Réussir Stopcovid...
Le défi de la traque éthique
L’exécutif nous concocte une application permettant à tout- unchacun de savoir s’il a été en contact avec une personne positive au Covid- 19. Or à deux semaines du début du déconfinement son développement semble encore balbutiant, avec pour seul élément concret le protocole Robert de l’inria.
Le contact tracing est la méthode retenue par de nombreux États pour lutter contre la propagation du Covid- 19. Par cet anglicisme on entend un moyen d’identifier les personnes ayant été en contact avec une autre potentiellement infectée – parce que déjà dépistée, ou présentant des symptômes. La technique s’appuie massivement, dans le cadre de la pandémie actuelle, sur les nouvelles technologies, à commencer par les smartphones. Singapour a été le premier à dégainer une application mobile, Tracetogether, disponible sur IOS et Android. Celle- ci utilise les signaux Bluetooth des téléphones pour déterminer si l’utilisateur a été à proximité d’un autre utilisateur de Tracetogether, et si ce dernier devait être testé positif au Covid- 19, la cartographie des contacts humains dessinée par cette application de telle sorte que le ministère de la Santé de Singapour soit en mesure de prévenir les individus qui se sont trouvés en contact avec un malade. Avec, pour garantie de confidentialité, le fait que ces données de proximité Bluetooth soient chiffrées et stockées uniquement sur le téléphone de l’utilisateur, les autorités de la cité- État demandant leur consentement à ces utilisateurs si le besoin de télécharger et de traiter ces données se fait sentir, pour la recherche des contacts après une infection. Sans surprise, la technique a fait des émules, surtout dans les pays préparant la sortie progressive du déconfinement.
Quel socle pour Stopcovid ?
En France, le gouvernement a dans un premier temps montré une certaine réticence à évoquer le sujet, avant de s’engouffrer dans la brèche et de dévoiler un projet d’application mobile utilisant le Bluetooth à des fins de contact tracing. Encore aujourd’hui, l’architecture de cette application baptisée Stopcovid est toujours floue et, pour l’heure, il faut, pour bien comprendre de ce dont on parle, assembler les nombreuses pièces d’un puzzle aussi technique que juridique et politique. Il ne s’agit pas dans ces pages de nous prononcer sur le bien fondé de Stopcovid, ni de prendre position dans les débats qui agitent l’écosystème français du numérique. Pour autant, même d’un point de vue purement technique, de nombreuses questions restent encore sans réponse.
« Le choix d’une politique de santé relève du choix d’un État souverain » Bruno Sportisse PDG de l’inria
La seule chose que l’on tient pour acquise est le recours aux signaux Bluetooth pour tracer les contacts d’un utilisateur. « Contrairement au GPS, on ne va pas avoir de coordonnées précises, la latitude et la longitude, de l’utilisateur. Le Bluetooth permet juste de définir une certaine zone de proximité » , nous explique Guillaume Celosia, doctorant au sein de l’inria, et de son équipe Privatics. La méthode a été éprouvée depuis Singapour, une cinquantaine de gouvernements et autres institutions ayant mis en place des applications similaires depuis le début de la crise. Le chercheur en sécurité Baptiste Robert a d’ailleurs dressé la liste des services existants, disponible à cette adresse : https:// github. com/ fs0c131y/ covid19- tracker- apps. En France, l’inria a dégainé à la mi- avril le protocole Robust and privacy- preserving proximity Tracing, dit Robert pour les intimes. Contrairement à certaines idées reçues, il ne s’agit pas de l’application mobile, mais d’un protocole de communication, co- développé avec l’institut allemand Fraunhofer. Le Robert est donc en lice pour devenir le protocole derrière le Stopcovid. Le protocole co- développé par l’inria s’inscrit dans l’initiative paneuropéenne de suivi des contacts de proximité préservant la vie privée dit le PEPP- PT ( Pan European Privacy-Preserving Proximity Tracing). Ce protocole se décompose en trois phases : « La détection des contacts d’un utilisateur, la déclaration des pseudonymes des contacts d’un utilisateur diagnostiqué positif et l’obtention du statut d’exposition. »
En substance, le fonctionnement repose sur l’installation sur le terminal mobile d’un utilisateur d’une application dédiée. Cette application émet généralement un identifiant propre à ce terminal – on parle de crypto- identifiants, de pseudonymes ou encore d’ephemeral ID. Par le biais du Bluetooth, activé par l’utilisateur, l’application constitue un historique des autres signaux Bluetooth, donc des autres identifiants rencontrés par l’utilisateur au cours de ses déplacements. Dans le cas où une personne est diagnostiquée positive au coronavirus, l’application télécharge sur le serveur d’une autorité de santé la liste des identifiants rencontrés, sans toutefois faire remonter son propre identifiant. Chacun des identifiants de la liste désigne alors le terminal d’une personne qui a donc été en contact avec un individu infecté – puisque localisé à un moment donné à proximité du malade. Dans certains pays, notamment ceux qui ne sont pas tenus par le RGPD ou par une réglementation