Faut-il l’installer ou la boycotter ?

Nous n’allons pas trancher à cette question, car on ne peut pas vous dire ce qui est mieux pour vous. Méfiez-vous des gens qui savent mieux que vous ce qui est bon pour vous.

En revanche comprendre ce que c’est, vous permettra de juger par vous même et de ne plus en avoir peur.

1- Comment ça marche ?

Anoki installe l’application StopCovid sur son smartphone. L’application ne demande aucune autorisation particulière mais requiert l’activation du Bluetooth pour fonctionner.

Au moment de l’installation, l’application StopCovid de Anoki va créer son « pseudo-identifiant ».

Ce pseudo-identifiant sera renouvelé toutes les 15 minutes !

L’application de Anoki stocke donc sur son téléphone l’ensemble de ses identifiants.

Lorsque que Anoki reste plus de 15 minutes à moins de 1 mètre d’une autre personne qui possède l’application StopCovid, alors les deux applications s’envoient par Bluetooth leurs pseudo-identifiants respectifs

Les applications vont donc stocker, sur leurs téléphones, leurs propres identifiants et aussi l’historique les pseudo-identifiants des personnes qu’elles croisent.

Si Bena s’avère être testée positivement, elle pourra choisir de le dire à l’application en rentrant un code fournit lors de son dépistage. Dans ce cas, son application va envoyer au serveur l’historique des pseudo-identifiants des personnes croisées qu’elle a enregistrés (et bien uniquement ceux des personnes croisées, comme Anoki).

Chaque application consulte la liste des pseudo-identifiants du serveur régulièrement, pour les comparer avec ses propres pseudo-identifiants personnels.

L’application d’Anoki compare donc uniquement sa liste d’identifiants personnels en orange, et repère la présence d’un de ses pseudo-identifiants. L’application alerte donc son propriétaire.

Au bout de 14 jours, les données du serveur et de l’application sont supprimées.

TLDR / En bref :

L’application stocke l’ensemble de ses identifiants et des identifiants des personnes croisées à moins d’un mètre pendant au moins 15 minutes. L’application n’envoie des informations au serveur uniquement si la personne testée positivement le souhaite. Dans ce cas, les autres applications, qui consultent régulièrement le serveur, pourront vérifier si leurs propres identifiants sont dans la liste de ceux du serveur. Si oui, alors l’application alerte son propriétaire.

2- Les garanties de l’État

Engagement à supprimer les données stockées plus de 14 jours et RGPD

L’État indique que les données ne seront conservées que 14 jours et que l’application respecte le RGPD. Ce qui signifie que vous pouvez réclamer vos données auprès de l’État et demander leurs suppression si vous voulez arrêter de l’utiliser.

De l’open source !

L’application est aussi open source. Cela signifie que le code peut être lu par tout le monde. Bien sûr, vous n’allez surement pas inspecter tout le code vous-même mais des développeurs français indépendants peuvent le faire. C’est un gage de transparence de la part de l’État.

Wanted : failles de sécurité !

En plus d’attendre les retours de la communauté, StopCovid a subi 5 jours de tests par des hackeurs expérimentés pour tenter de trouver des failles.
Maintenant que l’application est sortie, un « Bug Bounty » a été mis en place. Lorsque des hackeurs trouvent des failles de sécurité, ils sont incités à les révéler à l’État de manière sûre et professionnelle pour éviter qu’elles ne soient exploitées à des fins malveillantes. Chaque découverte de bug est récompensée et plus vous découvrez une faille importante, plus votre récompense sera grande (ça peut aller jusqu’à plusieurs dizaine de milliers d’euros).
Une application open source couplée avec un bug bounty est un bon moyen de s’assurer que son application reste à jour et sécurisée.

Les serveurs gérés par l’État ultra sécurisés

Comme on l’a vu, l’application envoie des données à un serveur géré par l’État Français.

N’ayant pas de visibilité sur ce qui se passe sur ce serveur, in fine il faudra faire confiance à l’État. On a cependant quelques informations sur comment les choses vont être gérées…

Le serveur sera hébergé en France, par une entreprise privée : Outscale.
Outscale a été fondée en 2010 suite à un besoin de la France de s’émanciper des hébergeurs Américains Google et Amazon.

