StopCovid : anonymat et autorités

April 20, 2020

Au moment où j’écris cet article, cela fait un mois que le confinement a commencé et le gouvernement a récemment annoncé une date de fin. Depuis, l’exécutif précise au fur et à mesure sa politique pour l’après confinement, qui inclut une application mobile nommée StopCovid.

D’abord annoncée le 1er avril par Cédric O, secrétaire d’état au numérique, [1], ce n’est que récemment (autour du 20 avril) que Inria (un centre de recherche public en informatique) a annoncé publiquement être en charge du développement de cette dernière. Récemment, des détails techniques ont été donnés dans la presse et directement sur le site web d’Inria [2], [3].

Étant doctorant en systèmes distribués et attaché aux libertés, c’est un sujet qui m’intéresse particulièrement.

Combattre un virus avec un téléphone ? Crédits : OOI JIET, Unsplash


Pour bien comprendre les enjeux, il est nécessaire de resituer le contexte d’apparition de cette application. Ce projet présente des lacunes qui pourraient être aisément détournées de leur usage premier et qui invitent à réfléchir sur sa pertinence.

Ralentir la propagation du virus

Aplatir la courbe. Crédits : Le Monde [4]


Comme le confinement total, l’application StopCovid est un outil qui vise a ralentir la diffusion du virus et non à le traiter. Plus précisément, cette application vise à automatiser l’identification des personnes qui ont été récemment en contact avec des malades.

Beaucoup de solutions ont été proposées par les chercheurs et les entreprises. Les projets suivants ont particulièrement fait parler d’eux : BlueTrace, le projet original déployé à Singapour [5], East Coast PACT par le MIT [6], West Coast PACT par l’université de Washington [7], DP3-T, une solution principalement développée en Suisse par l’EPFL [8] et finalement ROBERT, le candidat pour devenir StopCovid, principalement développé en France par Inria [9].

Ces applications fonctionnent de façon relativement similaire. Une fois installées sur le téléphone de l’utilisateur, elles lui attribuent plusieurs1 “pseudonymes”. Au quotidien, les téléphones échangent ces pseudonymes via Bluetooth quant ils sont à proximité les uns des autres. Quant un utilisateur tombe malade, il le notifie via l’application à un service de l’État. Ce faisant, il transmet une liste des pseudonymes2 permettant de faire le lien entre malade et personnes en contact. Régulièrement, l’application des utilisateurs non malades vérifie auprès du service de l’État que ces derniers n’ont pas été en contact avec une personne infectée3.

Souvent, les applications sont catégorisées comme “centralisées” ou “décentralisées”. Si le service de l’État ne fait que relayer les informations partagées par les malades aux autres utilisateurs, sans les traiter, alors le système est dit “décentralisé” (comme DP-3T). Si c’est le service de l’État qui effectue le traitement des informations, alors le système est dit “centralisé” (comme ROBERT). L’analyse qui suit se concentre sur ROBERT et DP-3T mais peut être généralisée à ces deux classes d’applications.

Dans tous les cas, ce fonctionnement implique nécessairement d’assigner à résidence des personnes non malade. Il est donc important que ce système soit le plus juste et le plus transparent possible.

C’est d’ailleurs ce que nous assurent les représentants d’Inria :

Une telle application n’est pas une application de surveillance : elle est totalement anonyme. Pour être encore plus clair : sa conception permet que PERSONNE, pas même l’Etat, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes.

Avec ROBERT, l’État peut savoir qui vous êtes

Pourtant le fonctionnement de ROBERT comporte des aspects qui me semblent problématiques.

À première vue, cette application semble parfaite : comme l’indique le schéma ci-dessous, le service de l’État (l’autorité centrale) ne manipule que des “pseudonymes”.

Schéma de fonctionnement de ROBERT [9]


Malheureusement, sur Internet, les communications ne sont pas anonymes aux yeux de l’État. Pour comprendre ce qui se passe, le schéma ci-dessous résume les acteurs en jeu : l’utilisateur, les opérateurs et l’État.

Le téléphone, en contactant le service StopCovid, lui révèle son adresse IP4 en plus des informations vues précédemment.

