La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
OS mobile (Android, iOS,...) => Discussion démarrée par: lechuck le 21 avril 2020 à 13:30:26
-
Les autres sujets en lien avec le Coronavirus Covid-19 :
- Coronavirus Covid-19: Suivi de la pandémie (https://lafibre.info/bistro-sujet-libre/coronavirus/)
- Coronavirus Covid-19: Impact sur nos réseaux (saturations / incidents) (https://lafibre.info/bistro-sujet-libre/impact-sur-du-covid-19-sur-nos-reseaux/)
- Confinement Covid-19: Impact sur le réseau K-Net (charge + importante) (https://lafibre.info/k-net-fibre/covid-19-k-net/)
- Coronavirus Covid-19: Comment les FAI vont gérer l’afflux de télétravailleurs ? (https://lafibre.info/bistro-sujet-libre/comment-les-operateurs-vont-gerer-cet-aflux-de-teletravailleurs/)
- Coronavirus Covid-19: Magasins dévalisés de papier toilette et de pâtes ? (https://lafibre.info/bistro-sujet-libre/magasin-devalise/)
- Effet coronavirus sur les cours des opérateurs (https://lafibre.info/chiffres/effet-coronavirus-sur-les-cours-des-operateurs/)
- Coronavirus Covid-19: Canal+ gratuit chez Orange SFR Free Bouygues (https://lafibre.info/tv-numerique-hd-3d/covid-19-canal-gratuit-sur-toutes-les-box/)
- COVID-19:Free offre 20x fois plus de données 4G à ses abonnés mobiles 0€ et 2€ (https://lafibre.info/free-mobile/covid-19free-offre-20x-fois-plus-de-donnees-4ga-ses-abonnesmobiles-0et-2/)
- Visioconférence: Liste des instances gratuites et publiques de Framatalk / Jitsi (https://lafibre.info/navigateurs/visioconference/)
Je viens de voir qu'on vient à peine de se rendre compte que l'appli développée par l'INRIA (StopCovid) ne pourrait pas fonctionner sans permissions spéciales par Apple (en gros avoir le droit de faire de la détection Bluetooth même en background).
Je rajouterai même qu'il faudrait même que l'appli ne soit pas "tuée" par le système quand celui ci a besoin de ressources afin d'éviter de rater des "contacts".
Donc maintenant le gouvernement pleure auprès d'Apple pour que leur appli dispose de droits spéciaux. J'espère qu'ils sont au courant du problème depuis qu'ils ont lancé le projet tout de même et qu'ils ont un plan B.
En fait le plan B ca serait d'utiliser l'API Apple/Google qui assure une collecte en tâche de fond sans limitation. Mais manifestement en France on a décidé qu'on ferait mieux que les constructeurs de ces smartphones... Déconfinement dans 3 semaines, et j'ai l'impression qu'on ne sera pas prêt...
-
En fait le plan B ca serait d'utiliser l'API Apple/Google qui assure une collecte en tâche de fond sans limitation. Mais manifestement en France on a décidé qu'on ferait mieux que les constructeurs de ces smartphones... Déconfinement dans 3 semaines, et j'ai l'impression qu'on ne sera pas prêt...
En plus, le protocole ROBERT utilisé par StopCovid ne permet pas l'anonymat des contacts, car l'autorité centrale, l'état, sait qui est a proximité de qui, et combien de temps. Contrairement au protocole proposé par Google/Apple.
Avec le protocole ROBERT, l'application pourrait être utilisé par l'état vis à vis d'opposants politiques par exemple. Les bugs reports sur le protocole restent lettre morte sur le bug tracker, ou sont bottés en touche sous prétexte qu'il faut faire confiance en l'état, ce qui n'est pas bon signe pour justement donner confiance. ::)
-
En plus, le protocole ROBERT utilisé par StopCovid ne permet pas l'anonymat des contacts, car l'autorité centrale, l'état, sait qui est a proximité de qui, et combien de temps. Contrairement au protocole proposé par Google/Apple.
