En mati\u00e8re de \u00ab\u00a0contact tracing\u00a0\u00bb mobile par Bluetooth, quelle architecture est la moins risqu\u00e9e pour les donn\u00e9es personnelles ? Centralis\u00e9e ou d\u00e9centralis\u00e9e\u00a0? Cette question anime les discussions d\u2019experts en s\u00e9curit\u00e9 depuis des semaines. Jusqu\u2019alors, le camp des \u00ab\u00a0d\u00e9centralis\u00e9s\u00a0\u00bb semblait avoir l\u2019avantage, car il r\u00e9duisait au minimum le r\u00f4le de l\u2019\u00c9tat et donc sa possibilit\u00e9 de surveillance, comme cela \u00e9tait notifi\u00e9 dans une analyse des risques<\/a> publi\u00e9e par les auteurs du protocole\u00a0DP3T.<\/p>\n Mais le camp des \u00ab\u00a0centralis\u00e9s\u00a0\u00bb vient maintenant de riposter. L\u2019Inria, qui a cr\u00e9\u00e9 le protocole ROBERT pour StopCovid, a publi\u00e9 une analyse des risques qui vient r\u00e9tablir l\u2019\u00e9quilibre. Sur ces graphiques, plus on est en haut (axe de probabilit\u00e9) et \u00e0 droite (axe de s\u00e9v\u00e9rit\u00e9), plus c\u2019est mauvais, et cela d\u2019autant plus que les lettres sont grosses (axe d\u2019extensibilit\u00e9). Dans l\u2019hypoth\u00e8se de l\u2019\u00c9tat malveillant (graphique de droite), on pourrait s\u2019attendre \u00e0 ce que les risques du mod\u00e8le centralis\u00e9 se retrouvent en haut \u00e0 droite, bien au-dessus de ceux du mod\u00e8le concurrent. Non, pas du tout. Au contraire, ce sont \u00e0 nouveau les risques du mod\u00e8le d\u00e9centralis\u00e9 qui pr\u00e9valent. Deux raisons expliquent cette \u00e9tonnante conclusion.<\/p>\n
R\u00e9alis\u00e9 de fa\u00e7on m\u00e9thodique, ce document<\/a> pr\u00e9sente les risques en fonction de leurs sources potentielles d\u2019attaque, \u00e0 savoir les utilisateurs ou l\u2019\u00c9tat. Le tout est ensuite r\u00e9sum\u00e9 sous la forme de deux graphiques.<\/p>\n![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/abc\/97a3d67b6ce587a8db9973a1c3ff5.jpg\")
On remarque tout de suite que c\u2019est justement le cas du mod\u00e8le d\u00e9centralis\u00e9 sur le graphique de gauche, qui repr\u00e9sente l\u2019hypoth\u00e8se des utilisateurs malveillants.
Dans un tel mod\u00e8le, en effet, les utilisateurs re\u00e7oivent beaucoup plus d\u2019informations que le serveur. Les principaux risques qui en d\u00e9coulent sont l\u2019identification des personnes infect\u00e9es (LR 1-2, IR\u00a01-1) et la surveillance du niveau d\u2019infection dans une zone donn\u00e9e (S 14).<\/p>\n