Auteur Sujet: Application "StopCovid" pour tracer les contacts avec des malades Covid-19  (Lu 23677 fois)

0 Membres et 1 Invité sur ce sujet

lechuck

  • Abonné Orange Fibre
  • *
  • Messages: 1 758
  • 06
Les autres sujets en lien avec le Coronavirus Covid-19 :
- Coronavirus Covid-19: Suivi de la pandémie
- Coronavirus Covid-19: Impact sur nos réseaux (saturations / incidents)
- Confinement Covid-19: Impact sur le réseau K-Net (charge + importante)
- Coronavirus Covid-19: Comment les FAI vont gérer l’afflux de télétravailleurs ?
- Coronavirus Covid-19: Magasins dévalisés de papier toilette et de pâtes ?
- Effet coronavirus sur les cours des opérateurs
- Coronavirus Covid-19: Canal+ gratuit chez Orange SFR Free Bouygues
- COVID-19:Free offre 20x fois plus de données 4G à ses abonnés mobiles 0€ et 2€
- Visioconférence: Liste des instances gratuites et publiques de Framatalk / Jitsi



Je viens de voir qu'on vient à peine de se rendre compte que l'appli développée par l'INRIA (StopCovid) ne pourrait pas fonctionner sans permissions spéciales par Apple (en gros avoir le droit de faire de la détection Bluetooth même en background).
Je rajouterai même qu'il faudrait même que l'appli ne soit pas "tuée" par le système quand celui ci a besoin de ressources afin d'éviter de rater des "contacts".

Donc maintenant le gouvernement pleure auprès d'Apple pour que leur appli dispose de droits spéciaux. J'espère qu'ils sont au courant du problème depuis qu'ils ont lancé le projet tout de même et qu'ils ont un plan B.

En fait le plan B ca serait d'utiliser l'API Apple/Google qui assure une collecte en tâche de fond sans limitation. Mais manifestement en France on a décidé qu'on ferait mieux que les constructeurs de ces smartphones... Déconfinement dans 3 semaines, et j'ai l'impression qu'on ne sera pas prêt...

Johannol

  • Abonné SFR THD (câble)
  • *
  • Messages: 1 148
  • Nantes 44
StopCovid
« Réponse #1 le: 21 avril 2020 à 13:44:55 »
En fait le plan B ca serait d'utiliser l'API Apple/Google qui assure une collecte en tâche de fond sans limitation. Mais manifestement en France on a décidé qu'on ferait mieux que les constructeurs de ces smartphones... Déconfinement dans 3 semaines, et j'ai l'impression qu'on ne sera pas prêt...

En plus, le protocole ROBERT utilisé par StopCovid ne permet pas l'anonymat des contacts, car l'autorité centrale, l'état, sait qui est a proximité de qui, et combien de temps.  Contrairement au protocole proposé par Google/Apple.

Avec le protocole ROBERT, l'application pourrait être utilisé par l'état vis à vis d'opposants politiques par exemple. Les bugs reports sur le protocole restent lettre morte sur le bug tracker, ou sont bottés en touche sous prétexte qu'il faut faire confiance en l'état, ce qui n'est pas bon signe pour justement donner confiance.  ::)

Cochonou

  • Abonné Bbox fibre
  • *
  • Messages: 1 353
  • FTTH 2 Gb/s sur Saint-Maur-des-Fossés (94)
StopCovid
« Réponse #2 le: 21 avril 2020 à 23:41:05 »
En plus, le protocole ROBERT utilisé par StopCovid ne permet pas l'anonymat des contacts, car l'autorité centrale, l'état, sait qui est a proximité de qui, et combien de temps.  Contrairement au protocole proposé par Google/Apple.