stricte en matière de protection des données personnelles, l’identifiant de la personne contaminée peut remonter au serveur central. En outre, il est possible que l’application vérifie de temps en temps si son propre identifiant ne fait pas partie de la liste des contacts à risque. Le reste dépend ensuite des autorités gouvernementales et des services de santé. Dans un billet récapitulatif, Bruno Sportisse, patron de l’inria, revient sur les choix réalisés lors de l’élaboration de ce protocole et sur les valeurs qui y ont présidé : « Tout repose sur le volontariat et le consentement ; on ne doit pas pouvoir inférer que mon voisin/ ma voisine est positif/ positive voire m’aurait contaminé ; à l’occasion du déploiement d’une telle application, un serveur ne doit pas collecter la liste des personnes contaminées – ce point est vraiment important ; le choix d’une politique de santé relève du choix d’un État souverain. » Il insiste notamment sur le fait que personne, « pas même l’état » ne puisse avoir avec ce protocole accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes. L’équipe Privatics de l’inria, qui a planché sur le Robert, a ainsi eu recours, pour la circulation des informations, à des crypto- identifiants, des données pseudonymisées, en général générées de manière éphémères – pour une période de 15 mn – et associées à un terminal et non à une personne. C’est- à- dire qu’un smartphone va rencontrer au cours de ses déplacements des crypto- identifiants éphémères – ceux des smartphones rencontrés.
Centralisation ou décentralisation, l’impossible débat
Pour autant, le Robert est loin d’être le seul protocole existant permettant de développer une application de contact/ proximity tracing. On pourra pêle- mêle citer le protocole PACT du MIT, ou le DP- 3T soutenu notamment par l’école Ppolytechnique fédérale de Zurich ( EPFZ) et par l’école polytechnique fédérale de Lausanne ( EPFL), ou encore le TCN ( pour Temporary Contact Numbers), protocole développé par un consortium
où figure entre autres le Covid Watch. Tous obéissent au même principe, utiliser les signaux Bluetooth pour constituer un historique des contacts d’une personne et prévenir un utilisateur d’une possible infection. La charnière entre ces différentes spécifications s’articule autour de la question de la centralisation ou non. Dans une approche centralisée, le protocole et par extension l’application repose sur un serveur central. C’est ce dernier qui génère les identifiants, récupère l’historique d’identifiants localisés à proximité d’un utilisateur, reçoit les informations quant à la contamination d’une personne à laquelle est reliée un identifiant et doit recouper cette information à la liste d’identifiants de personnes – ou plus exactement de terminaux – en contact avec le malade et les notifier du risque d’une contamination. On l’aura compris à la description du fonctionnement du protocole Robert, il s’agit là de l’approche privilégiée par l’inria lors de l’élaboration de son protocole. Bruno Sportisse, PDG de l’inria, ose d’ailleurs employer le terme de « serveur central » dans son explication.
À l’inverse, une démarche décentralisée reporte la majeure partie de ces opérations en local, directement sur le terminal de l’utilisateur, de sorte que les données, que le serveur central est susceptible de recevoir, soient restreintes au strict minimum. C’est le choix effectué par les protocoles TCN, PACT ou encore DP- 3T. En ce qui concerne ce dernier, également inscrit dans le PEPP- PT, les smartphones des utilisateurs des applications s’appuyant sur ce protocole génèrent eux- mêmes leurs identifiants, nommés cette fois- ci Ephemeral ID ou EPHID et conservent l’historique des contacts. Ce n’est que lorsque l’utilisateur va se renseigner dans l’application comme ayant été diagnostiqué positif au Covid- 19 que, en vertu du protocole, la liste des identifiants rencontrés est envoyée au serveur central. À noter que, dans DP- 3T, l’application va régulièrement télécharger dans le serveur central la liste d’identifiants à risque afin de la comparer à la liste des identifiants rencontrés par l’utilisateur.
Le PDG de l’inria s’exprime sur cette architecture décentralisée : « Des crypto- identifiants de personnes diagnostiquées positives peuvent transiter par des serveurs centraux et être envoyés dans tous les smartphones. Smartphones au sein desquels la mise en correspondance entre crypto- identifiants rencontrés et crypto- identifiants de personnes testées positives peut être effectuée. C’est un système que l’on peut présenter comme fortement décentralisé… tout comme on peut le présenter comme une centralisation décentralisée : il y aura ainsi, sur chaque smartphone, la liste de l’ensemble des crypto- identifiants des
personnes diagnostiquées comme posit ives » , explique- t- il. À ses yeux, le choix de la centralisation empêche les utilisateurs de recouper eux- mêmes les informations pour découvrir l’identité des personnes contaminées. En outre, il assure que sur le serveur central – pour assumer le terme –, il n’y a aucune donnée « relative au statut des personnes positives. Il s’y trouve une liste de crypto- identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes positives » .
