Traçage en Suisse avec des applications mobiles / covid-19

Introduction

En Suisse, le traçage des contaminations se fait avec deux types d'applications:

1. SwissCovid, l'application nationale officielle, reconnue de manière territorialement exclusive par Google et Apple
2. des applications régionales de traçage de contacts, remplaçant les feuilles papier de traçage des restaurants, bar, discothèques et manifestations

Attention: je ne suis pas un expert de ce domaine en particulier, n'hésitez pas à me transmettre vos critiques.

En Europe, signalons le projet CWA en Allemagne qui a réussi à s'affranchir des couches basses propriétaires Google et est entièrement open-source [7].

SwissCovid

Contexte

Les applications de traçage distanciel du covid-19, dont l'application SwissCovid, comportent en général trois composants logiciel:

1. une couche firmware propriétaire développée par des GAFAM
2. une applications mobile nationale développé par chaque gouvernement
3. un backend serveur plus ou moins important ("cloud")

1. Couche firmware propriétaire développée par des GAFAM

C'est un logiciel propriétaire, développé spécifiquement par Apple et par Google, de type firmware, qui a été envoyé à tous les mobiles compatibles de la planète lors d'une mise à jour des outils Google ou Apple. Ca illustre déjà un problème: il existe un bon 20%, même en Suisse, de mobiles non compatibles. Quid des pays africains où la plupart des gens ont encore un bon vieux Nokia avec SMS? (preuve par l'absurde)

Cet API s'appelle GAEN chez Google.

Pour y échapper, il faudrait installer un OS Android alternatif, sans les extensions Google, sur le mobile. En théorie ce composant ne peut être utilisé que par une seule application de traçage, officielle, par pays. Personne n'a audité ce point à ma connaissance.

C'est ce composant qui gère les aspects bas niveau de la détection de distance et de l'échange d'identifiants supposés anonyme avec les autres téléphones.

C'est aussi ce composant qui fait face aux critiques les plus féroces, allant jusqu'à affirmer que cette technologie ne peut pas mesurer réellement de distances [1] -- de la part des concepteurs même du Bluetooth.

Enfin, à ma connaissance, ce composant logiciel n'a pas été audité en sécurité de manière ouverte, même si des parties ont été publiées [2].

Ma position: ce n'est pas le seul composant propriétaire de la couche Google ou Apple se trouvant sur tous les smartphones, le problème est donc plus général. En ce qui concerne la fiabilité du traçage: je pense que c'est un élément complémentaire, qui pourrait rater des cas (faux négatifs) et créer des quarantaines inutiles (faux positifs), mais apparemment pas dans une mesure critique.

2. Application mobile nationale développée par chaque gouvernement

En ce qui concerne SwissCovid, le parlement fédéral a fixé des lignes directrices, par exemple le fait que l'application devait être open source, mais en même temps la loi n'est pas entièrement applicable vu les composants propriétaires nécessaires.

• Points positifs: open source, développée en Suisse, auditée par l'EPFL, basée sur du pseudonymat (identifiants aléatoires que personne ne peut vraisemblablement associer à une identité du monde réelle).

• Points négatifs:
  • le LASEC EPFL a tout de même trouvé quelques problèmes, plutôt complexes à mettre en oeuvre et plutôt normales dans le domaine [3]
  • basé sur la confiance: une personne peut très bien ne pas suivre les instructions de l'application et ne pas se déclarer aux centres de test
  • peur du public qui n'a pas installé en suffisance l'application
  • de fait, les cas potentiellement évités JUSQU'ICI sont très peu nombreux
  • l'application peut certes être recompilée, mais pas exécutée tant qu'une signature électronique, autorisant l'utilisation de l'API GAEN Google n'est pas délivrée par Google, ce qui limite d'autant le concept open source: l'application est en fait un GUI, le travail principal est faite par l'API propriétaire

En pratique: j'ai installé et utilisé l'application dès sa sortie. Je l'ai désinstallée avant-hier pour deux raisons: ça bouffe trop de ressources sur mon vieux téléphone et il y a une vulnérabilité Bluetooth sur mon appareil, publiée. Je préfère tourner sans Bluetooth. Et j'ai un style de vie plutôt casanier de toute façon, et je mets le masque et je respecte les distances sinon.

3. Cloud

Certaines applications peuvent simplement échanger des identifiants localement par Bluetooth sans avoir besoin d'un réel backend de type serveur / cloud. D'autres en ont besoin.

Evidemment, si le besoin existe, se pose alors -- comme pour SwissCovid -- la question de où ce backend est hébergé, et comment les données sont transférées et stockées (quel genre de données, chiffrement, effacement après combien de temps, sauvegardes, etc).