Avec le protocole ROBERT, l'application pourrait être utilisé par l'état vis à vis d'opposants politiques par exemple. Les bugs reports sur le protocole restent lettre morte sur le bug tracker, ou sont bottés en touche sous prétexte qu'il faut faire confiance en l'état, ce qui n'est pas bon signe pour justement donner confiance.  ::)

J'ai lu assez vite les whitepapers respectifs, je n'ai pas vu de différence bien fondamentale entre les protocoles proposés, hormis qu'en cas de test positif au virus, ROBERT transmet au serveur les "identifiants" des personnes avec qui la personne infectée à été en contact, et Google/Apple transmet au serveur les "identifiants" du téléphone de la personne infectée.
Je n'ai pas vu de différence réelle de centralisation ou de décentralisation entre les deux approches. Du côté Google/Apple on a un serveur qui collecte les "identifiants" des personnes infectées (mais qui ne connait pas à qui appartient ces identifiants), du côté ROBERT on a un serveur qui collecte les "identifiants" des personnes ayant été en contact avec quelqu'un d'infecté (mais qui ne connait pas les identifiants de cette personne).
En fait la seule vraie différence semble être que dans le cas de ROBERT c'est le serveur qui attribue les identifiants tournants (mais de manière anonymisée), et que dans le cas de Google/Apple c'est le terminal qui détermine tout seul ses identifiants tournants (mais de manière aléatoire). L'anonymat des deux solutions semble falsifiable pour peu que l'autorité soit malveillante (il "suffit" que le serveur central n'anonymise pas les identifiants ou que le terminal choisisse ses identifiants de manière déterministe).
Du coup j'ai sûrement manqué quelque chose. Qu'est ce qui garantit une meilleure protection dans le cadre de Google/Apple que dans le cas de ROBERT ?
« Modifié: 22 avril 2020 à 00:10:31 par Cochonou »

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)

Nico

  • Modérateur
  • *
  • Messages: 44 449
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
StopCovid
« Réponse #4 le: 22 avril 2020 à 00:06:29 »
Tracing: les applications développées par Google et Apple incompatibles avec une grande partie du matériel sur le marché ?

Honnêtement vu le vide sidéral de cet article, je ne vois pas l'intérêt de le partager. Il n'y a pas la moindre source, pas le moindre chiffre, aucune explication claire. Depuis le départ de Yoann, c'est devenu le quotidien de ce site.

On pourrait plutôt citer le Financial Times qui nous parle de 2bn de téléphones non compatibles.

2bn phones cannot use Google and Apple contact-tracing tech

The particular kind of Bluetooth “low energy” chips that are used to detect proximity between devices without running down the phone’s battery are absent from a quarter of smartphones in active use globally today, according to analysts at Counterpoint Research. A further 1.5bn people still use basic or “feature” phones that do not run iOS or Android at all.


Sauf que les chiffres collent pas là pour moi. Si on enlève les 1.5Md de featurephones aux 2Md non compatibles on arrive à 500M smartphones qui posent problème. Sauf que 500M c'est pas 25% du marché des smartphones (qui représente 3.5Md de téléphones) mais plutôt 14%.

Ensuite, je m'interroge sur ce chiffre qui parle des téléphones non compatibles BLE : on a du BLE depuis l'iPhone 4S chez Apple (2011), le GS3 chez Samsung (2012). Du coup 14% du parc de smartphone de 2020 ça me semble élevé.

A noter qu'une autre condition serait d'être sous Android 6.0 ou plus. Ce qui vire ~8% du parc Android dans le monde et ~4% en France.

Voilà la source pour les statistiques d'OS : https://gs.statcounter.com/

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
StopCovid
« Réponse #5 le: 22 avril 2020 à 00:13:42 »
Du coup j'ai sûrement manqué quelque chose. Qu'est ce qui garantit une meilleure protection dans le cadre de Google/Apple que dans le cas de ROBERT ?
Du point de vue d'un observateur passif avec des sniffers :
 - avec le protocole Google/Apple, il reconstitue les trajets des personnes positives (sans connaître leur identité) sur une journée (et celui qui a la main sur le serveur peut à priori lier toutes les journées), ou avec un sniffer muni d'une caméra il prend des photos qu'il pourra associer à des tests positifs par la suite
 - avec ROBERT, sans la main sur le serveur l'observateur n'a aucune information, en revanche celui qui a accès au serveur (donc potentiellement l'Etat) peut suivre les trajets de TOUS les utilisateurs entre les sniffers (bien sûr ça reste anonyme, sauf à identifier par un autre moyen comme une caméra au niveau d'un sniffer, l'IP, ...)
=> le protocole ROBERT protège les personnes qui se déclarent positives vis à vis des observateurs passifs, mais à l'inverse il peut donner beaucoup de (meta-)données concernant tous les utilisateurs de l'application à l'Etat