Outscale a été certifié « SecNumCloud » par l’ANSSI ( l’Agence Nationale de la Sécurité des Systèmes d’Information ).
SecNumCloud c’est une garantie que l’hébergeur sait ce qu’il fait. La certification est valable 3 ans et implique des audits de sécurité tous les ans. C’est l’une des certifications les plus strictes en matière de sécurité cloud. Elle garantie la capacité technologique mais aussi humaine, mesure la sécurité passive mais aussi la réactivité en cas de problème. En pratique ça nous garantie que :

  • Les employés d’Outscale ont des droits d’accès limités au datacenter et ne peuvent pas extraire des données
  • Les logiciels utilisées sont maintenus à jour, correctement configurés pour éviter des failles et utilise le chiffrement par défaut.
  • Des systèmes pro-actifs sont déployés pour détecter les attaques au plus tôt et y remédier
  • Le datacenter est correctement équipé pour pallier aux pannes techniques ( système de backup, double circuit électrique, double connexion internet, etc )

3- Les dérives et risques

Les failles de l’open source proposé pour StopCovid

L’open source c’est cool, ça permet d’impliquer les gens et d’améliorer le code collectivement. Mais comment être sûr que le code que l’on peut lire sur le serveur de l’Inria est bien celui que j’installe sur mon téléphone via le PlayStore/AppStore ?

Actuellement Google et Apple permettent de vérifier la personne qui dépose l’application sur leur Store, on a la garantie que c’est bien l’application officielle de l’État. Mais – à ma connaissance – rien ne permet de vérifier que le code open source n’a pas été changé avant de l’envoyer sur le Store. Vous pouvez bien sûr télécharger le code et le compiler vous-même sur votre téléphone, mais honnêtement qui va faire ça… ?

C’est la même problématique avec le serveur. Il y a actuellement un début d’ébauche du code du serveur qui est open sourcé, mais comment être sûr que le serveur fait bien tourner ce code ? Qu’est-ce qui nous dit que ce qui tourne réellement sur le serveur n’enregistre pas tout vos identifiants indéfiniment pour pouvoir les désanonymiser plus tard ?

Alors l’État s’est engagé, on peut imaginer qu’il y aura des audits réguliers une fois en place et que c’est hautement improbable. Cependant improbable n’est pas impossible. Et ici, il faut faire confiance au serveur, à l’hébergeur et à l’État.

Du pseudonymat… et non pas de l’anonymat…

Vous avez dit « désanonymiser » ? Hé oui, l’application offre un pseudonymat. Contrairement à l’anonymat il reste possible dans certaines conditions ou avec certains outils de retrouver qui se cache derrière cet identifiant unique.

Exemple : Je suis chef d’entreprise et vous arrivez pour un entretien d’embauche. J’ai préalablement acheter un téléphone sur lequel j’ai installé StopCovid. J’allume ce téléphone uniquement durant notre entretien. Si dans les jours qui suivent je reçois une alerte « Vous êtes peut-etre infecté : vous avez été en contact avec un malade », je saurais que c’était vous et je ne vous embaucherais pas !

On peut imaginer ce scénario à plus grand échelle, orchestré par l’Etat et/ou avec d’autres techniques pour désanonymiser massivement des gens de proche en proche.

Pistez moi pour le bien commun, je n’ai rien à cacher.

Un autre danger de cette application est l’accoutumance : on s’habitue à être pisté. Même si je choisi de l’installer, même si je me fais déjà pisté par Facebook, même si soit-disant ça respecte ma  vie privée, il y aura toujours cette petite pensée dans un coin de ma tête qui me dira que mon téléphone n’est plus tout à fait Mon téléphone.
StopCovid pave la route pour d’autres futures applications de traçage. On peut s’imaginer qu’elle va faire changer les moeurs pour accepter ce genre d’intrusion dans nos vie privée.

La pression sociale

Par extension et même avec les meilleures intensions du monde, si tout mes amis utilisent StopCovid sauf moi, je ne suis pas sûr de ne pas ressentir une culpabilité et une pression sociale qui me ferait changer d’avis pour l’installer.
Gardez bien à l’esprit que l’utilisation de StopCovid se fait sur une base du volontariat. Vous êtes légitime à refuser son installation et si vous choisissez de l’installer, faites attention à ne pas faire culpabiliser vos proches. C’est un choix personnel.

Le bilan : restons toujours méfiants !

