- Titre :
- Comment fonctionne une application de tracking du coronavirus
- Intervenant :
- Matti Schneider
- Lieu :
- en confinement chez lui
- Date :
- avril 2020
- Durée :
- 11 min
- Visualiser la vidéo
- Licence de la transcription :
- Verbatim
- Illustration :
- capture d’écran de la vidéo
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
Il y a différentes manières de mettre en œuvre des applications de suivi de contact pour limiter la propagation du Covid-19. Dans cette vidéo, j’explique simplement les principales approches et leurs conséquences sur les libertés publiques, pour permettre un débat plus éclairé.
Transcription
J’ai fait hier une vidéo à la base à destination de mes proches pour leur donner quelques éléments de compréhension et peut-être d’autodéfense intellectuelle face aux différentes possibilités de création d’une application de tracking liée au Covid. Au final, je me dis que cette vidéo pourrait peut-être utile à d’autres personnes pour se faire un avis sur la question. Je la publie donc en m’excusant du côté un peu bricolé, mais je n’avais pas prévu, dans mon espace de confinement, de devenir youtubeur.
Dans la première version on utilise le GPS, plus précisément les services de localisation, c’est-à-dire un mélange entre le GPS, le signal cellulaire, le wifi, le Bluetooth.
En fait, c’est ce qui se passe par exemple quand vous lancez l’application de cartographie sur votre téléphone.
Imaginons qu’on a une personne, Alice, qui installe l’application sur son téléphone. En arrière-plan, sans qu’on ne fasse rien, l’application va enregistrer tous les points sur lesquels on s’arrête.
Donc le matin Alice part de chez elle et, on est lundi, elle va à la boulangerie. Elle croise dans la boulangerie un homme qu’elle ne connaît pas, puis elle va à son lieu de travail, elle passe au parc et elle rentre chez elle en fin de journée.
Dans le même temps, Benoît a aussi installé l’application. Il la lance de chez lui et le matin il va à la boulangerie. Il croise une femme qu’il ne connaît pas. Il va au travail, le soir il passe à la crèche récupérer ses gamins et il rentre chez lui.
Trois jours plus tard, Alice est diagnostiquée avec le Covid. Elle le signale dans l’application.
Comment faire pour que Benoît, qui ne connaît pas Alice, soit notifié et puisse aller se faire tester pour voir si lui-même a le Covid et éventuellement se mettre en quarantaine ?
On va envoyer, par le biais de l’application, tous les déplacements à un serveur central, c’est-à-dire un ordinateur qui est accessible par Internet et qui, très certainement, sera administré par l’État, par le ministère de la Santé par exemple.
Sur la base de tous les historiques de déplacement qui ont été envoyés, la personne qui a accès à cette base de données va pouvoir faire le lien et envoyer un message à Benoît en lui disant « attention, lundi vous étiez dans la boulangerie avec une personne qui a été diagnostiquée ». Là, ça marche. On a trouvé une solution qui permet de notifier aux personnes qu’elles ont été dans le même espace qu’une personne qui a été contaminée. Pour autant, on se rend bien compte que l’État, et toute qui personne aura accès à cette base de données, puisqu’on sait très bien qu’il est fort probable que des cyberattaques aient lieu dans les prochains mois, les prochaines années, bref, que cette base de données puisse fuiter et être réutilisée par d’autres acteurs que ceux qui étaient initialement prévus, peu importe, n’importe quel acteur qui a accès à cette base de données peut savoir où était Alice à n’importe quel moment, où était Benoît à n’importe quel moment, en fait où étaient tous les Français qui ont installé l’application à n’importe quel moment.
On peut améliorer cette première version. Déjà, au lieu de mettre les véritables noms et prénoms et de les associer à chacun de ces déplacements, on peut utiliser ce qu’on appelle des identifiants opaques. Pourquoi est-ce qu’on dit opaques ? Tout simplement parce qu’ils n’ont aucun lien avec le nom réel.
