Les entreprises et les gouvernements du monde entier créent et déploient un nombre vertigineux de systèmes et d'applications pour lutter contre COVID-19. De nombreux groupes ont convergé sur l'utilisation du suivi de proximité assisté par Bluetooth à des fins de notification d'exposition . Malgré cela, il existe de nombreuses façons d'aborder le problème et des dizaines de propositions ont vu le jour.
Une façon de les classer est basée sur le degré de confiance que chaque proposition accorde à une autorité centrale. Dans les modèles plus «centralisés», une seule entité – comme une organisation de santé, un gouvernement ou une entreprise – se voit confier une responsabilité particulière pour le traitement et la distribution des informations sur les utilisateurs. Cette entité a un accès privilégié aux informations que les utilisateurs réguliers et leurs appareils ne possèdent pas. Dans les modèles «décentralisés», en revanche, le système ne dépend pas d'une autorité centrale à accès spécial. Une application décentralisée peut partager des données avec un serveur, mais ces données sont mises à la disposition de tous, et pas seulement de la personne qui exécute le serveur.
Les modèles centralisés et décentralisés peuvent prétendre faire toute une série de garanties de confidentialité. Mais les modèles centralisés reposent tous sur une hypothèse dangereuse: une autorité «de confiance» aura accès à de grandes quantités de données sensibles et choisira de ne pas en abuser. Comme nous l'avons vu, maintes et maintes fois, ce genre de confiance ne survit pas souvent à une collision avec la réalité . Les modèles décentralisés soigneusement construits sont beaucoup moins susceptibles de porter atteinte aux libertés civiles. Cet article abordera plus en détail les distinctions entre ces deux types de propositions et évaluera les avantages et les pièges de chacune.
Modèles centralisés
Il existe de nombreuses propositions de suivi de proximité différentes qui peuvent être considérées comme «centralisées», mais généralement, cela signifie qu'une seule autorité «de confiance» sait des choses que les utilisateurs réguliers ne connaissent pas. De nombreuses administrations et autorités de santé publique privilégient les propositions de suivi centralisé de proximité . Un serveur central stocke généralement des informations privées au nom des utilisateurs et prend des décisions quant aux personnes susceptibles d'avoir été exposées à l'infection. Le serveur central peut généralement savoir quels appareils ont été en contact avec les appareils de personnes infectées et peut être en mesure de lier ces appareils à des identités réelles.
Par exemple, un groupe européen appelé PEPP-PT a publié une proposition appelée NTK . Dans NTK, un serveur central génère une clé privée pour chaque appareil, mais conserve les clés pour lui-même. Cette clé privée est utilisée pour générer un ensemble d'ID éphémères pour chaque utilisateur. Les utilisateurs obtiennent leurs identifiants éphémères sur le serveur, puis les échangent avec d'autres utilisateurs. Lorsque quelqu'un teste positif pour COVID-19, il télécharge l'ensemble des identifiants éphémères des autres personnes avec lesquelles il a été en contact (plus une bonne quantité de métadonnées ). L'autorité relie ces identifiants aux clés privées d'autres personnes dans sa base de données, puis décide de contacter directement ces utilisateurs. Le système est conçu pour empêcher les utilisateurs de lier des identifiants éphémères à des personnes particulières, tout en permettant au serveur central de faire exactement cela .
Certaines propositions, comme ROBERT d'Inria , ont beaucoup de mal à être pseudonymes, c'est-à-dire à garder les vraies identités des utilisateurs hors de la base de données centrale. C'est louable, mais pas suffisant, car les identifiants pseudonymes peuvent souvent être liés à de vraies personnes avec un peu d'effort. De nombreuses autres propositions centralisées, dont NTK, ne dérangent pas. Les applications TraceTogether de Singapour et COVIDSafe en Australie exigent même que les utilisateurs partagent leurs numéros de téléphone avec le gouvernement afin que les autorités sanitaires puissent les appeler ou les envoyer directement par SMS. Les solutions centralisées peuvent également collecter plus que des données de contact: certaines propositions demandent également aux utilisateurs de télécharger l'heure et l'emplacement de leurs contacts.
Modèles décentralisés
Dans un système de suivi de proximité «décentralisé», le rôle d'une autorité centrale est minimisé. Encore une fois, il y a beaucoup de propositions différentes sous le parapluie «décentralisé». En général, les modèles décentralisés ne font confiance à aucun acteur central avec des informations que le reste du monde ne peut pas voir non plus. Il existe toujours des risques de confidentialité dans les systèmes décentralisés, mais dans une proposition bien conçue, ces risques sont considérablement réduits.
