16 KiB
| layout | slug | status | sitemap | title | description |
|---|---|---|---|---|---|
| post | stopcovid | published | true | Pas d'anonymat pour StopCovid | Mais de la surveillance |
À l'écriture de cet article, nous sommes à un tournant : après 1 mois de confinement, le gouvernement a annoncé récemment une date ferme de fin du confinement, le 11 mai 2020. Depuis, l'exécutif précise au fur et à mesure sa politique pour l'après confinement. Au programme, entre autre, une application mobile : StopCovid.
D'abord annoncée le 1er avril par Olivier O {% cite noauthor_coronavirus_2020 %}, ce n'est que récemment (autour du 20 avril) que Inria (un centre de recherche public en informatique) a annoncé publiquement être en charge du développement de cette dernière. Récemment, des détails techniques ont été donnés dans la presse et directement sur le site web d'Inria {% cite bembaron_ou_2020 sportisse_figaro %}.
Étant doctorant en systèmes distribués et attachés à la vie privée ainsi qu'aux libertés, je vous propose de regarder en détails cette application sensible en confrontant les détails techniques aux promesses de la communication.
Je vous propose de commencer par resituer le contexte qui nous a amené à parler d'applications mobiles dans la lutte contre le COVID-19. Dans un second temps, je vous livre mon analyse des lacunes et incohérences du système proposé pour comprendre pourquoi les promesses énoncées ne sont pas tenues et que cette application pourrait être dévoyée aisément de son usage premier. Enfin, nous verrons que d'autres solutions auraient pu être envisagées, et que l'utilité d'une telle application est plus qu'incertaine.
Ralentir la propagation du virus
À défaut de pouvoir arrêter le virus, les états cherchent des moyens de ralentir sa propagation pour ne pas submerger les hopitaux. Le graphique "aplatir la courbe" en est l'illustration {% cite lemonde_aplatir_2020 %}.
Bien que le confinement total soit une solution efficace, elle est très contraignante. Idéalement, les autorités souhaiteraient confiner uniquement les personnes ayant été en contact avec un malade, car ces derniers sont contagieux et propagent le virus avant de subir les premiers symptômes.
Pour obtenir cette information, il est possible de questionner le malade ou de collecter automatiquement ces données. C'est donc bien le second cas qui nous intéresse ici : automatiser la collecte des données pour retrouver la liste des personnes avec qui le malade a été en contact.
Beaucoup d'applications ont été proposées par les chercheurs et les entreprises. Nous n'en retiendrons que trois, celles qui semblent avoir retenu l'attention des autoritéset dont le fonctionnement prévu est documenté : BlueTrace, le projet original déployé à Singapour {% cite bay_bluetrace_nodate %}, DP3-T, une solution principalement développée en Suisse par l'EPFL {% cite noauthor_dp-3tdocuments_2020 %} et finalement ROBERT, le candidat pour devenir StopCovid, développé en France par Inria {% cite noauthor_robert-proximity-tracingdocuments_2020 %}.
À propos de ROBERT, l'article explicatif d'Inria nous informe que {% cite sportisse_figaro %} :
Une telle application n’est pas une application de surveillance : elle est totalement anonyme. Pour être encore plus clair : sa conception permet que PERSONNE, pas même l’Etat, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes.
Mettons donc ces déclarations à l'épreuve du document décrivant le fonctionnement de ROBERT.
Pas d'anonymat pour ROBERT
La partie problématique de ROBERT se trouve dans sa façon d'annoncer et d'apprendre l'existence d'une infection au COVID-19.
Pour cette tâche, le téléphone d'une personne infectée contacte une application gérée par l'État à travers Internet (cf schéma ci-dessous, c'est l'autorité centrale) pour donner une liste de "pseudonyme" de contacts récents avec d'autres téléphones équipés de l'application. La solution semble parfaite, étant donné que seulement des pseudonymes sont utilisés pour communiquer avec l'autorité centrale, il est impossible de retrouver les identités des personnes.
Malheureusement, sur Internet, les communications ne sont pas anonymes aux yeux de l'État. En demandant aux téléphones de contacter un service centralisé, l'État connait leur adresse IP et peut ensuite récupérer l'identité de la personne sans intervention de la justice, via un décret {% cite noauthor_decret_2014 %} ou simplement Hadopi {% cite champeau_hadopi_2015 %}. D'autant plus que les opérateurs mobiles se montrent peu frileux pour partager ou vendre les données de connexions de leurs abonnés {% cite bembaron_coronavirus_2020 noauthor_flux_nodate noauthor_swisscom_2020 %}. Le schéma ci-dessous explique ce qui se passe quand mon téléphone contacte l'application de l'État via Internet.