A ma connaissance, s'il y a eu une polémique en Suisse car les données sont stockées sur un cloud GAFAM de plus potentiellement à l'étranger, un audit détaillé n'a pas été effectué.

Traçage pour manifestations

Principes généraux

Le principe d'un traçage des personnes participant à des manifestations et activités publiques (théatre, cinéma, restaurants, bar, discothèques) est déjà mis en place depuis plusieurs mois dans la plupart des cantons romands. Par exemple à Neuchâtel, on demande de remplir une feuille avec ses coordonnées et de la remettre au restaurateur. La mesure n'est, dans ma propre expérience, pas appliquée systématiquement. Lorsque des autres moyens de traçage existent (p.ex. paiement avec une carte de personnel ou d'étudiant), ces données suffisent.

Contrairement à l'application SwissCovid, il n'y a pas de bases légales fédérales ou cantonales pour le moment, et l'open-source ne semble pas un prérequis.

Application smartphone spécifique

Principes et avantages

D'autres cantons (p.ex. Vaud et Fribourg) proposent une application smartphone festive, basée sur le scan d'un QR-code à l'entrée, voire à la sortie, de l'établissement, envoyant des données similaires à la feuille de papier à un point central de récolte cantonal.

A ma connaissance, ces applications sont totalement séparées de SwissCovid: elles sont l'exact équivalent d'écrire son adresse, son nom, son numéro de téléphone sur une feuille de papier remise au restaurateur (ce qui est obligatoire à Neuchâtel déjà depuis quelques mois), de manière plus efficace et moins dangereuse question covid-19 (laver les mains avant et après de toucher le stylo, etc), mais il est vrai avec une centralisation et un traitement automatisé des données qui devrait être audité.

Elle permet aussi -- lorsqu'un scannage du QR-Code de l'établissement est fait aussi à la sortie -- de savoir plus précisément qui a potentiellement été contaminé, alors que les feuilles de papier sont souvent gérées par plages horaires, par exemple une heure entière: quelqu'un qui arrive à 10:59 ne sera pas considéré comme contaminé si une personne ensuite découverte contaminée entre à 11:30 même si la 1ère personne était encore dans l'établissement.

Risques

Il y a un risque, d'autant plus qu'à ma connaissance il y a plusieurs applications de ce type qui n'ont pas forcément été auditées.

Le risque est nettement plus élevé qu'avec des bouts de papier décentralisés et qui ne sont lus qu'en cas de besoin. On retombe un peu sur la question du vote électronique, finalement: le vote classique ou par correspondance est dépouillé décentralisé, le vote électronique est dépouillé centralisé, avec des risques plus graves, comme illustré à Genève.

Obligation?

Cela m'étonnerait qu'il y ait obligation réelle d'utiliser une application: je pense qu'on va soit te refuser l'entrée (donc va ailleurs, un restaurateur peut toujours refuser une entrée dans son domaine privé), ou te proposer de remplir un papier à la place, et le restaurateur fera le travail de signalement électronique.

Si cela fonctionne comme à Berne (https://covtr.app/fr) il faut du web et des SMS, pas besoin d'une application spéciale. Si cela fonctionne comme à Fribourg, il faut une app spéciale. Voir cet article [6] pour Vaud.

Dans certains instituts de formation, par exemple, il est fortement recommandé de payer avec la carte d'étudiant ou de personnel (donc traçabilité informatique), mais si tu ne peux pas (oublié), tu peux remplir la paperasse.

A voir la communication [4], pour le canton de Neuchâtel, le traçage doit être électronique et l'application Eats me [5] est recommandée. C'est une app mobile Android et iOS, qui se décline en une version client et une version restaurateur. Donc pas obligatoire: cela peut signifier que c'est du ressort de chaque restaurateur.

Le restaurateur pourrait interdire l'accès à son restaurant à une personne sans application, mais cela me semble douteux, du moins selon la loi normale, ou pourrait annoncer lui-même électroniquement ces personnes.

Références

• [1] https://theintercept.com/2020/05/05/coronavirus-bluetooth-contact-tracing/ https://arxiv.org/pdf/2006.08543.pdf
• [2] https://down.dsg.cs.tcd.ie/tact/tact-pearg-pressie.pdf
• [3] https://lasec.epfl.ch/people/vaudenay/swisscovid/ownanalysis.html
• [4] https://www.ne.ch/medias/Pages/20201017-covid19-niveau-alerte-orange.aspx
• [5] https://eatsme.ch/
• [6] https://boizot.ch/divers/blogs/socialpass/
• [7] https://codeberg.org/corona-contact-tracing-germany/cwa-android

-- MarcSCHAEFER - 17 Oct 2020