D'abord annoncée le 1er avril par Cédric O, secrétaire d'état au numérique, {% cite noauthor_coronavirus_2020 %}, ce n'est que récemment (autour du 20 avril) que [Inria](https://www.inria.fr) (un centre de recherche public en informatique) a annoncé publiquement être en charge du développement de cette dernière. Récemment, des détails techniques ont été donnés dans la presse et directement sur le site web d'Inria {% cite bembaron_ou_2020 sportisse_figaro %}.
<center><em>Combattre un virus avec un téléphone ? Crédits : OOI JIET, <ahref="https://unsplash.com/photos/mXPukrX-794">Unsplash</a></em></center><br/>
Pour bien comprendre les enjeux, il est nécessaire de resituer le contexte d'apparition de cette application. Ce projet présente pourtant des lacunes qui pourraient être aisément détournées de leur usage premier et qui invitent à réfléchir sur la pertinence du projet en question.
Pour obtenir cette information, il est nécessaire de retracer toutes les personnes ayant été à portée du malade lorsqu'il était contagieux. Avec StopCovid, il s'agit donc d'automatiser la collecte de ces données.
Beaucoup d'applications ont été proposées par les chercheurs et les entreprises. Les autorités ont manifesté de l'attention pour trois d'entre elles : BlueTrace, le projet original déployé à Singapour {% cite bay_bluetrace_nodate %}, DP3-T, une solution principalement développée en Suisse par l'EPFL {% cite noauthor_dp-3tdocuments_2020 %} et finalement ROBERT, le candidat pour devenir StopCovid, principalement développé en France par Inria {% cite noauthor_robert-proximity-tracingdocuments_2020 %}.
Ces applications fonctionnent de façon relativement similaire. Une fois installées sur le téléphone de l'utilisateur, elles lui attribuent plusieurs[^1] "pseudonymes". Au quotidien, les téléphones échangent ces pseudonymes via *Bluetooth* quant ils sont à proximité les uns des autres. Quant un utilisateur tombe malade, il le notifie via l'application à un service de l'État. Ce faisant, il transmet la liste des pseudonymes des utilisateurs avec qui il a été en contact. Régulièrement, l'application des utilisateurs non malades vérifie auprès du service de l'État que ces derniers n'ont pas été en contact avec une personne infectée[^2].
[^1]: Le pseudonyme attribué à chaque personne varie dans le temps, c'est un moyen de préserver l'anonymat des utilisateurs les uns vis-à-vis des autres.
[^2]: C'est à dire qu'aucun des pseudonymes de l'utilisateur n'est connu du service de l'État, autrement dit, qu'aucun des pseudonyme n'a été signalé par une personne malade.
Ce fonctionnement implique nécessairement d'assigner à résidence des personnes non malade. Il est donc important que ce système soit le plus juste et le plus transparent possible.
C'est d'ailleurs ce que nous assurent les représentants d'Inria :
> Une telle application n’est pas une application de surveillance : elle est <strong>totalement anonyme</strong>. Pour être encore plus clair : sa conception permet que <strong>PERSONNE, pas même l’Etat, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes.</strong>
Pourtant le fonctionnement de ROBERT comporte des aspects qui me semblent problématiques.
À première vue, cette application semble parfaite : comme l'indique le schéma ci-dessous, le service de l'État (l'autorité centrale) ne manipule que des "pseudonymes".
Malheureusement, sur Internet, les communications ne sont pas anonymes aux yeux de l'État. Pour comprendre ce qui se passe, le schéma ci-dessous résume les acteurs en jeu : l'utilisateur, les opérateurs et l'État.
Le téléphone, en contactant le service StopCovid, lui révèle son adresse IP[^3] en plus des informations vues précédemment.
[^3]: Dans l'article complet, il est fait mention dans une seule phrase que le contact avec le serveur pourrait se faire via un *mixnet*. Cependant, pour juger des propriétés de sécurité de ce dernier, plusieurs pages d'explications seraient nécessaires. À la place, les auteurs écartent cette piste en argumentant que le NAT empèchera de la même manière que le *mixnet* l'identification des utilisateurs via leur adresse IP. Cet argument étant faux, nous considérons donc que les utilisateurs accédent directement au service de l'État en révélant leur adresse IP.
De plus, la Loi pour la Confiance en l'Économie Numérique (LCEN) impose aux opérateurs de conserver les données de connexion, c'est à dire de pouvoir identifier quel individu se trouve derrière une adresse IP donnée {% cite champeau_lcen_2011 %}.
