Partout dans le monde, un chœur diversifié et croissant appelle à l'utilisation de la technologie de proximité des smartphones pour lutter contre COVID-19. En particulier, des experts en santé publique et d'autres soutiennent que les smartphones pourraient fournir une solution à un besoin urgent de traçage rapide et généralisé des contacts, c'est-à-dire suivre les personnes infectées qui entrent en contact lors de leurs déplacements dans le monde. Les partisans de cette approche soulignent que de nombreuses personnes possèdent déjà des smartphones, qui sont fréquemment utilisés pour suivre les mouvements et les interactions des utilisateurs dans le monde physique.
Mais il n'est pas acquis que le suivi des smartphones résoudra ce problème, et les risques qu'il pose pour la vie privée et les libertés civiles sont considérables . Le suivi de la position – à l' aide du GPS et des informations sur le site cellulaire, par exemple – n'est pas adapté au suivi des contacts car il ne révélera pas de manière fiable les interactions physiques étroites qui, selon les experts, sont susceptibles de propager la maladie. Au lieu de cela, les développeurs fusionnent rapidement autour des applications de traçage de proximité , qui mesurent la force du signal Bluetooth pour déterminer si deux smartphones étaient suffisamment proches pour que leurs utilisateurs transmettent le virus. Dans cette approche, si l'un des utilisateurs est infecté, d'autres dont la proximité a été enregistrée par l'application pourraient le découvrir, s'auto-mettre en quarantaine et demander des tests. Aujourd'hui même, Apple et Google ont annoncé des interfaces de programmation d'applications (API) communes utilisant ces principes qui seront déployées sur iOS et Android en mai. Un certain nombre d'applications de conception similaire sont maintenant disponibles ou seront lancées prochainement.
Dans le cadre de la réponse sociétale presque sans précédent à COVID-19, ces applications soulèvent des questions difficiles sur la confidentialité, l'efficacité et l'ingénierie responsable de la technologie pour faire progresser la santé publique. Surtout, nous ne devons faire confiance à aucune application, quelle que soit sa conception, pour résoudre cette crise ou répondre à toutes ces questions. Les applications de recherche des contacts ne peuvent pas compenser les pénuries de traitement efficace, d'équipement de protection individuelle et de tests rapides, entre autres défis.
COVID-19 est une crise mondiale, qui menace de tuer des millions de personnes et de bouleverser la société, mais l'histoire a montré que les exceptions aux protections des libertés civiles faites en temps de crise persistent souvent beaucoup plus longtemps que la crise elle-même. Grâce aux protections technologiques, les applications de suivi de proximité sophistiquées peuvent éviter les pièges de confidentialité courants du suivi de localisation. Les développeurs et les gouvernements devraient également envisager des limites légales et politiques à l'utilisation de ces applications. Surtout, le choix de les utiliser devrait incomber aux utilisateurs individuels, qui devraient s'informer des risques et des limites, et insister sur les garanties nécessaires. Certaines de ces garanties sont examinées ci-dessous.
Comment fonctionnent les applications de proximité?
Il existe de nombreuses propositions différentes pour les applications de suivi de proximité basées sur Bluetooth, mais à un niveau élevé, elles commencent par une approche similaire. L'application diffuse un identifiant unique via Bluetooth que d'autres téléphones à proximité peuvent détecter. Pour protéger la confidentialité, de nombreuses propositions , y compris les API Apple et Google , font tourner fréquemment l'identifiant de chaque téléphone pour limiter le risque de suivi par des tiers.
Lorsque deux utilisateurs de l'application se rapprochent, les deux applications estiment la distance entre elles à l'aide de la force du signal Bluetooth. Si les applications estiment qu'elles sont espacées de moins d'environ six pieds (ou deux mètres) pendant une période de temps suffisante, les applications échangent des identifiants. Chaque application enregistre une rencontre avec l'identifiant de l'autre. L'emplacement des utilisateurs n'est pas nécessaire, car l'application doit seulement savoir si les utilisateurs sont suffisamment proches les uns des autres pour créer un risque d'infection.
Lorsqu'un utilisateur de l'application apprend qu'il est infecté par COVID-19, les autres utilisateurs peuvent être informés de leur propre risque d'infection. C'est là que les conceptions différentes de l'application divergent considérablement.