De plus, la Loi pour la Confiance en l’Économie Numérique (LCEN) impose aux opérateurs de conserver les données de connexion, c’est à dire de pouvoir identifier quel individu se trouve derrière une adresse IP donnée [10].

L’État peut ensuite exiger que ces opérateurs transmettent ces données de connexion sans intervention de la justice. Nommées “réquisitions administratives”, cette action est autorisée par exemple par le décret n° 2014-1576 [11] du 24 décembre 2014. Plus connu, la mise en oeuvre d’Hadopi requiert également, chaque jour, l’identification de plusieurs milliers d’individus à partir de leur adresse IP [12]. La désanonymisation des utilisateurs à travers leur utilisation d’Internet est d’autant plus probable que les opérateurs mobiles se montrent peu frileux pour partager ou vendre les données de connexions de leurs abonnés [13], [14], [15].

L'état, mon opérateur et moi : pas d'anonymat


DP-3T [8], quant à lui, annonce la liste des “pseudonymes” des personnes infectées à tout le monde. L’État peut connaitre l’identité des personnes malades, l’identité de tous les utilisateurs de l’application, mais pas avec qui les malades ont été en contact.

Comparé à DP-3T, le système ROBERT offre donc un plus grand pouvoir à l’État.

On peut en conclure que ROBERT ne préserve pas totalement l’anonymat des utilisateurs. En effet, techniquement l’État peut toujours accéder à la l’identité des personnes diagnostiquées, de tous les utilisateurs et à la liste des intéractions sociales de tous les malades.

Avec ROBERT, l’État doit savoir qui vous êtes

Les concepteurs de ROBERT affirment que leur application protège mieux l’anonymat des utilisateurs que d’autres applications comme DP-3T. En effet, les auteurs affirment qu’un utilisateur ne peut pas retrouver le malade avec qui il a été en contact.

Pourtant ce n’est pas le cas : imaginons un utilisateur très riche qui aurait à sa disposition un nombre conséquent de téléphones portables. Il pourrait alors décider d’utiliser un téléphone différent lors de chaque contact avec une personne. À la réception de l’alerte sur un de ses téléphones, il serait alors capable d’identifier à quelle personne est associé le téléphone et donc qui l’a infecté. En pratique, un seul téléphone suffit, un utilisateur expérimenté n’aura qu’à modifier le code de l’application présente sur son téléphone.

Pour se protéger d’un tel comportement, il faudrait alors n’autoriser l’usage que d’un seul téléphone par personne5, obligeant l’État à contrôler l’identité des utilisateurs6. Les autorités doivent donc savoir qui vous êtes pour assurer le fonctionnement de ROBERT.

Avec ROBERT, l’État peut vous assigner à résidence

Le service StopCovid de l'État est une boite noire


Dans ROBERT et BlueTrace, et contrairement à DP-3T, c’est le service de l’État qui annonce si vous avez été en contact avec une personne infectée. Même si le service de l’État est conçu et analysé par des acteurs indépendants, rien n’empêche les autorités de modifier le service quand elles le souhaitent.

Il leur serait alors possible d’instrumentaliser le fonctionnement du service. Ce dernier pourrait annoncer à certaines personnes (correspondant à des adresses IP définies) qu’elles doivent se confiner, même si elles n’ont pas été effectivement en contact avec une personne malade.

Ce serait un outil d’assignation à résidence qui ne dirait pas son nom et qui serait particulièrement difficile à contester.

Contre les abus de pouvoir : faire confiance ?

Ces réserves ne semblent pas pertinentes pour Inria [3] qui affirme sa pleine confiance à l’égard de l’État :

Le terme « centralisé » est souvent utilisé à dessein, en stigmatisant implicitement un Etat supposé vouloir être traqueur.

L’État ne fait pourtant pas toujours bon usage de la confiance qui lui est accordée. Sans énumérer tous les exemples de dispositifs de surveillance qu’il a déployé, citons tout de même : la mise en place de “boites noires” chez les opérateurs et les fournisseurs de service [16], le programme Interception Obligatoires Légales (ce qui était parfaitement illégal) [17] ou encore la surveillance des communications radio [18] (elles aussi déclarées illégales par le conseil constitutionnel).

