Aux Etats-Unis, Virginie a activé les services de notification d’exposition Covid-19 sans application pour les utilisateurs d’iPhone, rejoignant la Californie, le Colorado, le Connecticut, Hawaï, le Maryland, le Minnesota, le Nevada, Washington, le Wisconsin et le district de Columbia. Cela signifie que les utilisateurs d’iPhone dans ces États américains n’auront pas besoin d’installer des applications de notification d’exposition et peuvent à la place activer les notifications dans les paramètres du téléphone.
Les services utilisent le système de notification d’exposition aux coronavirus construit conjointement par Pomme et Google pour leurs systèmes d’exploitation de smartphones, iOS et Android, que les entreprises mis à jour pour fonctionner sans applications. Le système utilise la technologie de communication sans fil Bluetooth à courte portée omniprésente.
En janvier, 20 États américains et le district de Columbia utilisaient le système pour les applications de notification d’exposition et les services sans application. Toutes les applications et services sont volontaires; cependant, l’île de Maui à Hawaï maintenant oblige les visiteurs à en utiliser un.
Des dizaines d’applications sont utilisées dans le monde pour alerter les gens s’ils ont été exposés à une personne qui a été testée positive pour Covid-19. Beaucoup d’entre eux rapportent également l’identité des personnes exposées aux autorités de santé publique, qui a soulevé des problèmes de confidentialité.
Plusieurs autres projets de notification d’exposition, notamment PACTE, BlueTrace et le Projet Covid Watch, adoptez une approche de protection de la vie privée similaire à l’initiative d’Apple et de Google.
Récemment, une étude a révélé que la recherche des contacts peut être efficace à contenir des maladies telles que Covid-19 si une grande partie de la population y participe. Les systèmes de notification d’exposition comme le système Apple-Google ne sont pas de véritables systèmes de recherche des contacts car ils ne permettent pas aux autorités de santé publique d’identifier les personnes qui ont été exposées à des personnes infectées. Mais les systèmes de notification d’exposition numérique ont un gros avantage: ils peuvent être utilisés par des millions de personnes et avertir rapidement ceux qui ont eux-mêmes été exposés à la quarantaine.
Alors, comment fonctionne le système de notification d’exposition Apple-Google? Comme des chercheurs qui étudier la sécurité et la confidentialité des communications sans fil, nous avons examiné les spécifications du système et évalué son efficacité et ses implications en matière de confidentialité.
Balises Bluetooth
Parce que Bluetooth est pris en charge sur des milliards d’appareils, cela semble être un choix de technologie évident pour ces systèmes. Le protocole utilisé pour cela est Bluetooth Low Energy, ou Bluetooth LE en abrégé. Cette variante est optimisée pour une communication économe en énergie entre les petits appareils, ce qui en fait un protocole populaire pour les smartphones et les appareils portables tels que les montres intelligentes.
Bluetooth LE communique de deux manières principales. Deux appareils peuvent communiquer entre eux via le canal de données, comme une montre intelligente se synchronisant avec un téléphone. Les appareils peuvent également diffuser des informations utiles aux appareils à proximité via le canal publicitaire. Par exemple, certains appareils annoncent régulièrement leur présence pour faciliter la connexion automatique.
Pour créer une application de notification d’exposition à l’aide de Bluetooth LE, les développeurs peuvent attribuer à tout le monde un identifiant permanent et faire en sorte que chaque téléphone le diffuse sur un canal publicitaire. Ensuite, ils pourraient créer une application qui reçoit les identifiants afin que chaque téléphone puisse conserver un enregistrement des rencontres étroites avec d’autres téléphones. Mais ce serait une violation flagrante de la vie privée. Diffuser des informations personnellement identifiables via Bluetooth LE est une mauvaise idée, car les messages peuvent être lus par toute personne à portée.
Echanges anonymes
Pour contourner ce problème, chaque téléphone diffuse un long numéro aléatoire, qui est fréquemment changé. D’autres appareils reçoivent ces numéros et les stockent s’ils ont été envoyés à proximité. En utilisant des nombres longs, uniques et aléatoires, aucune information personnelle n’est envoyée via Bluetooth LE.
Apple et Google suivent ce principe dans leur cahier des charges mais ajoutez un peu de cryptographie. Tout d’abord, chaque téléphone génère une clé de traçage unique qui est conservée de manière confidentielle sur le téléphone. Chaque jour, la clé de traçage génère une nouvelle clé de traçage quotidienne.