L'EFF recommande les caractéristiques suivantes dans les efforts de suivi de proximité décentralisés:
- L'objectif devrait être la notification d'exposition. C'est-à-dire une alerte automatisée à l'utilisateur qu'il peut avoir été infecté par la proximité d'une personne avec le virus, accompagnée de conseils à cet utilisateur sur la façon d'obtenir des services de santé. Le but ne devrait pas être la livraison automatisée au gouvernement ou à quiconque d'informations sur la santé ou les contacts de personne à personne de personnes individuelles.
- Les identifiants éphémères d'un utilisateur doivent être générés et stockés sur leur propre appareil. Les identifiants éphémères peuvent être partagés avec des appareils avec lesquels l'utilisateur entre en contact, mais personne ne devrait disposer d'une base de données mappant des ensembles d'identifiants à des personnes particulières.
- Lorsqu'un utilisateur apprend qu'il est infecté, comme l'a confirmé un médecin ou une autorité sanitaire, il devrait être de la compétence absolue de l'utilisateur de décider de fournir ou non des informations au serveur partagé du système.
- Lorsqu'un utilisateur signale un problème, le système doit transmettre de son appareil au serveur partagé du système le minimum de données nécessaires pour que les autres utilisateurs apprennent leur risque d'exposition. Par exemple, ils peuvent partager soit l'ensemble des identifiants éphémères qu'ils diffusent, soit l'ensemble des identifiants avec lesquels ils sont entrés en contact, mais pas les deux.
- Aucune entité ne devrait connaître l'identité des personnes potentiellement exposées par la proximité d'une personne infectée. Cela signifie que le serveur partagé ne devrait pas être en mesure de «pousser» les avertissements vers les utilisateurs à risque; les applications des utilisateurs doivent plutôt «extraire» les données du serveur central sans révéler leur propre statut et les utiliser pour déterminer si elles doivent informer leur utilisateur du risque. Par exemple, dans un système où les utilisateurs malades signalent leurs propres identifiants éphémères à un serveur partagé, les applications des autres utilisateurs doivent régulièrement extraire du serveur partagé un ensemble complet des identifiants éphémères des utilisateurs malades, puis comparer cet ensemble aux identifiants éphémères déjà stocké sur l'application en raison de la proximité avec d'autres utilisateurs.
- Les identifications éphémères ne doivent pas être liées à des personnes réelles ou entre elles. Quiconque rassemble de nombreuses pièces d'identité éphémères ne devrait pas être en mesure de dire si elles proviennent de la même personne.
Les modèles décentralisés n'ont pas besoin d'être complètement décentralisés. Par exemple, les données publiques sur lesquelles les identifiants éphémères correspondent aux appareils qui ont signalé des problèmes peuvent être hébergées dans une base de données centrale, tant que cette base de données est accessible à tous. Aucune blockchain ne doit être impliquée. De plus, la plupart des modèles exigent que les utilisateurs obtiennent l'autorisation d'un médecin ou d'une autorité sanitaire avant de signaler qu'ils ont COVID-19. Ce type de «centralisation» est nécessaire pour empêcher les trolls d'inonder le système de faux rapports positifs.
L'API de notification d'exposition d'Apple et de Google est un exemple de système (principalement) décentralisé. Les clés sont générées sur des appareils individuels et les téléphones à proximité échangent des identifiants éphémères. Lorsqu'un utilisateur obtient un résultat positif, il peut télécharger ses clés privées – désormais appelées «clés de diagnostic» – dans une base de données accessible au public. Peu importe que la base de données soit hébergée par une autorité sanitaire ou sur un réseau peer-to-peer; tant que tout le monde peut y accéder, le système de recherche des contacts fonctionne efficacement.
Quels sont les compromis?
Des avantages et des risques sont associés aux deux modèles. Cependant, pour la plupart, les modèles centralisés profitent aux gouvernements et les risques incombent aux utilisateurs.
Les modèles centralisés mettent plus de données à la disposition de quiconque se définit comme l'autorité de contrôle, et ils pourraient potentiellement utiliser ces données pour bien plus que le suivi des contacts. L'autorité a accès aux journaux détaillés de toutes les personnes avec lesquelles les personnes infectées sont entrées en contact, et elle peut facilement utiliser ces journaux pour construire des graphiques sociaux détaillés qui révèlent comment les gens interagissent les uns avec les autres. Cela séduit certaines autorités sanitaires qui souhaitent utiliser les données recueillies par ces outils pour effectuer des recherches épidémiologiques ou mesurer l'impact des interventions. Mais les données personnelles collectées dans un but ne doivent pas être utilisées pour un autre (quelle que soit la justesse) sans le consentement spécifique des personnes concernées. Certaines propositions décentralisées, comme DP-3T , incluent des moyens pour les utilisateurs de choisir de partager certains types de données pour des études épidémiologiques. Les données ainsi partagées peuvent être anonymisées et agrégées pour minimiser les risques.