Certaines applications s'appuient sur une ou plusieurs autorités centrales qui ont un accès privilégié aux informations sur les appareils des utilisateurs. Par exemple, TraceTogether , développé pour le gouvernement de Singapour, exige que tous les utilisateurs partagent leurs informations de contact avec les administrateurs de l'application. Dans ce modèle, l'autorité conserve une base de données qui mappe les identifiants des applications aux informations de contact. Lorsqu'un utilisateur obtient un résultat positif, son application télécharge une liste de tous les identifiants avec lesquels elle a été en contact au cours des deux dernières semaines. L'autorité centrale recherche ces identifiants dans sa base de données et utilise des numéros de téléphone ou des adresses électroniques pour contacter d'autres utilisateurs susceptibles d'avoir été exposés. Cela met beaucoup d'informations sur les utilisateurs hors de leur contrôle et entre les mains du gouvernement. Ce modèle crée des risques inacceptables de suivi omniprésent des associations d'individus et ne devrait pas être utilisé par d'autres entités de santé publique.
D'autres modèles s'appuient sur une base de données qui ne stocke pas autant d'informations sur les utilisateurs de l'application. Par exemple, il n'est pas réellement nécessaire pour une autorité de stocker de vraies informations de contact. Au lieu de cela, les utilisateurs infectés peuvent télécharger leurs journaux de contacts dans une base de données centrale, qui stocke des identifiants anonymes pour tous ceux qui ont pu être exposés. Ensuite, les appareils des utilisateurs non infectés peuvent régulièrement envoyer une requête ping à l'autorité avec leurs propres identifiants. L'autorité répond à chaque ping en indiquant si l'utilisateur a été exposé. Avec des garanties de base en place, ce modèle pourrait être plus protecteur de la vie privée des utilisateurs. Malheureusement, cela peut encore permettre à l'autorité d'apprendre les véritables identités des utilisateurs infectés. Avec des protections plus sophistiquées, comme le mélange cryptographique, le système pourrait offrir des garanties de confidentialité légèrement plus fortes.
Certaines propositions vont plus loin, publiant l'intégralité de la base de données publiquement. Par exemple, la proposition d' Apple et de Google , publiée le 10 avril, diffuserait une liste des clés associées aux individus infectés aux personnes à proximité avec l'application. Ce modèle fait moins confiance à une autorité centrale, mais il crée de nouveaux risques pour les utilisateurs qui partagent leur état d'infection qui doivent être atténués ou acceptés.
Certaines applications nécessitent que les autorités, comme les responsables de la santé, certifient qu'une personne est infectée avant d'alerter d'autres utilisateurs de l'application. D'autres modèles pourraient permettre aux utilisateurs de déclarer eux-mêmes l'état ou les symptômes de l'infection, mais ceux-ci peuvent entraîner un nombre important de faux positifs, ce qui pourrait nuire à l'utilité de l'application.
En bref, bien que certaines des idées pour l'ingénierie des applications de suivi de proximité soient prometteuses, de nombreuses questions restent ouvertes.
Les applications de proximité seraient-elles efficaces?
Le traçage traditionnel des contacts demande assez de travail, mais peut être assez détaillé. Les agents de santé publique interrogent la personne atteinte de la maladie pour connaître ses mouvements et les personnes avec lesquelles elle a été en contact étroit. Cela peut inclure des entretiens avec des membres de la famille et d'autres personnes qui peuvent connaître plus de détails. Les agents de santé publique contactent ensuite ces personnes pour leur offrir de l'aide et des traitements au besoin, et parfois les interviewent pour retracer la chaîne de contacts. Il est difficile de le faire à grande échelle pendant une pandémie. De plus, la mémoire humaine étant faillible, même l'image la plus détaillée obtenue au cours des entretiens peut comporter des lacunes ou des erreurs importantes.
