D’après Cédric O, secrétaire d’État au Numérique, l’application StopCovid ne sortira pas dans les temps à cause d’Apple. Cette politisation simpliste du discours autour de l’app de contact tracing cache un désaccord technique entre la méthode nationale de l’Inria et le développement international de la solution de Google et Apple. Résultat : la France est dans l’impasse.

Un sujet comme l’application StopCovid, permettant de tracer les contacts des Françaises et des Français pendant l’épidémie de coronavirus, ne pouvait pas être simple. Depuis son annonce il y a quelques semaines, le politique a rejoint la technique et la France a ajouté une complexité à un projet déjà difficile à mener : conditionner la sortie de l’application à l’approbation par Apple et Google d’une dérogation spéciale pour StopCovid, dérogation que la France n’a aucune raison d’obtenir, tant elle est fondamentale pour protéger la vie privée et la sécurité numérique des utilisatrices et des utilisateurs de smartphones.

Mais ce n’est pas tout : cette dérogation est demandée par la France sur la base de bonnes intentions, fondées sur la doctrine mise en place par l’Inria pour développer le contact tracing, nommée Protocole ROBERT. Il n’y a donc pas de gentils ni de méchants dans cette affaire, simplement des intérêts divergents et une compréhension lacunaire des outils technologiques et des enjeux d’une telle application du côté du gouvernement.

On vous explique pourquoi.

Comment fonctionne le contact tracing

Un exemple imagé de deux smartphones qui communiquent en bluetooth

Tout d’abord, il faut rappeler très brièvement ce qu’est le contact tracing : il s’agit d’une méthode de collecte des contacts physiques qui permet de garantir l’anonymat des citoyens qui l’utilisent et qui ne les géolocalise pas. Elle s’appuie sur le Bluetooth pour échanger des identifiants chiffrés (une série de lettres et de chiffres) entre deux smartphones. Si une personne est déclarée malade du Covid-19 par une autorité de santé, toutes les personnes qui l’ont croisée à courte distance et pendant une période mesurée comme propice à la transmission reçoivent une alerte — sans connaître l’identité de la personne malade, bien entendu.

Problème : cette théorie qui semble idéale a montré ses limites à Singapour, premier pays à l’avoir massivement déployée pour éviter un confinement. La population, ultra connectée, a joué le jeu, mais les résultats n’étaient pas là et Singapour a dû lancer un confinement massif. Le principe théorique s’est heurté à la réalité technique : le Bluetooth n’est pas fiable, dépend de son environnement (le signal est modulé par vos poches, votre sac, un mur, etc.) et l’application n’a d’intérêt que si la grande majorité de la population l’utilise.

Mais Singapour a rencontré un autre problème, vers lequel fonce droit la France.

Le blocage du Bluetooth en arrière-plan

Ce problème, c’est l’impossibilité pour les applications d’utiliser le Bluetooth en arrière-plan. Concrètement, cela signifie que pour qu’elle collecte les identifiants des personnes croisées, l’app doit être ouverte et au premier plan sur le smartphone. Cela vide la batterie et empêche l’utilisation de l’appareil.

Cette restriction adoptée par Apple, et dans une moindre mesure par Google, n’est pas là pour embêter les États : elle a été mise en place après des années d’abus de la part des développeurs, notamment dans la publicité, qui utilisaient le Bluetooth pour traquer les utilisateurs des applications. C’était l’une de ces fonctions que l’on trouvait au cœur de l’affaire Teemo, où Numerama dévoilait qu’un outil publicitaire embarqué dans des apps très populaires permettait de suivre les Françaises et les Français à la trace, pour mieux cibler les publicités ou les conduire dans des magasins à proximité.

Laisser le Bluetooth communiquer en permanence en arrière-plan, dans de mauvaises mains, est donc une fonction qui dépasse tout à fait les usages qui auraient pu être légitimes, comme StopCovid. Cela serait une hérésie de demander à Apple, après des années de lois votées pour la vie privée numérique des citoyens, de reculer sur cette décision. Et c’est pourtant précisément ce que Cédric O, secrétaire d’État au Numérique, cherche à faire : d’après lui, l’application StopCovid ne sortira pas à temps si Apple ne laisse pas la France utiliser le Bluetooth en arrière-plan pour son app. Du côté de Google, si Android n’est pas aussi radical sur le Bluetooth, d’autres fonctions pourraient tuer StopCovid, comme le Doze Mode pensé pour économiser la batterie.

Cédric O à l'Assemblée nationale

Cédric O à l'Assemblée nationale.

Source : Assemblée nationale

En d’autres termes, Cédric O souhaiterait que la France ait un passe-droit que personne au monde ne peut avoir, pour utiliser une fonctionnalité qui a été coupée, car dangereuse pour la vie privée des utilisateurs. Difficile de croire qu’Apple acceptera : l’entreprise joue ses promesses commerciales sur la protection de ses utilisateurs. Elle n’a pas plié quand le FBI lui a fait des demandes similaires dans une affaire de terrorisme et on l’imagine mal plier pour une application dont on ne connaît pas l’efficacité réelle.

D’autant que, cela n’a échappé à personne, Apple et Google travaillent justement sur une possibilité de faire fonctionner ces applications gouvernementales sans revenir sur le statut du Bluetooth. Mais alors, pourquoi la France n’utilise pas ce nouvel outil ? Deux mots : Protocole ROBERT.

