arnaudlevy/quentin.dufour.io
1
0
Fork 0
forked from quentin/quentin.dufour.io
Code Pull requests 1 Activity

précisions

Browse source
This commit is contained in:
Quentin 2020-04-22 00:07:54 +02:00
parent 5be0549c44
commit aee3bdd3c7
1 changed files with 5 additions and 3 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

8
_posts/2020-04-20-stopcovid.md
View file

@ -58,7 +58,9 @@ Pourtant le fonctionnement de ROBERT comporte des aspects qui me semblent probl
Malheureusement, sur Internet, les communications ne sont pas anonymes aux yeux de l'État. Pour comprendre ce qui se passe, le schéma ci-dessous résume les acteurs en jeu : l'utilisateur, les opérateurs et l'État.
Le téléphone, en contactant le service StopCovid, lui révèle son adresse IP en plus des informations vues précédemment.
Le téléphone, en contactant le service StopCovid, lui révèle son adresse IP[^3] en plus des informations vues précédemment.
[^3]: Dans l'article complet, il est fait mention dans une seule phrase que le contact avec le serveur pourrait se faire via un *mixnet*. Cependant, pour juger des propriétés de sécurité de ce dernier, plusieurs pages d'explications seraient nécessaires. À la place, les auteurs écartent cette piste en argumentant que le NAT empèchera de la même manière que le *mixnet* l'identification des utilisateurs via leur adresse IP. Cet argument étant faux, nous considérons donc que les utilisateurs accédent directement au service de l'État en révélant leur adresse IP.
De plus, la Loi pour la Confiance en l'Économie Numérique (LCEN) impose aux opérateurs de conserver les données de connexion, c'est à dire de pouvoir identifier quel individu se trouve derrière une adresse IP donnée {% cite champeau_lcen_2011 %}.
@ -74,9 +76,9 @@ BlueTrace {% cite bay_bluetrace_nodate%} stocke le numero de téléphone des uti
Il est à noter que BlueTrace {% cite bay_bluetrace_nodate%} stocke et associe le numéro de téléphones des utilisateurs aux "pseudonymes" utilisés donnant une vue totale à l'État également.
DP-3T {% cite noauthor_dp-3tdocuments_2020 %}, quant à lui, annonce la liste des "pseudonymes" des personnes infectées à tout le monde. L'État peut connaitre l'identité des personnes malades mais pas avec qui elles ont été en contact.
Comparé à DP-3T, le système ROBERT offre donc un plus grand pouvoir à l'État[^3].
Comparé à DP-3T, le système ROBERT offre donc un plus grand pouvoir à l'État[^4].
[^3]: La solution DP-3T est également contestée car elle permet à un utilisateur malveillant de connaitre le pseudonyme de l'utilisateur infecté. En croisant cette donnée avec le moment où le pseudonyme a été découvert, l'utilisateur malveillant peut retrouver quand il a été potentiellement infecté et peut potentiellement désanonymiser la personne qu'il l'a contaminé.
[^4]: La solution DP-3T est également contestée car elle permet à un utilisateur malveillant de connaitre le pseudonyme de l'utilisateur infecté. En croisant cette donnée avec le moment où le pseudonyme a été découvert, l'utilisateur malveillant peut retrouver quand il a été potentiellement infecté et peut potentiellement désanonymiser la personne qu'il l'a contaminé.
**On peut en conclure que ROBERT ne préserve pas totalement l'anonymat des utilisateurs.
En effet, techniquement l'État peut toujours accéder à la liste des personnes diagnostiquées et à la liste des intéractions sociales de tous les malades.**