Recevez chaque jour toute l'actualité du numérique

x

Covid-19 : Comment va fonctionner le système de pistage co-construit par Google et Apple ?

Google et Apple ont annoncé la mise en œuvre d'un système de traçage commun à leurs écosystèmes de smartphones pour identifier les chaînes de transmission du coronavirus SARS-CoV-2. Il reposera sur l'échange volontaire d'identifiants uniques via Bluetooth pour prévenir une personne qui a été en contact avec une personne testée positive. Mais certains s'inquiètent du devenir des données échangées, alors que les deux entreprises américaines tentent de rassurer en affirmant qu'elles ont tout mis en œuvre pour respecter la vie privée de leurs utilisateurs.
Twitter Facebook Linkedin Flipboard Email
×

Covid-19 : Comment va fonctionner le système de pistage co-construit par Google et Apple ?
Covid-19 : Comment va fonctionner le système de pistage co-construit par Google et Apple ? © Cheng Feng-Unsplash

Le 10 avril 2020, Google et Apple ont annoncé un partenariat pour la mise en œuvre d'une solution commune de traçage numérique des contacts entre les personnes (contact tracing) via les smartphones. Son objectif est d'identifier les chaînes de transmission du coronavirus SARS-CoV-2, qui est à l'origine de la maladie Covid-19.

Un plan En deux étapes

Le programme se déroulera en deux étapes successives. En mai, les deux entreprises lanceront des API permettant l'interopérabilité entre les smartphones Android et les iPhones. Cela permettra aux États de mettre en place des applications plus efficaces car compatibles d'un écosystème à l'autre. Au cours des mois à venir, une "plate-forme de traçage de contact" devrait voir le jour. "Cette solution, plus robuste qu'une API, permettra non seulement la participation d’un plus grand nombre de personnes, sur la base du volontariat, mais aussi l'interaction d’un écosystème d'applications plus étendu avec les autorités sanitaires gouvernementales", indiquent les deux entreprises américaines.

Le système de traçage repose non pas sur l'exploitation des données de géolocalisation mais sur le Bluetooth afin de prévenir une personne si elle a été en contact avec une personne contaminée. Dans le faits, chaque utilisateur se voit attribuer un identifiant unique qui changera toutes les 15 minutes. Lorsqu'il rencontre quelqu'un, leurs téléphones enregistrent mutuellement ces identifiants. Si un utilisateur est testé positif au Covid-19, il peut l'indiquer dans une application gouvernementale. Dès lors et avec son consentement, tous les identifiants enregistrés via son smartphone durant les 14 derniers jours peuvent être transférés vers un serveur central. Les personnes côtoyées seront ainsi prévenues et recevront des indications sur la conduite à tenir pour éviter de propager le virus. 

 


Le respect de la vie privée au cœur du dispositif

"Le respect de la vie privée, la transparence et le consentement sont de la plus haute importance dans cette initiative", affirment les deux entreprises. Un des arguments de Google et d'Apple est que la vie privée est davantage protégée car le système n'utilise pas les données de géolocalisation mais le Bluetooth. De plus, toutes les données collectées sont traitées sur l'appareil et ne quittent pas le téléphone d'un utilisateur à moins qu'il ne choisisse de les partager. Par ailleurs, les serveurs centraux stockent la base de données des identifiants partagés mais pas les interactions entre eux. Mais des interrogations voire des critiques ont émergé sur ce système. 

Moxie Marlinspike, expert en cybersécurité et créateur de l'application de messagerie sécurisée Signal, a détaillé dans une série de tweets ses doutes quant au futur dispositif. Il explique que sur le long terme pour que le système fonctionne correctement, il devra sûrement avoir recours à des données plus ciblées "ce qui signifie probablement des données de géolocalisation". En effet, chaque clé représente 16 octets. En une semaine, cela représente plusieurs centaines de mégaoctets. Ces données pourraient être compliquées à utilisées si elles ne sont pas recoupées avec des périmètres géographiques. Il y voit aussi un risque de récupération par l'industrie de la publicité (avec les "beacons" qui identifient les utilisateurs dans les magasins par le bluetooth de leur smartphone).

 



Que faire des personnes dépourvues de smartphones ?

TechCrunch a pu interroger des représentants d'Apple et de Google pour obtenir des précisions. Premièrement se posait la question du nombre d'utilisateurs qui pourront avoir accès au système. Engadget note qu'aux Etats-Unis, seulement environ 31% des appareils exécutent Android 10, tandis que 65% des appareils exécutent Android 9.0 ou une version antérieure (StatCounter). Apple a déclaré qu'il déploierait "la mise à jour sur le plus grand nombre possible d'appareils iOS. Plus des trois quarts des iPhones et iPads utilisent la dernière version d'iOS 13 et recevront la mise à jour". De son côté, Google a indiqué qu'il mettra à jour les services Google Play pour que le système de traçage puisse fonctionner sur Android 6.0 et pas seulement sur les appareils les plus récemment mis à jour. Reste la question des groupes de population défavorisée et des personnes âgées qui n'ont souvent même pas de smartphones.

Quant aux organismes qui auront accès aux API développées, les deux entreprises certifient que seules les autorités sanitaires reconnues par l'Etat concerné seront autorisées à les utiliser. Sur la sécurité du système, Apple et Google notent qu'aucun dispositif n'est "inébranlable", mais qu'en décentralisant la gestion des données ces risques s'amenuisent. "Si vous ne faites pas confiance au système, vous n'êtes pas obligé de l'utiliser", rappellent les entreprises.

A noter que les applications de "contact tracing" ont déjà fait leurs preuves. Taïwan, l'un des pays qui a le mieux endiguer la pandémie, a eu recours à ce dispositif en testant en parallèle massivement sa population pour identifier les personnes contaminées. Mais cette politique de dépistage n'est pas partagée par tous les pays pour diverses raisons (souvent le manque de tests). Sur cette question, Google et Apple répondent que "si un résultat de test positif est probablement le meilleur moyen d'identifier un cas, ce n'est pas nécessairement le seul moyen".

Ils notent que l'application pourrait également comptabiliser les cas positifs via l'identification de symptômes de la maladie sans avoir recours à un test biologique. Mais que faire des cas asymptomatiques ? Impossible de les recenser si les Etats ne mettent pas en place des tests sérologiques qui servent à détecter la présence d'anticorps, marqueur biologique d'une infection passée. Selon les estimations de l'Institut Pasteur, les cas de malades asymptomatiques ou qui présentent peu de symptômes représentent tout de même entre 30 et 60% des personnes infectées.

Quelle articulation avec les autres outils ?

Se pose également la question de l'imbrication de ce dispositif dans les autres initiatives de traçage numérique. Interrogés par Le Monde, le secrétaire d'Etat au Numérique Cédric O et le ministre de la Santé Olivier Véran annonçait que le gouvernement travaillait sur l'application 'StopCovid'. En parallèle, un groupe de 130 chercheurs européens ont lancé la plate-forme PEPP-PT (Pan-European Privacy Preserving Proximity Tracing) qui doit permettre de concevoir des applications ayant recours au "contact tracing". De son côté, l'Union européenne plaide pour un dispositif paneuropéen voire mondial. "Dans l'idéal, une coordination avec l'Organisation mondiale de la santé devrait également avoir lieu, afin de garantir la protection des données dans le monde entier dès la conception", notait Wojciech Wiewiorowski, directeur du Contrôleur européen de la protection des données (CEPD).

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media