L'État peut ensuite exiger que ces opérateurs transmettent ces données de connexion sans intervention de la justice.
Nommées "réquisitions administratives", cette action est autorisée par exemple par le décret n° 2014-1576 {% cite noauthor_decret_2014 %} du 24 décembre 2014. Plus connu, la mise en oeuvre d'Hadopi requiert également, chaque jour, l'identification de plusieurs milliers d'individus à partir de leur adresse IP {% cite champeau_hadopi_2015 %}.
La désanonimisation des utilisateurs à travers leur utilisation d'Internet est d'autant plus crédible que les opérateurs mobiles se montrent peu frileux pour partager ou vendre les données de connexions de leurs abonnés {% cite bembaron_coronavirus_2020 noauthor_flux_nodate noauthor_swisscom_2020 %}.
BlueTrace {% cite bay_bluetrace_nodate%} stocke le numero de téléphone des utilisateurs et l'associe aux pseudonymes : la totalité des informations générées est ainsi nominative et accessible à l'État.
Il est à noter que BlueTrace {% cite bay_bluetrace_nodate%} stocke et associe le numéro de téléphones des utilisateurs aux "pseudonymes" utilisés donnant une vue totale à l'État également.
DP-3T {% cite noauthor_dp-3tdocuments_2020 %}, quant à lui, annonce la liste des "pseudonymes" des personnes infectées à tout le monde. L'État peut connaitre l'identité des personnes malades mais pas avec qui elles ont été en contact.
[^4]: La solution DP-3T est également contestée car elle permet à un utilisateur malveillant de connaitre le pseudonyme de l'utilisateur infecté. En croisant cette donnée avec le moment où le pseudonyme a été découvert, l'utilisateur malveillant peut retrouver quand il a été potentiellement infecté et peut potentiellement désanonymiser la personne qu'il l'a contaminé.
**On peut en conclure que ROBERT ne préserve pas totalement l'anonymat des utilisateurs.
En effet, techniquement l'État peut toujours accéder à la liste des personnes diagnostiquées et à la liste des intéractions sociales de tous les malades.**
Dans ROBERT et BlueTrace, et contrairement à DP-3T, c'est le service de l'État qui annonce si vous avez été en contact avec une personne infectée. Même si le service de l'État est conçu et analysé par des acteurs indépendants, rien n'empêche les autorités de modifier le service quand elles le souhaitent.
Il leur serait alors possible d'instrumentaliser le fonctionnement du service. Ce dernier pourrait annoncer à certaines personnes (correspondant à des adresses IP définies) qu'elles doivent se confiner, même si elles n'ont pas été effectivement en contact avec une personne malade.
L'État ne fait pourtant pas toujours bon usage de la confiance qui lui est accordée.
Sans énumérer tous les exemples de dispositifs de surveillance qu'il a déployé, citons tout de même : la mise en place de "boites noires" chez les opérateurs et les fournisseurs de service {% cite noauthor_premiere_2017 %}, le programme Interception Obligatoires Légales (ce qui était parfaitement illégal) {% cite hourdeaux_surveillance_nodate %} ou encore la surveillance des communications radio {% cite hourdeaux_conseil_nodate %} (elles aussi déclarées illégales par le conseil constitutionnel).
Un argument revient souvent dans ce genre de débat : la CNIL[^4] serait compétente pour encadrer la collecte des données de manière éthique. Un dispositif déployé sous son contrôle serait donc acceptable. Pourtant elle ne dispose pas de moyen coercitifs suffisants face à l'État qui se permet régulièrement de ne pas tenir compte de ses avis ou qui lui dissimule des informations {% cite noauthor_gendnotes_2020 %}.
[^4]: Rappelons-nous au passage dans quelles conditions la CNIL a été créée. En 1974, l'État souhaite secrètement croiser les données des administrations sur la population. Le programme a pour nom de code SAFARI. Le projet est arrêté suite à un article du Monde {% cite boucher_safari_nodate %}. À la suite de ce scandale, la CNIL est créée pour empêcher la mise en plce de système dangereux par l'État et depuis ses missions se sont diversifiées.
Aux dernières nouvelles, l'app devrait être proposée sur la base du volontariat.
Rien n'empêche toutefois qu'elle soit rendue obligatoire si le taux d'adoption n'est pas assez élevé, ou que l'État contraigne l'accès à certains services à l'utilisation de cette app.
Il y a de grandes chances qu'une fois en place, cette app devienne obligatoire.
**En matière de surveillance, l'opacité règne toujours et le respect de la loi est cantonné à l'existence de lanceur d'alertes et de médias pour relayer l'information.