Par exemple, ici, Alice s’appelle XT29 et Benoît s’appelle YB33. D’ailleurs, l’État ne sait plus qu’Alice s’est rendue à la boulangerie et que Benoît s’est rendu à la boulangerie en même temps, simplement qu’un téléphone qui est identifié par XT29 et un téléphone qui est identifié par YB33 se sont retrouvés au même endroit. Là, on a ce qu’on appelle l’anonymisation, mais ça ne permet pas nécessairement de garantir qu’on ne va pas être ré-identifié. Comment ? Tout simplement, si vous savez que tous les soirs XT29, à 18 heures, rentre au domicile d’Alice, vous avez de fortes chances de conclure que ce sont une seule et même personne.
On peut se poser la question : dans un cas où l’État ne sait pas directement qui est allé où mais en aurait la capacité, est-ce que dans ces conditions ce serait acceptable pour vous de partager vos données ?
Heureusement, on peut faire mieux. Il existe une autre manière de faire du suivi de contact.
Dans cette deuxième version, on va utiliser ce qu’on appelle les beacon Bluetooth. Ça n’a rien à voir avec les tranches de porc qu’on fait griller.
Vous connaissez le Bluetooth [1], quand vous vous connectez par exemple à un casque ou à une enceinte sur votre téléphone. Quand vous allez sur votre téléphone vous voyez dans la liste, par exemple « ma super enceinte » et vous pouvez vous y connecter. Vous avez certainement aussi remarqué que si vous éloignez votre téléphone et votre enceinte ça va rapidement commencer à crachoter et, à partir d’une dizaine de mètres, vous n’entendez plus rien. Une des spécificités du Bluetooth c’est justement qu’il a un rayon d’action qui est assez faible. On va utiliser cette fonctionnalité.
En fait, c’est un petit peu comme si les personnes qui installent l’application, reprenons Alice et Benoît qui ont installé cette application, lors de leurs déplacements, vont avoir un cercle de 5 à 10 mètres autour d’elles, comme un phare, qui annonce leur nom en disant « bonjour, je suis Alice ». Donc elle part de chez elle, elle va à la boulangerie, elle refait son petit parcours et de même pour Benoît. Sauf que ce qui est enregistré par l’application cette fois-ci, ce n’est pas le déplacement à proprement parler, ce sont uniquement les moments où ils se sont croisés. L’application d’Alice enregistre que lundi à 11 heures 30 elle a croisé Benoît. Et Benoît enregistre que lundi à 11 heures 30 il a rencontré Alice.
C’est vraiment comme si vous regardiez en permanence dans la liste des connexions Bluetooth disponibles sur votre téléphone et que vous notiez à chaque heure, à chaque minute quels étaient les appareils que vous pouviez découvrir. Donc ici on n’a plus besoin de savoir qui était où, on a juste besoin de savoir qu’ils se sont croisés. Plus précisément, au moment où Alice est diagnostiquée positive, elle pourrait aller dans la liste des personnes qu’elle a croisées et leur notifier. Mais pour ça, il faudrait que non seulement on rende disponible notre nom, mais qu’on rende aussi disponible un moyen d’être contacté. Et on n’a peut-être pas envie de donner notre adresse à n’importe quel inconnu‧e.
C’est là où, à nouveau, on va devoir passer à un serveur tiers, par exemple l’État, et quand Alice est diagnostiquée, elle prévient ce serveur, elle lui dit « attention, je suis positive au Covid ».
Tous les jours, l’application de Benoît va aller demander à ce serveur central la liste des personnes qui ont été diagnostiquées. Quand il reçoit, deux jours plus tard, la notification qu’Alice a été diagnostiquée positive au Covid, son application va, en autonomie, sans jamais en informer l’État, découvrir qu’il avait bien rencontré cette personne-là. Donc il est notifié et il va aller faire un test ou se mettre en quarantaine.