Il est à noter que BlueTrace {% cite bay_bluetrace_nodate%} stocke et associe le numéro de téléphones des utilisateurs aux "pseudonymes" utilisés donnant une vue totale à l'État également. DP-3T {% cite noauthor_dp-3tdocuments_2020 %} quant à lui annonce la liste des "pseudonymes" des personnes infectées à tout le monde, ne permetant pas à l'État de savoir avec qui a été en contact les personnes infectées, seulement de connaitre les personnes infectées.
On peut donc considérer que DP-3T est une moins mauvaise alternative que BlueTrace et ROBERT dans le cadre réduit de notre réflexion.
On peut donc conclure que l'affirmation d'anonymat est fausse : l'application n'est pas totalement anonyme, l'État peut techniquement accéder à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes.
ROBERT peut confiner qui il veut
Dans ROBERT et BlueTrace, et contrairement à DP-3T, c'est le service de l'État qui décide si vous avez été en contact avec une personne infectée. Même si le service de l'État est conçu et analysé par des autorités indépendantes (comme des informaticiens indépendants ou des journalistes spécialisés), rien n'empêche l'État de modifier le service au dernier moment, juste avant de le mettre en ligne. Il serait alors en mesure, par exemple, de décider qu'une certaine liste d'adresses IP, et donc une certaine frange de la population (car on a vu précédemment qu'il n'était pas compliqué pour un État de faire le lien entre adresses IP et personnes), serait toujours considérée comme ayant été en présence d'une personne infectée, et donc devrait rester confinée.
Cette promesse non tenue à donc de réels conséquences : sans anonymat, l'État peut biaiser le service pour obliger certaines personnes à rester confinées.
D'autres personnes ont déjà remonté ces problèmes à l'équipe de recherche. J'y ai également partagé les éléments cités dans cet article. Au moment de l'écriture de cet article, aucune réponse n'a été apportée {% cite noauthor_authority_nodate %}.
Faire confiance à l'État
En continuant de lire l'article explicatif de ROBERT {% cite sportisse_figaro %}, la confiance en l'État est abordée :
Le terme « centralisé » est souvent utilisé à dessein, en stigmatisant implicitement un Etat supposé vouloir être traqueur.
Pourtant, les exemples concrets d'outils de surveillance déployés par l'État sont légions. Pour n'en citer que trois : le déploiement de "boites noires" chez les opérateurs et les fournisseurs de service {% cite noauthor_premiere_2017 %}, le programme Interception Obligatoires Légales (qui ne l'était pas, légal) {% cite hourdeaux_surveillance_nodate %} ou encore la surveillance des communications radio {% cite hourdeaux_conseil_nodate %} qui a été déclaré illégal par le conseil constitutionnel.
Dans les exemples cités précédemment, deux de ces trois pratiques ont été jugées illégales une fois connues. En matière de surveillance, l'opacité reignant toujours, le respect de la loi est cantonné à l'existence de lanceur d'alertes et de médias pour relayer l'information.
La CNIL comme autorité suprème de régulation de l'État est un argument qui revient souvent dans les discussions. Rappelons-nous tout de même dans quelles conditions la CNIL a été créée. En 1974, l'État souhaite secrètement croiser les données des administrations sur la population. Le programme a pour nom de code SAFARI. Le projet est arrêté suite à un article du Monde {% cite boucher_safari_nodate %}. À la suite de ce scandale, la CNIL est créée pour empêcher la mise en plce de système dangereux par l'État et depuis ses missions se sont diversifiées. Pour autant, ses recours contre l'État sont aujourd'hui très limités et son action souvent consultative {% cite noauthor_gendnotes_2020 %}.
En conclusion, l'État se montre avide de surveillance de ses citoyens et n'hésite pas à enfreindre ses propres lois. Il ne s'arrête que quand la société civile le met face à ses responsabilités (journaux, associations, lanceurs d'alerte). Pour autant, quand on dresse le bilan, nous assistons à un effet cliquet, où les mesures d'exceptions du jour deviennent la norme de demain sans jamais retrouver les libertés concédées précédemment {% cite noauthor_ce_nodate %}.
Maintenant, l'application serait proposée sur la base du volontariat. Ceci dit, il n'est exclu par personne de la rendre obligatoire si son taux d'adoption n'est pas assez élevée. Ensuite, l'État a la possibilité de contraindre l'accès à certains services ou libertés à l'utilisation de cette application. Il est donc sain de considérer qu'une fois en place, cette application sera obligatoire pour tout le monde.
StopCovid permettrait à l'État de déclarer n'importe quelle personne comme ayant été en contact avec une personne contaminée, et donc l'obliger à se confiner. Ce nouveau pouvoir pourrait par exemple être utilisé pour assigner à résidence des activistes ou des adversaires politique, comme ce fut le cas pendant l'état d'urgence pour les écologistes {% cite noauthor_lassignation_2015 %}. Mais cette fois-ci il sera impossible de prouver l'abus de pouvoir.