La seule limite à l'action de l'État lui est imposée par la société civile quand elle le met face à ses responsabilités.**
> Dans ce contexte, les débats sur les avantages supposés d’un système parce qu’il serait décentralisé vis-à-vis d’un autre système parce qu’il serait centralisé ne me semblent pas relever <strong>du champ de la rigueur scientifique</strong>. [...] <strong>Ce sont des analyses scientifiques</strong>, par définition vérifiables et se prêtant à une discussion, qui permettent de le démontrer, <strong>pas des considérations idéologiques ou des a priori sémantiques</strong>.
Rappelons qu'il existe tout un domaine de recherche sur les réseaux d'anonymat, souvent appelés à tort Darknet, dont le logiciel Tor {% cite dingledine_tor_2004 %} est le plus connu (+ de 4000 citations par d'autres articles scientifiques). Ces outils reposent sur la décentralisation et la dilution du pouvoir entre les utilisateurs.
Ils pouraient servir à informer anonymement les personnes ayant été en contact avec un malade sans nécessiter l'intervation de l'État ou de tout autre acteur.
Pourquoi, alors, faire le choix d'impliquer l'État ?
Les considérations techniques ne sont pas seules à peser dans la balance : nul doute que des considérations idéologiques, qui ne disent pas leur nom, ont guidé la conception de ROBERT. Sans cela, il serait difficile de comprendre l'oubli des 426 000 résultats sur Google Scholar pour "anonymity network", de l'expérience des activistes et des lanceurs d'alerte qui utilisent le réseau Tor depuis 2004, de la recherche sur l'anonymat en cryptographie à commencer par l'article fondateur *Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms* {% cite chaum_untraceable_1981 %}, publié en 1981.
Dans l'hypothèse du déploiement d'une telle solution, comment gérerait-on le fait que 24% de la population ne dispose pas d'un smartphone {% cite noauthor_list_2020 %} ? Cette hypothèse implique aussi qu'un certain nombre de problèmes techniques auront été résolus : les résultats du Bluetooth sont de mauvaise qualité, la durée de vie de la batterie réduite, il est difficile de faire fonctionner une application en arrière-plan, les téléphones fonctionnent tous de manière un peu différente, etc.
Rappelons aussi une évidence : le virus ne se propage pas par Bluetooth, la corrélation entre une proximité Bluetooth et la transmission effective du virus reste incertaine. Elle ne fait, à ma connaissance, l'objet d'aucune étude scientifique sérieuse.
> D’abord, comme tout projet scientifique, ce protocole va être soumis à la critique de ses pairs. Cela nécessite une démarche d’ouverture : l’article scientifique est mis à disposition de la communauté scientifique sous Github.
Certes les concepteurs de ROBERT sont tout à fait disposés à se soumettre à l'évaluation par les pairs {% cite sportisse_figaro %}, mais à l'heure actuelle il reste difficile de dialoguer avec eux.
Les inquiétudes soulevées dans ce billet de blog n'ont pour l'heure, pas reçues de réponse.
D'autres risques, inhérent au *tracking* ont également été réferencés sur le site web [risques-tracage.fr](https://risques-tracage.fr/) {% cite vuillot_15_nodate %}. À ma connaissance, les solutions proposées ne proposent aucune garanti quant à ces derniers.
À mon avis, l’application de tracking StopCovid est une fausse solution et une vraie menace.
L'annonce de sa mise en oeuvre vise sans doute à nous fair oublier le manque de masques et de tests.
Pour retrouver un sentimenent de contrôle, en cette période de crise, nous serions prêt à adopter des solutions extrêmes, sacrifiant au passage nos libertés.
Gardons la tête froide et prenons garde à ce que l'exceptionnel d'aujourd'hui ne devienne pas la norme coercitive de demain.
En conclusion, la solution ROBERT ne garantit pas l'anonymat des utilisateurs, parce qu'elle transmet une donnée d'identification : l'adresse IP. Elle suppose pour les utilisateurs de faire confiance à l'État pour ne pas manipuler les données émises (et assigner à résidence des personnes non exposées au risque mais dont l'action déplait à l'État). Cette confiance devrait être donnée dans un contexte de crise sanitaire et politique, alors que l'État fait régulièrement un usage immodéré voire illégal de la force {% cite noauthor_lassignation_2015 %}. Il existe pourtant des outils tout à fait à même d'assurer le service de StopCovid sans exposer les utilisateurs : encore faut-il en avoir la volonté.