Le suivi des contacts des applications de proximité ne remplace pas l'intervention directe des agents de santé publique. Il est également douteux qu'une application de proximité puisse considérablement aider à effectuer le suivi des contacts COVID-19 pendant une période comme la présente, lorsque la transmission communautaire est si élevée qu'une grande partie de la population générale se réfugie sur place et lorsqu'il n'y a pas suffisamment de tests pour suivre le virus. Lorsqu'il y a tant de personnes infectieuses non diagnostiquées dans la population, dont une grande partie est asymptomatique , une application de proximité ne pourra pas avertir de la plupart des risques d'infection. De plus, sans tests rapides et largement disponibles, même une personne présentant des symptômes ne peut pas confirmer le début du processus de notification. Et il est déjà demandé à tout le monde d'éviter la proximité avec des personnes extérieures à leur foyer.
Cependant, une telle application pourrait être utile pour le suivi des contacts dans un délai que nous espérons arriver bientôt, lorsque la transmission communautaire est suffisamment faible pour que la population puisse cesser de se mettre en place sur place, et lorsqu'il y a suffisamment de tests pour diagnostiquer rapidement et efficacement COVID-19 à échelle.
Le traçage traditionnel des contacts n'est utile que pour les contacts que le sujet peut identifier. COVID-19 est exceptionnellement contagieux et peut se propager d'une personne à l'autre, même pendant de courtes rencontres. Un bref échange entre un commis d'épicerie et un client, ou entre deux passagers dans les transports publics, peut être suffisant pour qu'une personne infecte l'autre. La plupart des gens ne collectent pas les informations de contact de toutes les personnes rencontrées, mais les applications peuvent le faire automatiquement. Cela pourrait en faire des compléments utiles au traçage traditionnel des contacts.
Mais une application traitera le contact entre deux personnes passant sur le trottoir de la même manière que le contact entre colocataires ou partenaires romantiques, bien que ces derniers comportent des risques de transmission beaucoup plus importants. Sans tester une application dans le monde réel – ce qui implique des risques pour la confidentialité et la sécurité – nous ne pouvons pas être sûrs qu'une application n'enregistrera pas non plus les connexions entre des personnes séparées par des murs ou dans deux voitures adjacentes arrêtées à un feu. Les applications ne prennent pas non plus en compte le fait que leurs utilisateurs portent un équipement de protection et peuvent sur-signaler en série l'exposition à des utilisateurs tels que le personnel hospitalier ou les employés d'épicerie, malgré leurs précautions supplémentaires contre l'infection. Il n'est pas clair comment les contraintes technologiques des calculs de proximité Bluetooth informeront les décisions de santé publique pour notifier les individus potentiellement infectés. Est-il préférable que ces applications soient légèrement hypersensibles et risquent de sur-notifier les personnes qui ne se trouvaient peut-être pas à moins de six pieds d'un utilisateur infecté pendant la durée requise? Ou l'application devrait-elle avoir des seuils plus élevés afin qu'un utilisateur notifié puisse avoir davantage confiance qu'il était vraiment exposé?
De plus, ces applications ne peuvent enregistrer des contacts qu'entre deux personnes qui ont chacune un téléphone sur leur personne qui est compatible Bluetooth et sur lequel l'application est installée. Cela met en évidence une autre condition nécessaire pour qu'une application de proximité soit efficace: son adoption par un nombre suffisamment important de personnes. Les API Apple et Google tentent de résoudre ce problème en offrant une plate-forme commune aux autorités sanitaires et aux développeurs pour créer des applications offrant des fonctionnalités et des protections communes. Ces entreprises aspirent également à créer leurs propres applications qui interagiront plus directement et accéléreront l'adoption. Mais même dans ce cas, un pourcentage important de la population mondiale – y compris une bonne partie de la population des États-Unis – peut ne pas avoir accès à un smartphone exécutant la dernière version d'iOS ou d'Android. Cela met en évidence la nécessité de continuer à utiliser des mesures de santé publique éprouvées telles que les tests et la recherche traditionnelle des contacts, pour garantir que les populations déjà marginalisées ne soient pas manquées.
Nous ne pouvons pas résoudre une pandémie en codant l'application parfaite. Les problèmes sociétaux difficiles ne sont pas résolus par la technologie magique, entre autres parce que tout le monde n'aura pas accès aux smartphones et à l'infrastructure nécessaires pour que cela fonctionne.