Un argument revient souvent dans ce genre de débat : la CNIL7 serait compétente pour encadrer la collecte des données de manière éthique. Un dispositif déployé sous son contrôle serait donc acceptable. Pourtant elle ne dispose pas de moyen coercitifs suffisants face à l’État qui se permet régulièrement de ne pas tenir compte de ses avis ou qui lui dissimule des informations [19], [20].

Aux dernières nouvelles, l’application devrait être proposée sur la base du volontariat. Rien n’empêche toutefois qu’elle soit rendue obligatoire si le taux d’adoption n’est pas assez élevé, ou que l’État contraigne l’accès à certains services à l’utilisation de StopCovid. Il y a de grandes chances qu’une fois en place, cette application devienne obligatoire.

En matière de surveillance, l’opacité règne toujours et le respect de la loi est cantonné à l’existence de lanceur d’alertes et de médias pour relayer l’information. La seule limite à l’action de l’État lui est imposée par la société civile quand elle le met face à ses responsabilités.

L’idéologie du contrôle

Face aux objections on [3] a pu invoquer la (spécieuse) opposition entre science et idéologie :

Dans ce contexte, les débats sur les avantages supposés d’un système parce qu’il serait décentralisé vis-à-vis d’un autre système parce qu’il serait centralisé ne me semblent pas relever du champ de la rigueur scientifique. […] Ce sont des analyses scientifiques, par définition vérifiables et se prêtant à une discussion, qui permettent de le démontrer, pas des considérations idéologiques ou des a priori sémantiques.

Pourtant le choix de centraliser ou non les informations peut être interrogé dans une optique scientifique. L’opposition qui a été construite entre ces deux solutions (ROBERT et DP-3T) me semble peu pertinente car elle implique dans les deux cas un système centralisé8. Cependant, il n’est pas nécessaire de passer par un service centralisé contrôlé par l’autorité politique9.

Rappelons qu’il existe tout un domaine de recherche sur les réseaux d’anonymat, souvent appelés à tort Darknet, dont le logiciel Tor [23] est le plus connu (+ de 4000 citations par d’autres articles scientifiques). Ces outils reposent sur la décentralisation et la dilution du pouvoir entre les utilisateurs. Ils pouraient servir à informer anonymement les personnes ayant été en contact avec un malade sans nécessiter l’intervation de l’État ou de tout autre acteur.

Pourquoi, alors, faire le choix d’impliquer l’État ? Les considérations techniques ne sont pas seules à peser dans la balance : nul doute que des considérations idéologiques, qui ne disent pas leur nom, ont guidé la conception de ROBERT. Sans cela, il serait difficile de comprendre l’oubli des 426 000 résultats sur Google Scholar pour “anonymity network”, de l’expérience des activistes et des lanceurs d’alerte qui utilisent le réseau Tor depuis 2004, de la recherche sur l’anonymat en cryptographie à commencer par l’article fondateur Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms [24], publié en 1981.

Toutes les solutions ne sont pas bonnes à prendre

Dans l’hypothèse du déploiement d’une telle solution, comment gérerait-on le fait que 24% de la population ne dispose pas d’un smartphone [25] ? Cette hypothèse implique aussi qu’un certain nombre de problèmes techniques auront été résolus : les résultats du Bluetooth sont de mauvaise qualité, la durée de vie de la batterie réduite, il est difficile de faire fonctionner une application en arrière-plan, les téléphones fonctionnent tous de manière un peu différente10, etc. Rappelons aussi une évidence : le virus ne se propage pas par Bluetooth, la corrélation entre une proximité Bluetooth et la transmission effective du virus reste incertaine. Elle ne fait, à ma connaissance, l’objet d’aucune étude scientifique sérieuse11.

D’abord, comme tout projet scientifique, ce protocole va être soumis à la critique de ses pairs. Cela nécessite une démarche d’ouverture : l’article scientifique est mis à disposition de la communauté scientifique sous Github.