Plus important encore, les données collectées par les applications de suivi de proximité ne concernent pas seulement COVID, elles concernent vraiment les interactions humaines. Une base de données qui suit qui interagit avec qui pourrait être extrêmement précieuse pour les forces de l'ordre et les services de renseignement. Les gouvernements pourraient l'utiliser pour suivre qui interagit avec les dissidents, et les employeurs pourraient l'utiliser pour suivre qui interagit avec les organisateurs syndicaux. Cela constituerait également une cible attrayante pour les anciens hackers. Et l'histoire a montré que, malheureusement, les gouvernements n'ont pas tendance à être les meilleurs gardiens des données personnelles .
La centralisation signifie que l'autorité peut utiliser les données de contact pour atteindre directement les personnes exposées. Les partisans soutiennent que les notifications des autorités de santé publique seront plus efficaces que les notifications d'exposition des applications aux utilisateurs. Mais cette affirmation est spéculative. En effet, plus de personnes pourraient être disposées à adhérer à un système de suivi de proximité décentralisé qu'à un système centralisé. De plus, l'intrusion dans la vie privée d'un système centralisé est trop élevée.
Même dans un idéal, de modèle centralisé, il y a un certain degré de risque inévitable de démasquage d'infection: que lorsque quelqu'un qu'ils rapports sont malades, tout le monde ils ont été en contact avec (et toute personne avec suffisamment de balises Bluetooth ) peut apprendre théoriquement le fait qu'ils sont malades. En effet, les listes d'identifiants éphémères infectés sont partagées publiquement. N'importe qui avec un appareil Bluetooth peut enregistrer l'heure et le lieu où il a vu un ID éphémère particulier, et lorsque cet ID est marqué comme infecté, il apprend quand et où il a vu l'ID. Dans certains cas, cela peut être suffisant pour déterminer à qui il appartient.
Certains modèles centralisés, comme ROBERT , prétendent éliminer ce risque. Dans le modèle de ROBERT, les utilisateurs téléchargent la liste des identifiants qu'ils ont rencontrés auprès de l'autorité centrale. Si un utilisateur a été en contact avec une personne infectée, l'autorité lui dira: "Vous avez été potentiellement exposé", mais pas quand ni où. Cela est similaire à la façon dont fonctionne le traçage traditionnel des contacts, où les autorités sanitaires interrogent les personnes infectées, puis contactent directement celles avec lesquelles elles ont été en contact. En vérité, le modèle de ROBERT rend moins pratique l'apprentissage des personnes infectées, mais pas impossible.
Les systèmes automatiques sont faciles à jouer. Si un mauvais acteur n'active Bluetooth que lorsqu'il est à proximité d'une personne en particulier, il pourra savoir si sa cible est infectée. S'ils ont plusieurs appareils, ils peuvent cibler plusieurs personnes. Les acteurs disposant de plus de ressources techniques pourraient exploiter plus efficacement le système. Il est impossible de résoudre complètement le problème de démasquage des infections et les utilisateurs doivent le comprendre avant de choisir de partager leur statut avec une application de proximité. Pendant ce temps, il est facile d'éviter les risques de confidentialité liés à l'octroi à une autorité centrale d'un accès privilégié à nos données.
Conclusion
EFF reste méfiant des applications de suivi de proximité. On ne sait pas dans quelle mesure ils aideront; au mieux, ils complèteront des techniques éprouvées de lutte contre les maladies telles que des tests généralisés et la recherche manuelle des contacts. Nous ne devons pas placer nos espoirs dans une techno-solution . Et même avec les applications les mieux conçues, il y a toujours un risque d'utilisation abusive des informations personnelles sur les personnes avec lesquelles nous avons été en contact au cours de nos journées.
Un point est clair: les gouvernements et les autorités sanitaires ne devraient pas se tourner vers des modèles centralisés de notification automatique de l'exposition. Il est peu probable que les systèmes centralisés soient plus efficaces que les alternatives décentralisées. Ils vont créer des bases de données massives nouvelles du comportement humain qui vont être difficiles à obtenir, et plus difficile à détruire une fois cette crise est terminée.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/05/governments-shouldnt-use-centralized-proximity-tracking-technology le Tue, 12 May 2020 22:10:35 +0000.