TousAntiCovid : vous devriez vite désactiver la collecte de statistiques

Disclaimer: je suis l’un des co-auteurs de l’analyse utilisée comme source de cet article.Je ne dis pas que l’article de Frandroid est parfait, loin de là, mais je trouve que les commentaires ici tirent quand même beaucoup sur les messagers et mécomprennent le sens de notre travail, et je dois dire que ça m’attriste un peu. Peut-être aurait-il été judicieux de la part de Frandroid de mettre un lien vers l’analyse complète en source afin que tout le monde puisse se rendre compte que ce n’est pas _si_ technique que ça, que notre analyse est correctement sourcée et rédigée, et que nos allégations ne sont pas si fantasques et hypothétiques que ça (si on ne nous fait pas dire ce qu’on a pas dit).Je vais juste me permettre de présenter le problème sous un angle qui, peut-être, vous fera voir les choses différemment ou _a minima_ vous donnera un meilleur aperçu du sens de notre travail. TousAntiCovid (originellement StopCovid) était une application qui devait servir au traçage de cas contacts via Bluetooth. Certains pays ont opté pour des approches très intrusives qui remontent beaucoup de données à un serveur central (par exemple la Chine qui utilise des données de géolocalisation). La plupart des autres pays (notamment européens) ont opté pour une approche privacy-preserving semi-décentralisée appelée DP-3T. En France, nous avons payé des chercheurs pour développer un protocole concurrent appelé ROBERT, également privacy-preserving mais centralisé. Je ne vais pas rentrer dans les détails techniques de ces deux protocoles, ils ont chacun des avantages et des inconvénients différents, et offrent des garanties subtilement différentes en terme de vie privée. Mais ce qu’il faut avoir en tête, c’est que ces protocoles (DP-3T et ROBERT) sont conçus à la base pour remonter peu d’informations au serveur central afin de préserver la vie privée des utilisateurs. Dans le cas de ROBERT (celui qui nous intéresse ici), vous récupérez régulièrement un pseudonyme auprès du serveur central et, si et seulement si vous vous déclarez positif, vous remontez au serveur central la liste de tous les autres pseudonymes que vous avez croisé IRL. C’est tout ce que le serveur central sait de vous.Est venu ensuite dans l’application le protocole Cléa pour le traçage dans les restaurants. Toujours dans cet esprit, le protocole Cléa est conçu pour partager très peu d’informations avec le serveur central : lorsque vous scannez un QR code dans un restaurant, celui-ci reste en local sur votre téléphone et c’est seulement si vous vous déclarez positif dans l’application que vous remontez la liste des lieux visités au serveur central. Le serveur central partage ensuite seulement une liste de tous les lieux “à risque”, et vous pouvez comparer en local les lieux à risque que vous avez visité sans jamais révéler au serveur central les lieux dans lesquels vous vous êtes rendu.Le point central de notre analyse, c’est que le système d’analytics qui a été introduit en juin compromet énormément les garanties de vie privée initialement offertes par les protocoles ROBERT et Cléa. Si vous devez retenir une chose, c’est ça ! En gros, c’est idiot d’avoir dépensé tant d’énergie et de moyens à développer une approche “privacy by design” si c’est pour construire un système ad-hoc qui détruit la quasi-totalité de ces garanties en un revers de main. Plus spécifiquement, nous avons montré qu’il était possible de faire le “lien” entre la partie analytics et la partie traçage de cas contact.En outre, nous avons aussi montré :- que le système a été activé à l’insu de la plupart des utilisateurs (par exemple, la “fonctionnalité” a été activée automatiquement et la politique de confidentialité changée sans notification) ;- que les données effectivement envoyées au serveur ne correspondent ni en nature ni en finalité à ce qui est annoncé dans la politique de confidentialité et dans le décret, et à ce qui avait été accepté par laCNIL durant les délibérations publiques sur ce sujet ;- que ce système d’analytics *peut* être utilisé par le serveur central pour déduire des informations que, probablement, les concepteurs de ce système n’avaient même pas anticipé ;- que tout ceci pose un risque important sur la sécurité des données (certes, on peut probablement faire confiance à l’INRIA pour ne pas exploiter ces donnée d’une façon malveillante, et on peut probablement faire confiance à la CNIL pour effectuer les contrôles les plus rigoureux et réguliers possibles, néanmoins le risque de fuites de données accidentelles ou de compromission de serveurs par une cyberattaque est *toujours* à prendre en compte dans toute solution industrielle, d’où l’importance de la minimisation des données) ;- et pas mal d’autres trucs, je vous invite vraiment à lire le rapport détaillé.Donc on est loin de théories du complot fumeuses ou d’hypothèses fantasques. On a produit une analyse de risque contenant des faits vérifiables et clairement énoncés, et pour illustrer notre propos, nous avons montré quelles attaques (sur ROBERT, sur Cléa et sur le système d’analytics directement) étaient rendues possibles par l’introduction de ce système. L’éditeur de TousAntiCovid peut choisir de considérer que ces risques sont acceptables ou non (et la première réponse que nous avons obtenue dans notre rapport indique que certains points remontés vont être pris en compte, ce qui est une bonne nouvelle).Enfin, ce n’est pas nouveau que les réseaux conspirationnistes reprennent à leur compte des informations factuellement vraies et vérifiables, mais en les déformant ou en les extrapolant à outrance. Ni Frandroid ni nous ne pouvons être tenus pour responsable de cela. Ou alors, par honnêteté intellectuelle, il faut au moins être aussi critique à l’égard de ceux qui ont permis l’introduction d’un système d’analytics si bavard au sein de l’application, et qui ont donc donné du grain à moudre aux antis. Également, les comparaisons avec ce que font Google et Facebook sont des sophismes de diversion : j’imagine que quand vous rameniez une mauvaise note à vos parents, le fait qu’un de vos camarades ait eu une note pire que la votre ne les calmait pas beaucoup. On est pas toujours obligé de se contenter du pire+ parce qu’il y a encore pire++ ailleurs, surtout quand il s’agit de données de santé et de millions d’utilisateurs.Si vous avez des questions, n’hésitez pas à les poser ici ou sur Twitter, et j’essayerai d’y répondre.

TousAntiCovid : vous devriez vite désactiver la collecte de statistiques

Leave a Comment