Avec le protocole ROBERT, l'application pourrait être utilisé par l'état vis à vis d'opposants politiques par exemple. Les bugs reports sur le protocole restent lettre morte sur le bug tracker, ou sont bottés en touche sous prétexte qu'il faut faire confiance en l'état, ce qui n'est pas bon signe pour justement donner confiance. ::)
J'ai lu assez vite les whitepapers respectifs, je n'ai pas vu de différence bien fondamentale entre les protocoles proposés, hormis qu'en cas de test positif au virus, ROBERT transmet au serveur les "identifiants" des personnes avec qui la personne infectée à été en contact, et Google/Apple transmet au serveur les "identifiants" du téléphone de la personne infectée.
Je n'ai pas vu de différence réelle de centralisation ou de décentralisation entre les deux approches. Du côté Google/Apple on a un serveur qui collecte les "identifiants" des personnes infectées (mais qui ne connait pas à qui appartient ces identifiants), du côté ROBERT on a un serveur qui collecte les "identifiants" des personnes ayant été en contact avec quelqu'un d'infecté (mais qui ne connait pas les identifiants de cette personne).
En fait la seule vraie différence semble être que dans le cas de ROBERT c'est le serveur qui attribue les identifiants tournants (mais de manière anonymisée), et que dans le cas de Google/Apple c'est le terminal qui détermine tout seul ses identifiants tournants (mais de manière aléatoire). L'anonymat des deux solutions semble falsifiable pour peu que l'autorité soit malveillante (il "suffit" que le serveur central n'anonymise pas les identifiants ou que le terminal choisisse ses identifiants de manière déterministe).
Du coup j'ai sûrement manqué quelque chose. Qu'est ce qui garantit une meilleure protection dans le cadre de Google/Apple que dans le cas de ROBERT ?
-
Tracing: les applications développées par Google et Apple incompatibles avec une grande partie du matériel sur le marché (https://www.freenews.fr/freenews-edition-nationale-299/tracing-les-applications-developpees-par-google-et-apple-incompatibles-avec-une-grande-partie-du-materiel-sur-le-marche?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+Freenews-Freebox+%28Freenews+%3A+L%27actualit%C3%A9+des+Freenautes%29) ?
(https://lafibre.info/images/smileys/@GregLand/cs.gif)
-
Tracing: les applications développées par Google et Apple incompatibles avec une grande partie du matériel sur le marché (https://www.freenews.fr/freenews-edition-nationale-299/tracing-les-applications-developpees-par-google-et-apple-incompatibles-avec-une-grande-partie-du-materiel-sur-le-marche?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+Freenews-Freebox+%28Freenews+%3A+L%27actualit%C3%A9+des+Freenautes%29) ?
(https://lafibre.info/images/smileys/@GregLand/cs.gif)
Honnêtement vu le vide sidéral de cet article, je ne vois pas l'intérêt de le partager. Il n'y a pas la moindre source, pas le moindre chiffre, aucune explication claire. Depuis le départ de Yoann, c'est devenu le quotidien de ce site.
On pourrait plutôt citer le Financial Times (https://www.ft.com/content/271c7739-af14-4e77-a2a1-0842cf61a90f) qui nous parle de 2bn de téléphones non compatibles.
2bn phones cannot use Google and Apple contact-tracing tech
The particular kind of Bluetooth “low energy” chips that are used to detect proximity between devices without running down the phone’s battery are absent from a quarter of smartphones in active use globally today, according to analysts at Counterpoint Research. A further 1.5bn people still use basic or “feature” phones that do not run iOS or Android at all.
Sauf que les chiffres collent pas là pour moi. Si on enlève les 1.5Md de featurephones aux 2Md non compatibles on arrive à 500M smartphones qui posent problème. Sauf que 500M c'est pas 25% du marché des smartphones (qui représente 3.5Md de téléphones) mais plutôt 14%.
Ensuite, je m'interroge sur ce chiffre qui parle des téléphones non compatibles BLE : on a du BLE depuis l'iPhone 4S chez Apple (2011), le GS3 chez Samsung (2012). Du coup 14% du parc de smartphone de 2020 ça me semble élevé.
A noter qu'une autre condition serait d'être sous Android 6.0 ou plus. Ce qui vire ~8% du parc Android dans le monde et ~4% en France.
