Partenariat Apple et Google

Il y a quelques jours, Apple et Google ont annoncé un partenariat pour la création d’un outil de pistage qui permettra aux utilisateurs de téléphones de savoir s’ils ont été en contact avec une personne testée positive à la maladie à coronavirus COVID-19.

Le système, qui ne sera pas activé sans l’assentiment de l’utilisateur, diffuse par Bluetooth un numéro d’identification aléatoire et anonyme aux appareils mobiles à proximité.

L’utilisateur peut décider de téléverser ses données anonymes, qui sont alors diffusées aux appareils proches. Si une correspondance est trouvée, basée sur la distance entre les appareils et le temps passé à proximité, le ou les utilisateurs seront informés qu’ils ont pu être exposés au virus par une personne, dont l’identité n’est pas dévoilée.

Si le pistage des contacts semble utile pour la lutte contre la pandémie, et récemment, la Commission européenne a invité les États membres à développer une application mobile commune, ou, à défaut, des applications compatibles, le risque pour la vie privée et les données personnelles est grand.

D’Après Apple et Google, il est pris en compte : le numéro d’identification aléatoire anonyme serait changé toutes les 15 minutes, et toutes les données collectées sont traitées uniquement sur l’appareil, et ne le quittent que si l’utilisateur le choisit.

Ce qui ne convainc pas entièrement les spécialistes, qui pensent qu’on peut subvertir le système, et que ce dernier fournira à la fois des faux positifs et des faux négatifs.

Les deux partenaires mettent à disposition, en anglais, les spécifications Bluetooth, de chiffrement et d’interface de programmation du système.

Durant une conférence téléphonique avec les médias, les questions suivantes ont été posées :

Quelles versions d’Android et d’iOS recevront cette fonctionnalité ?

iOS 13 (plus de 75 % des appareils en utilisation ont été mis à jour), et Android 6 ou version supérieure : Google va intégrer le changement à Google Play Services afin qu’il ne soit pas uniquement disponible pour les dernières versions du système d’exploitation. La constellation Android est bien plus fractionnée selon les versions que dans le monde Apple.

Quand le système sera-t-il disponible ?

Une disponibilité pour la mi-mai est prévue. L’interface de programmation (API) sera ouverte exclusivement aux autorités publiques de santé, pour intégration dans leurs applications.

Dans les mois à venir, une application sera directement intégrée au système d’exploitation. Mais dans le cas d’une correspondance trouvée, l’utilisateur sera invité à télécharger l’application publique pertinente pour sa géographie.

Qui pourra exploiter l’API ?

Uniquement les organismes publics désignés par les gouvernements.

Les données seront-elles stockées dans une base de données centrale ?

D’après Apple, les données sont traitées localement sur l’appareil de l’utilisateur. Ces données seront toutefois « relayées » aux serveurs des organisations de santé, et ne seront pas centralisées. Ce qui rendrait plus difficile pour les gouvernements d’abuser du système pour surveiller les citoyens.

On peut se demander comment Apple peut être sûr que les organisations de santé ne décident pas de stocker les données, ni de les transmettre à une base de données centrale.

Comment éviter des alertes invalides ?

Apple et Google souhaitent que les autorités publiques de santé soient responsables de la validation.

Ce qui ne répond pas entièrement à la question.

Comment un cas d’exposition au COVID-19 est-il identifié ?

Apple et Google sont remarquablement vagues sur ce point.

Idéalement, ils concèdent qu’un résultat de test positif au coronavirus est idéal comme indicateur, mais que ce n’est pas le seul possible. Théoriquement, une agence de santé pourrait décider qu’un diagnostic basé sur des symptômes suffit.

 

Conclusion

En conclusion, il nous semble que les citoyens vont devoir faire confiance à Apple et Google pour construire un système qui résiste aux abus, en interne, par les gouvernements, et par des criminels.

Et plus encore, à des agences gouvernementales bien moins rodées aux applications mobiles et à la cybersécurité qu’Apple ou Google.

Si vraiment les États n’en profitent pas pour imposer l’utilisation du système, le choix de la confiance reposera sur l’utilisatrice ou l’utilisateur.

Mais comme on le constate à chaque fois, tout accident de sécurité publique est exploité par les gouvernements pour renforcer les pouvoirs de l’exécutif au détriment des droits fondamentaux des citoyens.

 

Fonctionnement

Ci-dessous, des illustrations en anglais – cliquer pour agrandir.