Pour quelqu'un qui veut pouvoir identifier si les personnes avec qui il a été en contact sont testées positives par la suite :
 - avec le protocole Google/Apple, on pourrait enregistrer les messages reçus par son téléphone, avec l'heure et la position : par la suite, si certains sont publiés, on peut faire le lien avec les personnes qu'on a rencontré
 - avec ROBERT, pour faire la même chose il faut présenter une nouvelle identité à chaque contact (pour que quand le serveur notifie l'utilisateur qu'une de ses identités a été en contact avec une personne positive, il puisse deviner qui) : il est préférable d'empêcher la création de comptes multiples, mais ce n'est pas forcément facile sans casser l'anonymat (si le serveur retient l'IP ou le numéro de téléphone...). Sur GitHub j'ai proposé que l'enregistrement se fasse avec des codes aléatoires sous papier scellé distribués en mairie ou en boîte aux lettres en même temps que des masques (compliqué, mais si on peut faire d'une pierre deux coups...)
=> le protocole ROBERT rend plus difficile l'identification de celui qui se déclare positif par ceux qu'il a pu contaminer, mais pour que ce soit le plus efficace possible il faut empêcher la création de comptes multiples, ce qui n'est pas actuellement spécifié

Cochonou

  • Abonné Bbox fibre
  • *
  • Messages: 1 353
  • FTTH 2 Gb/s sur Saint-Maur-des-Fossés (94)
StopCovid
« Réponse #6 le: 22 avril 2020 à 00:21:23 »
Merci, c'est très intéressant. Je n'avais pas considéré la problématique d'un point de vue "attaquant possédant un réseau passif de sniffing". L'attaque consistant à présenter un jeu d'identifiants "uniques" auprès de chaque personne rencontrée pour pouvoir ensuite les tester individuellement est conceptuellement bien pensée - bien que peut-être contraignante à mettre en oeuvre en pratique. La caméra-sniffer semble très accessible (un "hobby du dimanche" avec un raspberry pi ?) et peut se montrer très efficace avec le protocole de Google/Apple. Une dans l'entrée du bâtiment pendant quelques jours, et on saura dire qui est infecté dans le passé comme le futur...

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
StopCovid
« Réponse #7 le: 22 avril 2020 à 03:39:28 »
Merci, c'est très intéressant. Je n'avais pas considéré la problématique d'un point de vue "attaquant possédant un réseau passif de sniffing". L'attaque consistant à présenter un jeu d'identifiants "uniques" auprès de chaque personne rencontrée pour pouvoir ensuite les tester individuellement est conceptuellement bien pensée - bien que peut-être contraignante à mettre en oeuvre en pratique. La caméra-sniffer semble très accessible (un "hobby du dimanche" avec un raspberry pi ?) et peut se montrer très efficace avec le protocole de Google/Apple. Une dans l'entrée du bâtiment pendant quelques jours, et on saura dire qui est infecté dans le passé comme le futur...
Il y a aussi quelque chose que je n'ai pas indiqué :
 - Les attaques passives ne nécessitent que de recevoir un paquet (d'où la possibilité de coupler avec une caméra, tant que la densité de personnes n'est pas trop importante).
 - Les attaques actives, qui sont les seules possibles avec le protocole ROBERT sans avoir accès au serveur, nécessitent que le téléphone de la personne ciblée considère qu'il y ait eu un contact, donc il faut émettre pendant une durée minimum (par exemple 10 à 15 min). Plus cette durée minimale est longue et aléatoire, plus l'attaque est difficile. Mais il reste possible de cibler ses voisins quand ils sont chez eux, et potentiellement les personnes présentes dans les locaux d'une entreprise en fonction des horaires de départ et d'arrivée (en émettant des identifiants uniques pendant 15 min, avec un décalage de 1 min par exemple, et en corrélant sur plusieurs jours).