Enfin, nous ne devons pas trop compter sur la promesse d'une application non éprouvée pour prendre des décisions critiques, comme décider qui devrait arrêter de se mettre à l'abri sur place et quand. Les applications fiables de ce type passent généralement par de nombreuses phases de développement et par plusieurs couches de tests et d'assurance qualité, qui prennent toutes du temps. Et même alors, les nouvelles applications ont souvent des bugs. Une application de traçage de proximité défectueuse peut entraîner de faux positifs, de faux négatifs, ou les deux.
Les applications de proximité nuiraient-elles trop à nos libertés?
Toute application de proximité crée de nouveaux risques pour les utilisateurs de technologies. Un journal de la proximité d'un utilisateur avec d'autres utilisateurs pourrait être utilisé pour montrer à qui il s'associe et déduire ce qu'il faisait. La peur de divulguer de telles informations de proximité peut dissuader les utilisateurs de participer à une activité expressive dans des lieux publics. Les groupes vulnérables sont souvent accablés de manière disparate par la technologie de surveillance, et le suivi de proximité peut ne pas être différent. Et des données de proximité ou des diagnostics médicaux pourraient être volés par des adversaires comme des gouvernements étrangers ou des voleurs d'identité.
Certes, certaines technologies couramment utilisées créent des risques similaires. Beaucoup suivent et signalent votre position, de Fitbit à Pokemon Go. Le simple fait de porter un téléphone portable présente le risque de suivre la triangulation de la tour cellulaire. Les magasins essaient d'exploiter le trafic piéton des clients via Bluetooth . De nombreux utilisateurs ont opté pour des services tels que les services de localisation de Google, qui conservent un journal détaillé de partout où ils se sont rendus. Facebook tente de quantifier les associations entre les personnes grâce à une myriade de signaux, notamment en utilisant la reconnaissance faciale pour extraire les données des photographies, en reliant les comptes aux données de contact et en explorant les interactions numériques. Même des services préservant la confidentialité comme Signal peuvent exposer des associations via des métadonnées.
L'ajout proposé du suivi de proximité à ces autres formes de suivi existantes ne serait donc pas un vecteur de menace entièrement nouveau. Mais l'échelle potentiellement mondiale des API et des applications de suivi des contacts, et leur collecte d'informations sensibles sur la santé et les associations, présente de nouveaux risques pour davantage d'utilisateurs.
Le contexte compte, bien sûr. Nous sommes confrontés à une pandémie sans précédent. Des dizaines de milliers de personnes sont mortes et des centaines de millions de personnes ont reçu pour instruction de se mettre à l'abri sur place. Un vaccin est attendu dans 12 à 18 mois . Bien que cela donne de l'urgence aux projets d'applications de proximité, nous devons également nous rappeler que cette crise prendra fin, mais les nouvelles technologies de suivi ont tendance à rester. Ainsi, les développeurs d'applications de proximité doivent être sûrs de développer une technologie qui préservera la confidentialité et la liberté que nous chérissons tous, afin de ne pas sacrifier les droits fondamentaux en cas d'urgence. Des garanties suffisantes permettront d'atténuer ce risque. Une transparence totale sur le fonctionnement des applications et des API, y compris le code open source, est nécessaire pour que les gens comprennent et donnent leur consentement éclairé aux risques.
Une application de proximité dispose-t-elle de garanties suffisantes?
Nous invitons les développeurs d'applications à fournir, et les utilisateurs à exiger, les garanties nécessaires suivantes:
Consentement
Le consentement éclairé, volontaire et opt-in est la condition fondamentale pour toute application qui suit les interactions d'un utilisateur avec d'autres dans le monde physique. De plus, les personnes qui choisissent d'utiliser l'application et apprennent ensuite qu'elles sont malades doivent également avoir le choix de partager ou non un journal de leurs contacts. Les gouvernements ne doivent exiger l'utilisation d'aucune application de proximité. Il ne devrait pas non plus y avoir de pression informelle pour utiliser l'application en échange de l'accès aux services gouvernementaux. De même, les parties privées ne doivent pas exiger l'utilisation de l'application pour accéder aux espaces physiques ou obtenir d'autres avantages.