Certes les concepteurs de ROBERT sont tout à fait disposés à se soumettre à l’évaluation par les pairs [3], mais à l’heure actuelle il reste difficile de dialoguer avec eux. Les inquiétudes soulevées dans ce billet de blog n’ont pour l’heure, pas reçues de réponse.

D’autres risques, inhérent au tracking ont également été réferencés sur le site web risques-tracage.fr [28]. L’ensemble de ces risques n’est pas étudié dans les propositions d’application de tracking mentionnées dans ce billet.

À mon avis, l’application de tracking StopCovid est une fausse solution et une vraie menace. L’annonce de sa mise en oeuvre vise sans doute à nous faire oublier le manque de tests et les errements de l’exécutif. Pour retrouver un sentiment de contrôle, en cette période de crise, nous serions prêt à adopter des solutions extrêmes, sacrifiant au passage nos libertés. Gardons la tête froide et prenons garde à ce que l’exceptionnel d’aujourd’hui ne devienne pas la norme coercitive de demain.

En conclusion, la solution ROBERT ne garantit pas l’anonymat des utilisateurs, parce qu’elle nécessite l’identification des utilisateurs pour son bon fonctionnement et transmet une donnée d’identification : l’adresse IP. Elle suppose pour les utilisateurs de faire confiance à l’État pour ne pas manipuler les données émises (et assigner à résidence des personnes non exposées au risque mais dont l’action déplait à l’État). Cette confiance devrait être donnée dans un contexte de crise sanitaire et politique, alors que l’État fait régulièrement un usage immodéré voire illégal de la force [29]. Il existe pourtant des outils tout à fait à même d’assurer le service de StopCovid sans exposer les utilisateurs : encore faut-il en avoir la volonté.

Il restera ensuite une dernière chose à prouver : l’utilité des applications de tracking.

Je remercie Ophélie pour son aide précieuse lors de l’écriture de cet article.