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Application "StopCovid" pour tracer les contacts avec des malades Covid-19
« Réponse #8 le: 22 avril 2020 à 09:21:56 »
Des spécialistes en cryptographie, sécurité ou droit des technologies, notamment issus de l'Inria ont écrit un document qui récapitule les risques d'un application de traçage automatisé des contacts à l'aide d'une application sur smartphone.

Le PDF de 10 pages détaille :

- Le modèle dit «décentralisé» (protocoles DP3T, PACT et Apple/Google) : Lorsque le malade est diagnostiqué, il envoie à tout le monde la liste des pseudonymes émis ces derniers jours. Les protocoles de traçage décentralisés nécessitent la constitution d’un fichier des malades du COVID-19 : la liste des pseudonymes des malades est publique. Si les utilisateurs unissent leurs forces, ils peuvent reconstruire une information globale, comme dans les applications de détection de radars routiers. Par exemple, on ne peut empêcher l’apparition d’une application « améliorée » (appelons-la GeoTraceVIRUS) qui enregistrerait les endroits où se trouvent des malades, en plus de tracer les contacts directs avec des malades. Dans un système décentralisé, il suffit que GeoTraceVIRUS enregistre les coordonnées GPS en même temps que les messages Bluetooth qu’il reçoit. Quand un pseudonyme est déclaré malade, GeoTraceVIRUS permet de savoir exactement où il se trouvait lorsqu’il l’a reçu, et partage cette information avec les autres utilisateurs.

- Le modèle dit « centralisé » (protocole ROBERT) : Lorsque le malade est diagnostiqué, il envoie à l’autorité centrale la liste des pseudonymes qu’elle a enregistrés ces derniers jours. Cette liste des contacts à risque n’est pas diffusée et n’est connue que de l’autorité centrale. Dans ce modèle, les différents smartphones contactent chaque jour l’autorité centrale, et lui fournit la liste des pseudonymes qu’il a émis pour savoir si l’un d’entre eux figure dans la base de données des contacts à risque. Le cas échéant, il reçoit une notification. C'est le cas du protocole ROBERT, où l’autorité centrale calcule l’ensemble des pseudonymes. Le modèle centralisé nécessite de faire confiance à une autorité centrale. L’autorité peut exploiter la liste des contacts reçus par les «nouveaux» malades, et y détecter des individus qui ont été précédemment déclarés exposés au virus, constatant ainsi que ces derniers méprisent leur consigne de quarantaine.


Le traçage anonyme, dangereux oxymore - Analyse de risques à destination des non-spécialistes :
(cliquez sur la miniature ci-dessous - le document est au format PDF)


Des cas explicites et simples à comprendre sont donnés qui concernent aussi bien le modèle centralisé, que décentralisé. Par exemple l'entreprise RIPOUE souhaite recruter une personne pour un CDD. Elle veut s'assurer que le candidat ne tombe pas malade entre l'entretien d'embauche et la signature du contrat. Elle utilise donc un téléphone dédié qui est allumé seulement pendant l'entretien, et qui recevra une alerte si le candidat est testé positif plus tard.


D'autres aspects de sécurité, lié a l'activation sur tous les téléphones du Bluetooth sont creusés : Le simple fait d’activer le Bluetooth sur son téléphone pose des problèmes de sécurité et de respect de la vie privée, c’est d’ailleurs pourquoi il est généralement recommandé de le désactiver le plus souvent possible.
Son utilisation peut en effet ouvrir des failles de sécurité qui exploiteraient des bugs dans le système Bluetooth du téléphone. Concrètement, l’attaque Blueborne publiée en 2017 permettait justement de prendre le contrôle de nombreux équipements (ordinateurs, téléphone, ...) en exploitant ce type de bug. Si certains téléphones n’ont pas été mis à jour depuis 2017, activer le Bluetooth pourrait être très dangereux !