Les particuliers devraient également avoir la possibilité de désactiver l'application de suivi de proximité. Les utilisateurs qui consentent à un suivi de proximité peuvent ne pas consentir à un autre suivi de proximité, par exemple, lorsqu'ils se livrent à des activités particulièrement sensibles telles que la visite d'un médecin ou une organisation politique. Les gens peuvent cacher ces informations aux entretiens traditionnels de recherche des contacts avec les agents de santé, et la recherche numérique des contacts ne doit pas être plus intrusive. Les gens sont plus susceptibles d'activer les applications de proximité en premier lieu (ce qui peut être bon pour la santé publique) s'ils savent qu'ils ont la prérogative de les désactiver et de les réactiver quand ils le souhaitent.
Bien qu'il puisse être tentant d'imposer l'utilisation d'une application de recherche des contacts, l'interférence avec l'autonomie personnelle est inacceptable. La santé publique requiert la confiance entre les responsables de la santé publique et le public, et la peur de la surveillance peut amener les individus à éviter les tests et les traitements. Il s'agit d'une préoccupation particulièrement aiguë dans les communautés marginalisées qui ont des raisons historiques de se méfier de la participation forcée au nom de la santé publique. Bien que certains gouvernements puissent ignorer le consentement de leurs citoyens, nous exhortons les développeurs à ne pas travailler avec ces gouvernements.
Minimisation
Toute application de suivi de proximité pour le suivi des contacts doit collecter le moins d'informations possible. Il s'agit probablement d'un enregistrement de deux utilisateurs proches l'un de l'autre, mesuré par la force du signal Bluetooth plus les types d'appareils, et un marqueur rotatif unique pour le téléphone de l'autre personne. L'application ne doit pas collecter d'informations sur l'emplacement. Il ne doit pas non plus collecter d'informations d'horodatage, à l'exception peut-être de la date (si les responsables de la santé publique pensent qu'il est important de contacter la recherche).
Le système doit conserver les informations pendant le moins de temps possible, qui est probablement mesuré en jours et semaines et non en mois. Les responsables de la santé publique devraient définir la durée pendant laquelle les données de proximité pourraient être pertinentes pour la recherche des contacts. Toutes les données qui ne sont plus pertinentes doivent être supprimées automatiquement.
Toute autorité centrale qui gère ou publie des bases de données d'identifiants anonymes ne doit pas collecter ou stocker des métadonnées (comme des adresses IP) qui peuvent lier des identifiants anonymes à des personnes réelles.
L'application doit collecter des informations uniquement à des fins de recherche de contacts. De plus, il devrait y avoir des barrières solides entre (a) l'application de suivi de proximité et (b) tout ce que le créateur d'une application collecte, comme les données de localisation agrégées ou les dossiers de santé individuels.
Enfin, dans toute la mesure du possible, les informations collectées doivent résider sur le propre appareil d'un utilisateur plutôt que sur des serveurs gérés par le développeur de l'application ou une entité de santé publique. Cela présente des défis d'ingénierie. Mais les listes d'appareils avec lesquels l'utilisateur a été à proximité doivent rester sur son propre appareil, afin que la vérification si un utilisateur a rencontré quelqu'un infecté se fasse localement.
Sécurité de l'information
Une application s'exécutant en arrière-plan sur un téléphone et enregistrant la proximité d'un utilisateur avec d'autres utilisateurs présente des risques de sécurité des informations considérables. Comme toujours, limiter la surface d'attaque et la quantité d'informations collectées réduira ces risques. Les développeurs doivent open-source leur code et le soumettre à des audits tiers et des tests de pénétration. Ils doivent également publier des détails sur leurs pratiques de sécurité.
Une ingénierie plus poussée peut être nécessaire pour garantir que les adversaires ne peuvent pas compromettre l'efficacité d'un système de traçage de proximité ou obtenir des informations révélatrices sur les utilisateurs de l'application. Cela impliquerait d'empêcher les individus de signaler faussement les infections comme une forme de pêche à la traîne ou de déni de service, ainsi que de s'assurer que les adversaires disposant de ressources suffisantes qui surveillent les métadonnées ne peuvent pas identifier les individus utilisant l'application ou enregistrer leurs connexions avec les autres.