L'idéologie du contrôle
Toujours dans cet article explicatif de l'application {% cite sportisse_figaro %}, les débats sont ramenés à une guerre entre science et idéologie :
Dans ce contexte, les débats sur les avantages supposés d’un système parce qu’il serait décentralisé vis-à-vis d’un autre système parce qu’il serait centralisé ne me semblent pas relever du champ de la rigueur scientifique. [...] Ce sont des analyses scientifiques, par définition vérifiables et se prêtant à une discussion, qui permettent de le démontrer, pas des considérations idéologiques ou des a priori sémantiques.
Au contraire, la question de la décentralisation fait bien parti du champ de la rigueur scientifique. Pas nécessairement au sens qu'on lui donne dans la comparaison entre ROBERT et DP-3T, qui au final font tous les deux appel à un service de l'État et sont donc "centralisés".
Mais plutôt parce qu'il existe tout un pan de recherche sur les réseaux d'anonymat, souvent appelés à tort Darknet, dont le logiciel Tor {% cite dingledine_tor_2004 %} est le plus connu (+ de 4000 citations par d'autres articles scientifiques). Il y est bien question de décentralisation et de partage de la confiance dans ces derniers. Et ces articles sont bien en lien avec le problème qu'on essaye de résoudre, informer anonymement de mon infection les personnes avec qui j'ai été en contact récemment. À aucun moment l'État n'a besoin d'être un acteur ou un intermédiaire dans ce processus. Pourtant, que ce soit ROBERT, DP-3T ou BlueTrace, les trois applications ajoutent un service géré par le gouvernement en intermédiaire.
Je me demande donc pourquoi il a semblé si impérieux à l'État de se poser comme intermédiaire ? Les choix techniques retenus et l'impasse faite sur l'ensemble des articles sur l'anonymat (426 000 résultats sur Google Scholar pour "anonymity network") ne seraient-ils pas gouvernés par des considérations idéologiques, plus particulièrement une idéologie du contrôle ? Que si le réseau Tor n'a pas été retenu bien qu'éprouvé depuis 2004, utilisé par des activistes et des lanceurs d'alertes, où aucune entité du réseau ne peut désanonymiser une communication, c'est parce qu'il était hors de contrôle de l'État ? Que si la recherche sur l'anonymat en cryptographie a été ignorée, dont l'article fondateur est Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms {% cite chaum_untraceable_1981 %}, publié en 1981 et qui a engendré un domaine de recherche fécond, ne serait-ce pas par manque de considération pour l'anonymat justement ?
Ne pas se précipiter
Si tenté qu'une telle solution soit déployée, elle nécessiterait l'acquisition d'un smartphone par une partie de la population qui n'en a pas afin d'atteindre une couverture acceptable ainsi que des tests systématiques, ce qui n'est pas le cas. Il faudrait également une organisation très différente, pour qu'une personne ayant été en contact avec une personne confinée puisse s'isoler.
Mais c'est en supposant qu'elle fonctionne. Aujourd'hui, encore beaucoup de problèmes techniques ne semblent pas encore résolu ni résolvables (les résultats du Bluetooth sont de mauvaise qualité, la durée de vie de la batterie réduite, il est difficile de faire fonctionner une application en arrière-plan, les téléphones fonctionnent tous de manière un peu différente, etc,). Enfin, quand bien même les problèmes techniques seraient relevés, rappelons-nous que le virus de ne se propage pas par Bluetooth (la technologie utilisé par les téléphones pour savoir si ils sont proches). Il est donc incertain qu'une proximité Bluetooth soit suffisament corrélée avec un risque de transmission.
D’abord, comme tout projet scientifique, ce protocole va être soumis à la critique de ses pairs. Cela nécessite une démarche d’ouverture : l’article scientifique est mis à disposition de la communauté scientifique sous Github.
Sous l'illusion de l'ouverture et de l'échange annoncée {% cite sportisse_figaro %}, à l'heure actuelle, aucune critique ou information remontée n'a fait l'objet d'un échange, d'une explication ou d'une modification de la part de l'équipe en charge du projet. D'ailleurs, cette application est déjà très loin de faire l'unanimité au sein d'Inria, et un groupe de chercheurs à mise en ligne un site web pour lister tous les risques inhérents à l'existence d'une application de traçage (risques qui vont bien au delà de ceux mentionnés dans cet article) {% cite vuillot_15_nodate %}.
Nous souhaitons tous trouver une solution rapidement pour sortir de cette crise, parfois même au prix de nos libertés. À mon avis, l'application de tracking StopCovid est une fausse solution et une vraie menace. Elle permet des effets d'annonce pour faire oublier le manque de masques et de tests, elle permet d'accroitre le contrôle de l'État sur les populations, elle nous donne l'impression de reprendre le contrôle sur cette crise qui nous dépasse mais elle ne nous protègera pas du coronavirus. Et gardons en tête l'effet cliquet : l'exceptionnel d'aujoud'hui deviendra la norme de demain.
Bibliographie
{% bibliography --cited %}