Bien que la clé de traçage puisse être utilisée pour identifier le téléphone, la clé de traçage quotidienne ne peut pas être utilisée pour déterminer la clé de traçage permanente du téléphone. Ensuite, toutes les 10 à 20 minutes, la clé de suivi quotidien génère un nouvel identifiant de proximité glissant, qui ressemble à un long nombre aléatoire. C’est ce qui est diffusé sur d’autres appareils via le canal publicitaire Bluetooth.
Une personne testée positive pour Covid-19 peut divulguer une liste de ses clés de traçage quotidiennes, généralement des 14 jours précédents. Les téléphones de tous les autres utilisent les clés révélées pour recréer les identifiants de proximité mobiles de la personne infectée.
Les téléphones comparent ensuite les identifiants positifs pour Covid-19 avec leurs propres enregistrements des identifiants reçus des téléphones à proximité. Une correspondance révèle une exposition potentielle au virus, mais elle n’identifie pas le patient.
La plupart des propositions concurrentes utilisent une approche similaire. La principale différence est que les mises à jour du système d’exploitation d’Apple et de Google atteignent automatiquement beaucoup plus de téléphones qu’une seule application. De plus, en proposant une norme multiplateforme, Apple et Google permettent aux applications existantes de se superposer et d’utiliser une approche de communication commune et compatible qui pourrait fonctionner dans de nombreuses applications.
Aucun plan n’est parfait
Le système de notification d’exposition Apple-Google est très sécurisé, mais il est aucune garantie d’exactitude ou de confidentialité. Le système peut produire un grand nombre de faux positifs car être à portée Bluetooth d’une personne infectée ne signifie pas nécessairement que le virus a été transmis.
Et même si une application n’enregistre que des signaux très forts comme proxy pour un contact étroit, elle ne peut pas savoir s’il y avait un mur, une fenêtre ou un sol entre les téléphones.
Même si cela est peu probable, il existe des moyens par lesquels les gouvernements ou les pirates informatiques pourraient suivre ou identifier les personnes utilisant le système. Les appareils Bluetooth LE utilisent une adresse publicitaire lors de la diffusion sur un canal publicitaire.
Bien que ces adresses puissent être randomisées pour protéger l’identité de l’expéditeur, nous avons démontré l’année dernière qu’elle est théoriquement possible de suivre les appareils pendant de longues périodes si le message publicitaire et l’adresse publicitaire ne sont pas modifiés de manière synchronisée. Au crédit d’Apple et de Google, ils demandent que ceux-ci soient modifiés de manière synchrone.
Mais même si l’adresse publicitaire et l’identifiant mobile d’une application de coronavirus sont modifiés de manière synchronisée, il peut toujours être possible de suivre le téléphone de quelqu’un. S’il n’y a pas un nombre suffisamment grand d’autres appareils à proximité qui changent également leurs adresses publicitaires et leurs identifiants roulants de manière synchronisée – un processus connu sous le nom de mélange – quelqu’un pourrait toujours suivre les appareils individuels. Par exemple, s’il y a un seul téléphone dans une pièce, quelqu’un pourrait le suivre car c’est le seul téléphone qui pourrait diffuser les identifiants aléatoires.
Une autre attaque potentielle consiste à enregistrer des informations supplémentaires avec les identifiants de roulement. Même si le protocole n’envoie pas d’informations personnelles ou de données de localisation, les applications de réception peuvent enregistrer quand et où elles ont reçu des clés d’autres téléphones.
Si cela était fait à grande échelle – comme une application qui collecte systématiquement ces informations supplémentaires – elle pourrait être utilisée pour identifier et suivre les individus. Par exemple, si un supermarché enregistrait la date et l’heure exactes des identifiants de proximité roulants entrants dans ses couloirs de caisse et combinait ces données avec des balayages de carte de crédit, le personnel du magasin aurait une chance raisonnable d’identifier quels clients étaient positifs pour Covid-19.
Et comme les balises publicitaires Bluetooth LE utilisent des messages en texte brut, il est possible d’envoyer de faux messages. Cela pourrait être utilisé pour troller les autres en répétant à de nombreuses personnes des identifiants de proximité roulants positifs connus pour Covid-19, ce qui entraînerait des faux positifs délibérés.
Néanmoins, le système Apple-Google pourrait être la clé pour alerter des milliers de personnes qui ont été exposées au coronavirus tout en protégeant leur identité, contrairement aux applications de traçage des contacts qui rapportent des informations d’identification au gouvernement central ou aux bases de données d’entreprise.
Johannes Becker est doctorant en génie électrique et informatique et David Starobinski est professeur de génie électrique et informatique à l’Université de Boston.
Cet article a été publié pour la première fois le La conversation.
.