Les identifiants «anonymes» ne doivent pas être liés. La rotation régulière des identifiants utilisés par le téléphone est un début, mais si un adversaire peut apprendre que plusieurs identifiants appartiennent au même utilisateur, cela augmente considérablement le risque de lier cette activité à une personne réelle. Si nous comprenons la proposition d'Apple et de Google, les utilisateurs dont le test est positif sont invités à télécharger des clés qui lient tous leurs identifiants pendant une période de 24 heures. (Nous avons demandé des précisions à Apple et à Google.) Cela pourrait permettre aux trackers de collecter des identifiants rotatifs s'ils avaient accès à un réseau étendu de lecteurs Bluetooth, puis de suivre les mouvements des utilisateurs infectés au fil du temps. Cela rompt les garanties créées en utilisant des identifiants rotatifs en premier lieu. Pour cette raison, les identifiants rotatifs doivent être téléchargés vers toute autorité centrale ou base de données d'une manière qui ne révèle pas le fait que de nombreux identifiants appartiennent à la même personne. Cela peut nécessiter que le téléchargement des jetons d'un seul utilisateur soit groupé avec d'autres données utilisateur ou étalé dans le temps.
Enfin, les gouvernements pourraient essayer de forcer les développeurs de technologies à renverser les limites qu'ils ont fixées, comme changer l'application pour signaler les listes de contacts à une autorité centrale. La transparence atténuera ces risques, mais ils restent inhérents à la création et au déploiement d'une telle application. C'est l'une des raisons pour lesquelles nous appelons les développeurs à tracer des lignes claires sur l'utilisation de leurs produits et à s'engager à résister aux efforts du gouvernement pour s'immiscer dans la conception, comme nous l'avons vu faire des entreprises comme Apple dans le cas de San Bernardino .
Transparence
Les entités qui développent ces applications doivent publier des rapports sur ce qu'elles font, comment elles le font et pourquoi elles le font. Ils doivent également publier du code source ouvert, ainsi que des politiques qui répondent aux problèmes de confidentialité et de sécurité des informations ci-dessus. Ceux-ci devraient inclure des engagements pour éviter d'autres utilisations des informations collectées par l'application et un engagement à éviter l'ingérence du gouvernement dans la mesure permise par la loi. En tant que politique d'application, cela devrait également permettre l'application des violations par le biais des lois sur la protection des consommateurs.
Lutter contre les biais
Comme indiqué ci-dessus, les applications de recherche des contacts excluront les individus sans accès aux dernières technologies. Ils favoriseront également ceux prédisposés à compter sur les entreprises technologiques et le gouvernement pour répondre à leurs besoins. Nous devons nous assurer que les développeurs et le gouvernement ne négligent pas directement ou indirectement les groupes marginalisés en s'appuyant sur ces applications à l'exclusion d'autres interventions.
D'un autre côté, ces applications peuvent conduire à beaucoup plus de faux positifs pour certains types d'utilisateurs, tels que les travailleurs des secteurs de la santé ou des services. C'est une autre raison pour laquelle les applications de recherche de contacts ne doivent pas être utilisées comme base pour exclure des personnes du travail, des rassemblements publics ou des avantages gouvernementaux.
Expiration
À la fin de la crise du COVID-19, toute application conçue pour lutter contre la maladie devrait également se terminer. Définir la fin de la crise sera une question difficile, les développeurs doivent donc s'assurer que les utilisateurs peuvent se retirer à tout moment. Ils devraient également envisager de fixer eux-mêmes des délais dans leurs applications, ainsi que des vérifications régulières auprès des utilisateurs pour savoir s'ils souhaitent continuer à diffuser. En outre, alors que de grands fournisseurs comme Apple et Google mettent leur poids derrière ces applications, ils devraient définir les circonstances dans lesquelles ils vont et ne vont pas construire des produits similaires à l'avenir.
La technologie a le pouvoir d'amplifier les efforts de la société pour s'attaquer à des problèmes complexes, et cette pandémie a déjà inspiré bon nombre des meilleurs et des plus brillants. Mais nous ne connaissons que trop bien la capacité des gouvernements et des entités privées à déployer des technologies de suivi nuisibles. Surtout, même si nous combattons COVID-19, nous devons veiller à ce que le mot «crise» ne devienne pas un talisman magique qui puisse être invoqué pour construire de nouveaux moyens toujours plus intelligents de limiter les libertés des personnes grâce à la surveillance.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/04/challenge-proximity-apps-covid-19-contact-tracing le Sat, 11 Apr 2020 00:27:33 +0000.