Toutes ces garanties que nous avons vu plus haut sont vraies à l’heure actuelle, mais le resteront-elles ? Peut-être que la prochaine mise à jour intégrera l’envoie de mon numéro de téléphone et de ma géolocalisation. Des garde-fous existent mais pareil, seront-ils toujours en place ? Des endroits pourraient devenir uniquement accessibles à ceux qui ont StopCovid ?
On peut imaginer ainsi de nombreuses dérives et ce qu’il faut retenir c’est que rien n’est jamais acquis. Si vous décidez d’installer StopCovid, tenez-vous informé de ces évolutions technologiques et politiques !

4 – Quelles différences entre « centralisé » et « décentralisé ?

😫 On entend ces termes partout !

Si vous avez lu quelques articles sur StopCovid, vous avez surement vu la critique du modèle français par rapport au modèle allemand « plus respectueux de la vie privée ».

Ce qu’il faut savoir c’est que, bien que plusieurs papiers de recherche défendent chacun un modèle, le status quo scientifique ne penche ni pour l’un ni pour l’autre, en terme de vie privée.

Le seul fait irréfutable dans ce débat c’est que la CNIL a validé l’usage du modèle centralisé.

Mais tentons de comprendre cette différence…

De quoi on parle ?

Tout d’abord, « centralisé » et « décentralisé » ne font pas référence à une architecture logiciel. Dans les deux cas, il y a plein de smartphones qui se connectent à un serveur unique.
La France a opté pour le centralisé, Google et Apple défendent le décentralisé ; mais l’Etat Français et Google/Apple sont capables -techniquement- de mettre en place les deux modèles.

La centralisation concerne les informations !

La différence se fait au moment où vous vous déclarez malade.

Le modèle centralisé : plus d’infos sur le serveur que sur les téléphones

Dans le modèle centralisé, vous envoyez l’historique de vos contacts (mais pas vos ID) au serveur. Lorsque les autres personnes demanderont au serveur s’ils sont contaminés, le serveur répondra que Oui en envoyant uniquement l’ID appartenant à la personne qui se trouvait dans votre historique. Personne ne sait que c’était votre ID l’origine de la contamination.

Le modèle centralisé : le serveur dispose des historiques envoyés par les malades, les téléphones ne reçoivent rien d'autre.

Le modèle décentralisé : plus d’infos sur tous les téléphones

Dans le modèle décentralisé, vou envoyez vos ID (mais pas votre historique de contacts) au serveur. Lorsque les autres personnes demanderont au serveur s’ils sont contaminés, le serveur ne pourra pas leur indiquer directement, il enverra naïvement tous les ID qu’il a reçu à tous les smartphones. Ce sera ensuite à chaque smartphone de comparer en local si certains ID de son historique de contacts se trouve dans ce que le serveur a transmis.

Le modèle décentralisé : le serveur envoie la liste des malades à tous les téléphones, qui comparent avec leurs propres historiques.

En résumé :

Centralisé : Seul le serveur a toutes les informations pour faire les corrélations car les malades doivent envoyer leur historique de contact.
Décentralisé : Tout le monde a toutes les informations et chacun vérifie de son côté mais les malades ne partagent pas leur historique.

Aucun n’est parfait et aucun ne semble protéger plus la vie privée que l’autre (après tout c’est un système de traçage…). Ils répondent simplement à des menaces différentes.

En centralisé le serveur est tout puissant, il faut donc lui faire confiance. En décentralisé, le serveur n’est plus une menace mais chacun possède toutes les informations pour trouver des failles et pouvoir désanonymiser les autres.

Conclusion

Ouch on pose une question et finalement on n’y répond pas directement ! 😅

Le but de cette article était vraiment de vous donner toutes les clés en main pour vous faire votre avis.

Est-ce qu’on va installer StopCovid ? … Oui. Mais attention, on ne va pas rester passif !

Aujourd’hui la balance entre engagements de l’État et utilité de l’application en situation de crise nous fait installer l’application.

Cependant, à tout moment ces engagements peuvent changer et/ou l’utilité de l’application peut être remise en cause.

L’application est plus transparente qu’une bonne partie des applications qu’on possède sur nos téléphones… mais est-ce que Facebook, Twitter, Instagram pourraient me mettre en prison ? Non. L’État a beaucoup plus de pouvoir et c’est pour cela qu’il faut rester très vigilant.

Cette application ne doit en aucun cas être dérivée comme moyen de surveillance de masse et il est de notre devoir de nous en assurer.

Tenez une patate coroned pour vous remercier d’avoir lu jusqu’au bout !

N’hésitez pas à partager votre opinion et vos arguments 😘