Google et Apple font L’API
Malheureusement pour Robert, la centralisation ne lui fait pas que du bien. Ce protocole, de même que le PEPP- PT ont essuyé de nombreuses critiques ces dernières semaines. Dans les cercles techniques, le débat entre partisans de la décentralisation et supporters de la centralisation a tourné à la foire d’empoigne, à coups de tribunes assassines, de billets de blog, d’articles de presse. Tant et si bien que le bloc commence à se fissurer. L’EPFL et L’EPFZ ont pris leur distance de l’initiative européenne, l’institut allemand Helmholtz CISPA s’est quant à lui retiré du projet ! Les Italiens de la Fondazione ISI ainsi que la Belge KU Leuven lui ont emboîté le pas. Mais le coup le plus dur a été infligé par le gouvernement allemand, qui a annoncé à Fraunhofer HHI, partie prenante de l’initiative PEPP- PT tout comme l’inria, qu’il ne faisait plus partie de son programme de développement d’une application de contact tracing. Au Robert, les autorités rhénanes préfèrent DP- 3T, à l’instar de leurs homologues suisses et autrichiens.
Une autre menace pèse sur ces protocoles, quels qu’ils soient, ainsi que sur Stopcovid. Cédric O, secrétaire d’état au Numérique, a confessé devant les parlementaires que, sans le concours d’apple, il serait impossible d’obtenir que le Bluetooth LE soit bien en fonction sur le mobile de l’utilisateur déconfiné si l’application Stopcovid n’est pas active. Car la marque à la Pomme empêche des applications tierces d’utiliser le
Bluetooth lorsque le smartphone est verrouillé ou l’application en arrièreplan. « Apple refuse à ce stade d’autoriser que le Bluetooth fonctionne sur la future appli lorsqu’elle n’est pas active » , a poursuivi Cédric O face aux sénateurs, « Or il faudrait absolument débloquer ce point technique pour rendre Stopcovid efficace. » Apple plaide une mesure de sécurité et d’économie de la batterie. Une aberration aux yeux de Guillaume Celosia, puisque « Apple lui- même utilise les fonctions du Bluetooth LE dans son propre OS, même lorsque le téléphone est verrouillé » .
Le problème rencontré serait alors moins technique que politique pour permettre le bon fonctionnement de Stopcovid. Et voilà justement la solution : Apple et Google ont mis leurs forces en commun pour développer une API garantissant l’interopérabilité des mobiles Android et IOS utilisant les applications de proximity tracing fournies par les autorités sanitaires et disponibles sur Google Play et Apple Store. Qui, on le comprend, permettra aux applications de fonctionner en Bluetooth.
Enfin, d’ici à plusieurs mois, les deux géants s’engagent à fournir une plateforme de contact tracing via Bluetooth intégrée dans leurs systèmes d’exploitation respectifs. Avec les mises à jour qui faciliteront la vie des Stopcovid et consorts. Un système qui supporte les applications basées sur un protocole décentralisé, mais du côté du protocole Robert, les choses s’annoncent un peu plus mal et l’exécutif français risque de devoir batailler ferme avec les deux géants.
« Le Bluetooth permet juste de définir une certaine zone de proximité »
Guillaume Celosia doctorant à l’inria
Un protocole souverain comme on les aime
Mais ce n’est là que l’une des questions qui se posent encore. Et sur lesquelles un silence assourdissant presque coupable est gardé. Ainsi, à la fin avril, le débat parlementaire sur Stopcovid a été écarté tant que rien de concret ne pouvait être soumis aux députés et aux sénateurs. Quant aux choix du Robert, il semble avoir la préférence du gouvernement, qui a écarté pour une « question de souveraineté » les solutions de Google et d’apple. Dans l’équipe planchant sur Stopcovid, on retrouve en outre l’inria, ce qui irait dans le sens d’une base Robert pour l’application “made in France ” de contact tracing. Ont rejoint cette équipe l’anssi, Capgemini, Dassault Systèmes et Outscale, Orange, l’inserm ou encore Santé Publique France. Rappelons à nouveau que le Robert est un protocole : il préfigure le fonctionnement de l’application, mais n’aborde pas plusieurs points tels que l’hébergement des données sur quel serveur central, l’accès à ces données, les modalités de notification en cas d’infection, etc. Bruno Sportisse écrivait à juste titre qu’en « tout état de cause, c’est le choix d’un État de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix » . L’affaire est donc à suivre, en espérant que les réponses arriveront avant le 11 mai. ✖