Voilà la source pour les statistiques d'OS : https://gs.statcounter.com/
-
Du coup j'ai sûrement manqué quelque chose. Qu'est ce qui garantit une meilleure protection dans le cadre de Google/Apple que dans le cas de ROBERT ?
Du point de vue d'un observateur passif avec des sniffers :
- avec le protocole Google/Apple, il reconstitue les trajets des personnes positives (sans connaître leur identité) sur une journée (et celui qui a la main sur le serveur peut à priori lier toutes les journées), ou avec un sniffer muni d'une caméra il prend des photos qu'il pourra associer à des tests positifs par la suite
- avec ROBERT, sans la main sur le serveur l'observateur n'a aucune information, en revanche celui qui a accès au serveur (donc potentiellement l'Etat) peut suivre les trajets de TOUS les utilisateurs entre les sniffers (bien sûr ça reste anonyme, sauf à identifier par un autre moyen comme une caméra au niveau d'un sniffer, l'IP, ...)
=> le protocole ROBERT protège les personnes qui se déclarent positives vis à vis des observateurs passifs, mais à l'inverse il peut donner beaucoup de (meta-)données concernant tous les utilisateurs de l'application à l'Etat
Pour quelqu'un qui veut pouvoir identifier si les personnes avec qui il a été en contact sont testées positives par la suite :
- avec le protocole Google/Apple, on pourrait enregistrer les messages reçus par son téléphone, avec l'heure et la position : par la suite, si certains sont publiés, on peut faire le lien avec les personnes qu'on a rencontré
- avec ROBERT, pour faire la même chose il faut présenter une nouvelle identité à chaque contact (pour que quand le serveur notifie l'utilisateur qu'une de ses identités a été en contact avec une personne positive, il puisse deviner qui) : il est préférable d'empêcher la création de comptes multiples, mais ce n'est pas forcément facile sans casser l'anonymat (si le serveur retient l'IP ou le numéro de téléphone...). Sur GitHub j'ai proposé que l'enregistrement se fasse avec des codes aléatoires sous papier scellé distribués en mairie ou en boîte aux lettres en même temps que des masques (compliqué, mais si on peut faire d'une pierre deux coups...)
=> le protocole ROBERT rend plus difficile l'identification de celui qui se déclare positif par ceux qu'il a pu contaminer, mais pour que ce soit le plus efficace possible il faut empêcher la création de comptes multiples, ce qui n'est pas actuellement spécifié
-
Merci, c'est très intéressant. Je n'avais pas considéré la problématique d'un point de vue "attaquant possédant un réseau passif de sniffing". L'attaque consistant à présenter un jeu d'identifiants "uniques" auprès de chaque personne rencontrée pour pouvoir ensuite les tester individuellement est conceptuellement bien pensée - bien que peut-être contraignante à mettre en oeuvre en pratique. La caméra-sniffer semble très accessible (un "hobby du dimanche" avec un raspberry pi ?) et peut se montrer très efficace avec le protocole de Google/Apple. Une dans l'entrée du bâtiment pendant quelques jours, et on saura dire qui est infecté dans le passé comme le futur...
-
Merci, c'est très intéressant. Je n'avais pas considéré la problématique d'un point de vue "attaquant possédant un réseau passif de sniffing". L'attaque consistant à présenter un jeu d'identifiants "uniques" auprès de chaque personne rencontrée pour pouvoir ensuite les tester individuellement est conceptuellement bien pensée - bien que peut-être contraignante à mettre en oeuvre en pratique. La caméra-sniffer semble très accessible (un "hobby du dimanche" avec un raspberry pi ?) et peut se montrer très efficace avec le protocole de Google/Apple. Une dans l'entrée du bâtiment pendant quelques jours, et on saura dire qui est infecté dans le passé comme le futur...
Il y a aussi quelque chose que je n'ai pas indiqué :
- Les attaques passives ne nécessitent que de recevoir un paquet (d'où la possibilité de coupler avec une caméra, tant que la densité de personnes n'est pas trop importante).