Cette version-là fonctionne. Personne ne peut savoir où étaient les personnes à quel moment. En revanche, on voit que l’État sait qui a été diagnostiqué positif au Covid et qui a croisé qui. Là encore, on peut faire mieux.
Cette fois-ci on va à nouveau s’appuyer sur le Bluetooth, mais avec des identifiants éphémères. Qu’est-ce qu’on appelle identifiants éphémères ? Au lieu de donner notre nom, on va utiliser un pseudonyme qui change par exemple toutes les dix à vingt minutes.
Lorsqu’à 11 heures 20 Alice est dans la boulangerie et qu’elle croise Benoît, à ce moment-là, l’identifiant qu’elle émet autour d’elle est par exemple YT33. Et Benoît, lui, à ce moment-là s’appelle YZ28.
Dix minutes plus tard Alice s’appelle désormais K728, donc quand elle arrive à son travail, il n’y a aucun moyen de savoir que c’est elle qui était à la boulangerie un peu plus tôt.
De son côté, Benoît a noté que le lundi, à 11 heures 30, il avait rencontré un certain YP33 et Alice elle, de son côté, a noté qu’elle avait rencontré un certain YZ28. Même s’ils se recroisent une demi-heure plus tard aucun d’eux ne pourra savoir qu’ils s’étaient déjà croisés un peu plus tôt.
Lorsque Alice est diagnostiquée positive au Covid, elle va dire au serveur central, un par un : « attention, celui-ci est contaminé, celui-ci est contaminé » et ainsi de suite. L’État se contente de lister les identifiants qui ont été contaminés. Benoît va récupérer cette liste et va pouvoir vérifier que dans la liste des identifiants qui ont été contaminés se trouve au moins un identifiant qu’il a croisé et il va donc pouvoir aller faire le test à son tour.
Dans cette configuration-là, personne ne sait qui a croisé qui, personne ne sait qui est qui et personne ne sait qui était où. Il est donc possible techniquement de garantir le respect de la vie privée des personnes qui utilisent une telle application. Pour autant, politiquement ce n’est pas neutre. Si on demande à tout le monde d’installer une telle application, on pourrait très bien imaginer que par la suite on nous demande d’installer d’autres applications pour d’autres formes de suivi. C’est donc, là encore, un choix politique : est-ce que, dans ces conditions, vous seriez à l’aise avec le fait d’utiliser un tel dispositif ? Est-ce que vous seriez à l’aise avec le fait de demander à d’autres personnes d’utiliser un tel dispositif ? Est-ce que vous pensez qu’il devrait être obligatoire ? Si oui, combien d’euros d’amende pour ne pas l’avoir installé ?
Une question importante à se poser est : est-ce qu’il y a des alternatives ? Il y a toujours une alternative.
En premier lieu, tout simplement, ne jamais construire une telle application. On peut tout à fait se reposer sur un système de diagnostic standard, c’est-à-dire que si vous êtes diagnostiqué‧e, que vous tombez malade, vous allez voir un personnel de santé dont le travail est de vous aider à faire la liste des endroits où vous avez été et de le notifier à toutes les personnes qui ont pu se trouver au même lieu au même moment.
Dans tous les cas, il y a une condition fondamentale à la construction d’un tel service public numérique : il doit être open source c’est-à-dire que son code doit être libre, tout le monde doit pouvoir lire le code de cette application-là. Même si vous, à titre personnel, vous ne savez pas lire ce code, il est crucial qu’on puisse auditer, qu’on puisse vérifier que ce qui est annoncé est bien ce qui est réellement fait. Et pour ça, la seule manière de le faire c’est de lire le code. Vous avez certainement quelqu’un autour de vous ou, au pire, un journaliste, qui sera capable de faire ce travail.
Et enfin, si on s’achemine vers une version par Bluetooth, il est évident que jamais une telle application ne vous demandera l’accès au service de localisation. Il faudrait donc refuser si une telle demande était faite.