Enfin un site web a été mis en place : https://risques-tracage.fr/

Johannol

  • Abonné SFR THD (câble)
  • *
  • Messages: 1 148
  • Nantes 44
Application "StopCovid" pour tracer les contacts avec des malades Covid-19
« Réponse #9 le: 22 avril 2020 à 09:49:01 »
Avec le protocole ROBERT, l'état sait dès le début qui est qui (couple IP / Clef) donné à l'initialisation. De plus, par la suite, Alice va régulièrement demander la liste des contaminés pour sa clef.
Hors, il y a déjà des loi obligeant à garder les traces avec IP sur 1an minimum, et sauf si une exception est voté, qui s'appliquerait à StopCovid

Si l'état se dit qu'Alice est une dangereuse journaliste dont il faut connaitre les contacts, ou un dangereux Gillet Vert dont il faudrait connaitre les relations ainsi que les lieux de réunion, pas de problème: L'état sait qui est qui (grace aux IP et aux réquisitions dont les FAI ont l'obligation de répondre), qui fréquente qui avec StopCovid, et ou est qui avec la localisation via émetteurs où là aussi les opérateurs mobiles ont l'obligation de répondre.

A la fois, on pourrait imaginer ajouter de la confiance
- En créant au niveau de smartphone des clé changeant régulièrement
- Que interrogation de contamination ne soit pas fait avec la clé non tournante, mais avec l'ensemble des clefs des x derniers jours
- Que le serveur Stop Covid soit structurellement fait pour ne pas pouvoir stocker d'information > à x jours, par exemple 20jours. Des mode de stockage NoSQL sont conçu comme cela, et cela rendrait la purge structurelle.
- En créant une exception législative pour la conservation des traces coté serveur centrale. Et au contraire, une obligation de purge.
- Audit régulier par la CNIL + Tiers associatif non étatique (association de consommateur, Quadrature du Net, ...) , et capacité de la CNIL de fermer le service si manquement.


Mais non seulement je ne pense pas qu'un gouvernement, quel que soit la couleur, souhaitera se priver d'un instrument pareil [vu les loi votés depuis Jospin par tous les gouvernement et étendu ensuite en douce par décret], mais en plus cela ne servira à rien car il faudrait + de 70% de gens avec l'application installé pour que cela soit valable coté épidémie.


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Application "StopCovid" pour tracer les contacts avec des malades Covid-19
« Réponse #10 le: 22 avril 2020 à 09:52:53 »
La problématique technique du développement d’une application qui implémenterait le protocole ROBERT, c’est qu’elle a besoin d’un accès bas niveau au driver bluetooth, et le système d’exploitation n’offre pas cette possibilité aux applications (sauf peut-être après avoir rooté son smartphone). On risque donc d’être contraint de s’en remettre aux concepteurs des OS et donc à leur choix avec un modèle décentralisé (Apple / Google ont fait le choix du décentralisé).

À noter pour que cette application soit utile, sans même parler des risques, il faut :
1/ Qu’elle remonte les cas pertinents, sans trop de faux positifs (ex : détecter le téléphone du voisin à travers la cloison)
2/ Qu’elle soit installée par plus de 70% de la population (soit presque 100% des possesseurs de smartphones compatibles Bluetooth Low-Energy)

Aujourd’hui les sondages tel que celui de 01net montrent qu’une majorité de Français souhaitent ne pas installer cette application.

Bref, c'est pas gagné...

Johannol

  • Abonné SFR THD (câble)
  • *
  • Messages: 1 148
  • Nantes 44
Application "StopCovid" pour tracer les contacts avec des malades Covid-19
« Réponse #11 le: 22 avril 2020 à 10:28:50 »
Aujourd’hui les sondages tel que celui de 01net montrent qu’une majorité de Français souhaitent ne pas installer cette application.

Bref, c'est pas gagné...

Une majorité de français ne fait pas confiance à ce gouvernement, donc il est plutôt sain qu'ils ne souhaitent pas installer un truc pareil.
Ensuite, on peut se poser des questions sur des choix et gestion étatiques là où le virus n'a pas de frontière. Par exemple les britanniques utilisent le protocole Apple Google, donc lorsqu'ils viennent  dans leurs résidence en Bretagne/Normadie, ...

Si l'on souhaite une utilisation réelle et utile, il n'y a que l'installation automatique et forcée par Apple/Google qui pourrait atteindre les 70%. Est-ce souhaitable, c'est une autre question.