Le protocole Robert

Dans la chronologie des événements liée au contact tracing, on retient la levée de la barrière technique liée au Bluetooth : Apple et Google développent en ce moment une méthode pour permettre aux États et aux agences de santé de faire du contact tracing fonctionnel, en arrière-plan. Cette API (interface de programmation), est un outil provisoire, que les développeurs des États peuvent intégrer à leurs applications et qui permet un accès au Bluetooth et gère la diffusion des identifiants collectés.

Ce n’est pas une application : c’est un jeu de commandes qui permet de développer une application. La solution, élégante, permet aux États de conserver la souveraineté de leurs données, de leur développement et de la manière de gérer toute l’infrastructure technique associée à l’application grand public. Problème pour la France : l’API développée par Google et Apple est un kit qui conviendra à l’échelle mondiale, que les États peuvent adapter, mais qui comprend des fonctionnalités déjà préembarquées. Imaginez un couteau suisse dont vous devriez utiliser tous les outils pour construire un meuble, alors que vous ne souhaitez utiliser que le tournevis parce que vous avez par ailleurs une belle scie à bois. Cette scie à bois, c’est le protocole ROBERT.

Le protocole ROBERT, pour ROBust and privacy-presERving proximity Tracing, est une méthode de contact tracing développée par les chercheurs de l’Inria, Institut national de recherche en sciences et technologies du numérique. Elle a été décrite pour le grand public dans une tribune de Bruno Sportisse, président de l’Institut. L’intégralité du texte est très accessible, même pour un néophyte et décrit très bien ce que propose de faire le protocole ROBERT. L’élément clef du protocole, c’est que jamais un individu infecté est individualisé sur les serveurs de l’état. Ainsi, personne ne peut jamais remonter au malade, ni particulier, ni état, ni hacker : seul l’hôpital qui conserve des données de santé à cette trace.

La collecte du protocole ROBERT crée des ensembles de « pseudos » // Source : Infographie Inria

La collecte du protocole ROBERT crée des ensembles de « pseudos »

Source : Infographie Inria

Comment ? L’Inria propose de ne jamais désolidariser un ensemble d’identifiants Bluetooth. Si votre smartphone collecte 10 clefs pendant votre déplacement, il enverra au serveur central 10 clefs, dont la vôtre. Si l’une des clefs est déclarée contaminée, elle va informer le serveur central qui va simplement la repérer dans ces jeux de clefs et considérer que tout le jeu est à risque. « Aucun lien n’est fait entre le téléphone de la personne et son historique. Chacun de ces crypto-identifiants est donc potentiellement « à risque » (il correspond, sans qu’aucun lien ne soit possible avec une personne, à un smartphone qui a été en proximité d’un smartphone porté par une personne qui a été ultérieurement diagnostiquée positive) », peut-on lire dans la tribune.

Il va alors pousser une notification aux personnes concernées (et donc théoriquement, même à la personne malade). Si un hacker souhaite espionner ce jeu pour retrouver un malade, il ne verra qu’un groupe de malades potentiels. En clair, la solution française est extrêmement puissante pour préserver les données de santé, peut-être jusqu’à l’excès de précautions : elle refuse l’identification technologique d’une clef unique correspondant à un anonyme, mais cet anonyme sera fiché numériquement par un autre moyen à l’hôpital, avec tous les détails sur son identité réelle.

L'hôpital va pousser la notification en considérant que tous les ensembles où se trouve le pseudo sont contaminés // Source : Infographie Inria

L'hôpital va pousser la notification en considérant que tous les ensembles où se trouve le pseudo sont contaminés

Source : Infographie Inria

Cette méthode est incompatible avec le couteau suisse proposé par Apple et Google, qui, s’il est extrêmement sécurisé aussi, ne gère pas les identifiants Bluetooth « en pack », mais avec des clefs individuelles qui changent fréquemment. Mais la solution française ne fonctionnera pas sans l’accès au Bluetooth. Le serpent se mord la queue.

Et maintenant ?

Techniquement, avant même sa naissance, StopCovid est dans une impasse. La France, en refusant d’utiliser les outils mis à sa disposition pour accéder à des fonctions critiques des smartphones dans un cadre bien défini et limité, se coupe la possibilité de faire une application fonctionnelle. Ses raisons ne sont pas mauvaises et la politisation du sujet par Cédric O cache la prudence des chercheurs de l’Inria, qui prennent toutes les précautions quand ils évoquent leur protocole : il ne s’agit pas d’une méthode absolument parfaite.

Que peut-il se passer ?

  • Soit l’État français adapte sa doctrine et utilise le couteau suisse Google / Apple, changeant le protocole ROBERT pour le rendre compatible.
  • Soit l’État français entame un bras de fer avec une entreprise qui ne s’est pas laissée intimider par le FBI sur son propre territoire et pour des faits de terrorisme, en espérant la faire plier sans le moindre argument, vu qu’elle développe déjà un outil que StopCovid peut utiliser.
  • Soit Google et Apple s’inspirent du protocole ROBERT et adaptent l’API globale qui sera fournie à tous les États du monde. Les deux entreprises ont affirmé être à l’écoute des laboratoires de recherche qui planchent localement sur ces sujets, mais il faudra qu’elles justifient le fait d’avoir favorisé une direction plutôt qu’une autre : d’autres pays ont proposé des méthodes de collecte et de traitement des identifiants Bluetooth.

Dans tous les cas, le chantier numérique qui s’annonce n’est pas près d’être terminé. Le tout nous ramenant perpétuellement à l’interrogation initiale : est-ce que cette application va servir à quelque chose ? Ne fait-on pas tout cela pour rien ? Une position interrogative que porte la députée Paula Forteza et qui a déjà convaincu nombre de ses confères et consœurs à l’Assemblée.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.