Bibliographie

  1. [1]“Coronavirus : le gouvernement prépare une application mobile pour enrayer l’épidémie,” Les Echos. Mar-2020 [Online]. Available at: https://www.lesechos.fr/tech-medias/hightech/coronavirus-le-gouvernement-prepare-une-application-mobile-pour-enrayer-lepidemie-1190749
  2. [2]E. Bembaron, “Où en est l’application de traçage «StopCovid»? La mise au point de l’Inria,” Le Figaro.fr. Apr-2020 [Online]. Available at: https://www.lefigaro.fr/secteur/high-tech/ou-en-est-l-application-de-tracage-stopcovid-la-mise-au-point-de-l-inria-20200419
  3. [3]“« Contact tracing » : Bruno Sportisse, PDG d’Inria, donne quelques éléments pour mieux comprendre les enjeux.” [Online]. Available at: https://www.inria.fr/fr/contact-tracing-bruno-sportisse-pdg-dinria-donne-quelques-elements-pour-mieux-comprendre-les-enjeux
  4. [4]“« Aplatir la courbe » des contaminations de Covid-19 sera l’enjeu des semaines à venir,” Le Monde.fr, Mar. 2020 [Online]. Available at: https://www.lemonde.fr/les-decodeurs/article/2020/03/13/aplatir-la-courbe-des-contaminations-du-covid-19-sera-l-enjeu-des-semaines-a-venir_6032925_4355770.html
  5. [5]J. Bay et al., “BlueTrace: A privacy-preserving protocol for community-driven contact tracing across borders,” p. 9.
  6. [6]“West Coast PACT.” [Online]. Available at: https://pact.mit.edu/wp-content/uploads/2020/04/The-PACT-protocol-specification-ver-0.1.pdf
  7. [7]J. Chan et al., “East Coast PACT: Privacy Sensitive Protocols and Mechanisms for Mobile Contact Tracing,” arXiv:2004.03544 [cs], Apr. 2020 [Online]. Available at: http://arxiv.org/abs/2004.03544
  8. [8]“DP-3T/documents.” DP^3T, Apr-2020 [Online]. Available at: https://github.com/DP-3T/documents
  9. [9]“ROBERT-proximity-tracing/documents.” ROBERT – ROBust and privacy-presERving proximity Tracing protocol, Apr-2020 [Online]. Available at: https://github.com/ROBERT-proximity-tracing/documents
  10. [10]G. Champeau, “La LCEN a enfin son décret sur les données à conserver par les hébergeurs,” Numerama. Mar-2011 [Online]. Available at: https://www.numerama.com/magazine/18191-la-lcen-a-enfin-son-decret-sur-les-donnees-a-conserver-par-les-hebergeurs.html
  11. [11]“Décret n° 2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux données de connexion.” Dec-2014.
  12. [12]G. Champeau, “Hadopi : l’État condamné à payer pour identifier les adresses IP,” Numerama. Dec-2015 [Online]. Available at: https://www.numerama.com/politique/136183-hadopi-letat-condamne-a-payer-pour-identifier-les-adresses-ip.html
  13. [13]E. Bembaron, “Coronavirus: comment les opérateurs se mettent à disposition pour le recueil des données mobiles,” Le Figaro.fr. Apr-2020 [Online]. Available at: https://www.lefigaro.fr/sciences/coronavirus-comment-les-operateurs-se-mettent-a-disposition-pour-le-recueil-des-donnee-mobiles-20200402
  14. [14]“Flux Vision,” Orange Business Services. [Online]. Available at: https://www.orange-business.com/fr/produits/flux-vision
  15. [15]“Swisscom aidera la Confédération à détecter les attroupements via les téléphones,” Le Temps, Mar. 2020 [Online]. Available at: https://www.letemps.ch/economie/swisscom-aidera-confederation-detecter-attroupements-via-telephones
  16. [16]“Une première « boîte noire » de la loi sur le renseignement désormais active,” Le Monde.fr, Nov. 2017 [Online]. Available at: https://www.lemonde.fr/pixels/article/2017/11/14/les-boites-noires-de-la-loi-sur-le-renseignement-sont-desormais-actives_5214596_4408996.html
  17. [17]J. Hourdeaux, “La surveillance du Net a été généralisée dès 2009,” Mediapart. [Online]. Available at: https://www.mediapart.fr/journal/france/060616/la-surveillance-du-net-ete-generalisee-des-2009
  18. [18]J. Hourdeaux, “Le Conseil constitutionnel juge illégale la surveillance hertzienne,” Mediapart. [Online]. Available at: https://www.mediapart.fr/journal/france/211016/le-conseil-constitutionnel-juge-illegale-la-surveillance-hertzienne
  19. [19]“Gendnotes, faciliter le fichage policier et la reconnaissance faciale,” La Quadrature du Net. Feb-2020 [Online]. Available at: https://www.laquadrature.net/2020/02/25/gendnotes-faciliter-le-fichage-policier-et-la-reconnaissance-faciale/
  20. [20]F. Tréguer, “La « ville sûre » ou la gouvernance par les algorithmes,” Le Monde diplomatique. Jun-2019 [Online]. Available at: https://www.monde-diplomatique.fr/2019/06/TREGUER/59986
  21. [21]P. Boucher, “Safari ou la chasse aux Français” [Online]. Available at: https://www.cnil.fr/sites/default/files/atoms/files/le_monde_0.pdf
  22. [22]“CCC \textbar 10 requirements for the evaluation of ‘Contact Tracing’ apps.” [Online]. Available at: https://www.ccc.de/en/updates/2020/contact-tracing-requirements
  23. [23]R. Dingledine, N. Mathewson, and P. Syverson, “Tor: The Second-Generation Onion Router,” NAVAL RESEARCH LAB WASHINGTON DC, Jan. 2004 [Online]. Available at: https://apps.dtic.mil/docs/citations/ADA465464
  24. [24]D. L. Chaum, “Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms,” vol. 24, no. 2, p. 5, 1981.
  25. [25]“List of countries by smartphone penetration,” Wikipedia. Apr-2020 [Online]. Available at: https://en.wikipedia.org/w/index.php?title=List_of_countries_by_smartphone_penetration&oldid=950972111
  26. [26]“Don’t kill my app!,” Don’t kill my app! [Online]. Available at: https://dontkillmyapp.com/
  27. [27]“Covid Watch.” [Online]. Available at: https://www.covid-watch.org
  28. [28]“15 scénarios de détournements des applis de traçage,” https://risques-tracage.fr. [Online]. Available at: https://risques-tracage.fr/
  29. [29]“L’assignation à résidence de militants écologistes devant le conseil d’Etat,” Le Monde.fr, Dec. 2015 [Online]. Available at: https://www.lemonde.fr/societe/article/2015/12/10/la-constitutionnalite-de-l-etat-d-urgence-mise-en-cause_4828792_3224.html

