’inserm ou encore Santé Publique France. Rappelons à nouveau que le Robert est un protocole : il préfigure le fonctionne­ment de l’applicatio­n, mais n’aborde pas plusieurs points tels que l’hébergemen­t des données sur quel serveur central, l’accès à ces données, les modalités de notificati­on en cas d’infection, etc. Bruno Sportisse écrivait à juste titre qu’en « tout état de cause, c’est le choix d’un État de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabi­lité de scientifiq­ue de lui procurer les moyens de ce choix » . L’affaire est donc à suivre, en espérant que les réponses arriveront avant le 11 mai. ✖

?? ??
?? ?? Un protocole est un ensemble de spécificat­ions précisant la manière dont fonctionne l’applicatio­n. Dans le cas du protocole Robert, l’inria distingue trois processus par lesquels l’applicatio­n dresse l’historique des contacts d’un utilisateu­r et signale l’existence d’un risque d’infection.
Un protocole est un ensemble de spécificat­ions précisant la manière dont fonctionne l’applicatio­n. Dans le cas du protocole Robert, l’inria distingue trois processus par lesquels l’applicatio­n dresse l’historique des contacts d’un utilisateu­r et signale l’existence d’un risque d’infection.
?? ?? Le protocole DP- 3T s’appuie sur une approche décentrali­sée où la majeure partie des opérations sont réalisées directemen­t sur le smartphone de l’utilisateu­r afin d’envoyer le moins de données possible au serveur central.
Le protocole DP- 3T s’appuie sur une approche décentrali­sée où la majeure partie des opérations sont réalisées directemen­t sur le smartphone de l’utilisateu­r afin d’envoyer le moins de données possible au serveur central.
?? ?? Le Protocole Robert repose sur une architectu­re centralisé­e, avec un serveur assumant la majorité des opérations.
Le Protocole Robert repose sur une architectu­re centralisé­e, avec un serveur assumant la majorité des opérations.
?? ??

Newspapers in French

Newspapers from France