Les nuages s\u2019amoncellent au-dessus du projet StopCovid. Alors que le d\u00e9confinement doit d\u00e9marrer le 11\u00a0mai, il est peu probable que cette application soit pr\u00eate \u00e0 temps. Et il n\u2019est m\u00eame pas certain qu\u2019elle le sera un jour, et cela pour deux raisons.<\/p>\n
La premi\u00e8re a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e par le secr\u00e9taire d\u2019\u00c9tat au num\u00e9rique Cedric O, lors d\u2019une audition en commission des lois du S\u00e9nat. Ainsi, Apple n\u2019autorise pas, \u00e0 l\u2019heure actuelle, l\u2019application fran\u00e7aise \u00e0 diffuser en t\u00e2che de fond ses codes anonymes via Bluetooth. Cette restriction ne vise pas sp\u00e9cifiquement StopCovid, mais fait partie du mod\u00e8le de s\u00e9curit\u00e9 du syst\u00e8me iOS, dans le but de prot\u00e9ger les donn\u00e9es des utilisateurs. La firme de Cupertino fera-t-elle une exception pour les Fran\u00e7ais\u00a0? On peut en douter, d\u2019autant plus qu\u2019Apple a d\u00e9j\u00e0 propos\u00e9 sa propre technologie de \u00ab\u00a0contact tracing\u00a0\u00bb, avec l\u2019aide de Google.<\/a> Pour fonctionner, l\u2019application StopCovid devrait dont \u00eatre active en permanence sur le terminal, ce qui est totalement illusoire. Aucun utilisateur ne fera \u00e7a, ne serait-ce que par confort ou par oubli.<\/p>\n La seconde raison est li\u00e9e \u00e0 la technologie sous-jacente. L\u2019application StopCovid est cens\u00e9e utiliser le protocole de communication ROBERT, dont l\u2019INRIA vient de publier les sp\u00e9cifications<\/a>. L\u2019un des points cl\u00e9s est que les utilisateurs sont tous r\u00e9f\u00e9renc\u00e9s dans une base de donn\u00e9es centrale sous la forme d\u2019un identifiant unique et permanent, g\u00e9n\u00e9r\u00e9 par un serveur. Celui-ci cr\u00e9e \u00e9galement les codes anonymes que les utilisateurs vont diffuser autour d\u2019eux. Enfin, ce serveur r\u00e9cup\u00e8re les codes anonymes re\u00e7us par une personne qui s\u2019est d\u00e9clar\u00e9e infect\u00e9e. Un tel syst\u00e8me centralis\u00e9 re\u00e7oit beaucoup plus d\u2019informations sur les utilisateurs que dans le mod\u00e8le Apple\/Google.<\/p>\n D\u2019ailleurs, ROBERT fait d\u2019ores et d\u00e9j\u00e0 l\u2019objet de nombreuses critiques de la part d\u2019experts en informatique, \u00e0 commencer par le cryptographe Nadim Kobeissi. \u00ab\u00a0En bref, ROBERT repose enti\u00e8rement sur la confiance envers les autorit\u00e9s centrales et sur l\u2019hypoth\u00e8se qu\u2019ils se comporteront honn\u00eatement et seront imperm\u00e9ables aux compromis de tiers. Je ne suis pas en mesure de d\u00e9terminer en quoi il s\u2019agit d\u2019une approche solide, voire s\u00e9rieuse et r\u00e9aliste d\u2019une protection r\u00e9elle des donn\u00e9es des utilisateurs\u00a0\u00bb<\/em>, explique-t-il dans un message post\u00e9<\/a> sur le d\u00e9p\u00f4t GitHub de ROBERT.<\/p>\n De son c\u00f4t\u00e9, l\u2019ing\u00e9nieur St\u00e9phane Bortzmeyer estime que les auteurs de ROBERT font un usage abusif du terme \u00ab\u00a0anonyme\u00a0\u00bb. \u00ab\u00a0Le document ROBERT utilise le terme \u00ab\u00a0anonyme\u00a0\u00bb de fa\u00e7on assez lib\u00e9rale. Le pire est \u00ab\u00a0pseudonyme anonyme\u00a0\u00bb (un oxymore) dans le document de synth\u00e8se. L\u2019anonymat n\u00e9cessite le manque de tra\u00e7abilit\u00e9. Si les identifiants sont permanents, ils ne peuvent pas \u00eatre appel\u00e9s \u00ab\u00a0anonymes\u00a0\u00bb\u00a0\u00bb<\/em>, \u00e9crit-il dans un autre message sur GitHub<\/a>. Dans une note de blog, il estime par ailleurs que l\u2019analyse de s\u00e9curit\u00e9 faite par les auteurs de ROBERT est \u00ab\u00a0tr\u00e8s insuffisante\u00a0\u00bb<\/em> et qu\u2019ils ont \u00e9vacu\u00e9 trop facilement les probl\u00e8mes li\u00e9s au serveur central ont affirmant simplement qu\u2019il sera \u00ab\u00a0honn\u00eate et s\u00e9curis\u00e9\u00a0\u00bb<\/em>.<\/p>\n Lire aussi<\/strong>\u00a0: Coronavirus\u00a0: comment fonctionneront les applications de \u00ab\u00a0contact tracing\u00a0\u00bb<\/a><\/p>\n Les auteurs de DP3T, un protocole concurrent de ROBERT mais d\u00e9centralis\u00e9 comme celui d\u2019Apple\/Google, tirent \u00e9galement la sonnette d\u2019alarme dans un document commun<\/a>. Selon eux, avec un telle architecture centralis\u00e9e, il y a un risque important d\u2019\u00eatre d\u00e9anonymis\u00e9 ou de d\u00e9voiler son r\u00e9seau de fr\u00e9quentations, bref d\u2019\u00eatre happ\u00e9 par Big Brother. Certes, le syst\u00e8me ne manipule pas de donn\u00e9es personnelles, mais quelques op\u00e9rations de recoupement pourraient suffire pour r\u00e9v\u00e9ler l\u2019identit\u00e9 des utilisateurs, par exemple en collectant les adresses IP, les adresses MAC ou d\u2019autres informations sur eux. Par ailleurs, en collectant les codes anonymes re\u00e7us des personnes infect\u00e9es, le serveur central est th\u00e9oriquement capable de reconstituer le graphe social de ces personnes.<\/p>\n Les auteurs de ROBERT ont song\u00e9 \u00e0 ce dernier probl\u00e8me, c\u2019est pourquoi ils ont ajout\u00e9 un serveur interm\u00e9diaire qui m\u00e9lange les codes re\u00e7us des personnes infect\u00e9es par une technique appel\u00e9e \u00ab\u00a0Mixnet\u00a0\u00bb avant de les transf\u00e9rer au serveur central. Mais finalement, on ne fait que d\u00e9placer le probl\u00e8me sur ce serveur interm\u00e9diaire, \u00e0 qui l\u2019on devra accorder une grande confiance.<\/p>\nUn serveur central qui sait beaucoup de choses<\/h3>\n
![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/96e\/d8af29ad4300e1801d3dad638df74.jpg\")
\n – Principe de fonctionnement de ROBERT
\n <\/figcaption><\/figure>\n