Notes

  1. Le pseudonyme attribué à chaque personne varie dans le temps, c’est un moyen de préserver l’anonymat des utilisateurs les uns vis-à-vis des autres. 

  2. Dans le cas de ROBERT, c’est la liste des pseudonymes des téléphones avec qui l’utilisateur a été en contact. Avec DP-3T, c’est ma propre liste de pseudonymes. 

  3. Dans le cas de ROBERT, il s’agit de vérifier que les pseudonymes de l’utilisateur ne sont pas connus par l’État. Dans le cas de DP-3T, il s’agit de s’assurer que l’utilisateur ne connait pas un des pseudonymes des personnes malades dans la liste transmise par le service de l’État. 

  4. Dans l’article complet, il est fait mention dans une seule phrase que le contact avec le serveur pourrait se faire via un mixnet. Cependant, pour juger des propriétés de sécurité de ce dernier, plusieurs pages d’explications seraient nécessaires. À la place, les auteurs écartent cette piste en argumentant que le NAT empèchera de la même manière que le mixnet l’identification des utilisateurs via leur adresse IP. Cet argument étant faux, nous considérons donc que les utilisateurs accédent directement au service de l’État en révélant leur adresse IP. 

  5. Les concepteurs mentionnent rapidement ce problème mais ne retiennent pas la même solution. À la place, ils proposent un système de Proof-of-Work comme un CAPTCHA. En réalité, ces derniers sont très facilement contournables, pour quelques euros il est possible d’en résoudre des milliers en les sous-traitant à des plateformes de micro-travail (comme Amazon Mecanical Turk). Plus largement, il s’agit du problème des attaques Sybil largement documenté en recherche pour lequel il n’existe pas de réponse satisfaisante dans le cadre des applications de tracking à ma connaissance. 

  6. Les utilisateurs seraient par exemple obliger de se connecter via le compte qu’ils utilisent pour l’assurance maladie ou payer leurs impots. 

  7. Rappelons-nous au passage dans quelles conditions la CNIL a été créée. En 1974, l’État souhaite secrètement croiser les données des administrations sur la population. Le programme a pour nom de code SAFARI. Le projet est arrêté suite à un article du Monde [21]. À la suite de ce scandale, la CNIL est créée pour empêcher la mise en place de système dangereux par l’État et depuis ses missions se sont diversifiées. 

  8. En réalité, le protocol DP-3T ne précise pas comment la liste publique des malades sera diffusée. Par contre, les implémentations et les analyses de ce dernier s’orientent vers le choix de l’utilisation d’un service centralisé. Le terme “décentralisé” dans le nom même du protocole ne s’applique qu’au calcul du risque et non aux communications. De plus, quoi qu’il arrive, DP-3T n’a pas été conçu pour bénéficier des propriétés d’anonymat d’un réseau décentralisé (sans modification à son protocole). 

  9. C’est d’ailleurs le point numéro 5 de la liste des pré-requis pour une application de tracking éditée par le CCC [22]

  10. Il existe plusieurs versions d’Android et d’iOS en circulation. Pour Android, chaque constructeur ainsi que chaque opérateur est libre de modifier l’OS avant de l’installer sur le mobile. Par exemple, certains téléphones Huawei désactivent les tâches d’arrière-plan de toutes les applications quand la batterie passe sous la barre des 40% [26]

  11. Par exemple, les auteurs de CovidWatch [27] n’ont pas de données de terrain et font appels à un modèle. Dans ce dernier, ils supposent que leur application détecte 90% (!) des contaminations sans justifier ce choix très optimiste.