- Les attaques actives, qui sont les seules possibles avec le protocole ROBERT sans avoir accès au serveur, nécessitent que le téléphone de la personne ciblée considère qu'il y ait eu un contact, donc il faut émettre pendant une durée minimum (par exemple 10 à 15 min). Plus cette durée minimale est longue et aléatoire, plus l'attaque est difficile. Mais il reste possible de cibler ses voisins quand ils sont chez eux, et potentiellement les personnes présentes dans les locaux d'une entreprise en fonction des horaires de départ et d'arrivée (en émettant des identifiants uniques pendant 15 min, avec un décalage de 1 min par exemple, et en corrélant sur plusieurs jours).
-
Des spécialistes en cryptographie, sécurité ou droit des technologies, notamment issus de l'Inria ont écrit un document qui récapitule les risques d'un application de traçage automatisé des contacts à l'aide d'une application sur smartphone.
Le PDF de 10 pages détaille :
- Le modèle dit «décentralisé» (protocoles DP3T, PACT et Apple/Google) : Lorsque le malade est diagnostiqué, il envoie à tout le monde la liste des pseudonymes émis ces derniers jours. Les protocoles de traçage décentralisés nécessitent la constitution d’un fichier des malades du COVID-19 : la liste des pseudonymes des malades est publique. Si les utilisateurs unissent leurs forces, ils peuvent reconstruire une information globale, comme dans les applications de détection de radars routiers. Par exemple, on ne peut empêcher l’apparition d’une application « améliorée » (appelons-la GeoTraceVIRUS) qui enregistrerait les endroits où se trouvent des malades, en plus de tracer les contacts directs avec des malades. Dans un système décentralisé, il suffit que GeoTraceVIRUS enregistre les coordonnées GPS en même temps que les messages Bluetooth qu’il reçoit. Quand un pseudonyme est déclaré malade, GeoTraceVIRUS permet de savoir exactement où il se trouvait lorsqu’il l’a reçu, et partage cette information avec les autres utilisateurs.
- Le modèle dit « centralisé » (protocole ROBERT) : Lorsque le malade est diagnostiqué, il envoie à l’autorité centrale la liste des pseudonymes qu’elle a enregistrés ces derniers jours. Cette liste des contacts à risque n’est pas diffusée et n’est connue que de l’autorité centrale. Dans ce modèle, les différents smartphones contactent chaque jour l’autorité centrale, et lui fournit la liste des pseudonymes qu’il a émis pour savoir si l’un d’entre eux figure dans la base de données des contacts à risque. Le cas échéant, il reçoit une notification. C'est le cas du protocole ROBERT, où l’autorité centrale calcule l’ensemble des pseudonymes. Le modèle centralisé nécessite de faire confiance à une autorité centrale. L’autorité peut exploiter la liste des contacts reçus par les «nouveaux» malades, et y détecter des individus qui ont été précédemment déclarés exposés au virus, constatant ainsi que ces derniers méprisent leur consigne de quarantaine.
Le traçage anonyme, dangereux oxymore - Analyse de risques à destination des non-spécialistes : (cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202004_stopcovid_risques_tracage.png) (https://lafibre.info/images/doc/202004_stopcovid_risques_tracage.pdf)
Des cas explicites et simples à comprendre sont donnés qui concernent aussi bien le modèle centralisé, que décentralisé. Par exemple l'entreprise RIPOUE souhaite recruter une personne pour un CDD. Elle veut s'assurer que le candidat ne tombe pas malade entre l'entretien d'embauche et la signature du contrat. Elle utilise donc un téléphone dédié qui est allumé seulement pendant l'entretien, et qui recevra une alerte si le candidat est testé positif plus tard.
(https://lafibre.info/images/doc/202004_stopcovid_risques_tracage.jpg)
D'autres aspects de sécurité, lié a l'activation sur tous les téléphones du Bluetooth sont creusés : Le simple fait d’activer le Bluetooth sur son téléphone pose des problèmes de sécurité et de respect de la vie privée, c’est d’ailleurs pourquoi il est généralement recommandé de le désactiver le plus souvent possible.
Son utilisation peut en effet ouvrir des failles de sécurité qui exploiteraient des bugs dans le système Bluetooth du téléphone. Concrètement, l’attaque Blueborne publiée en 2017 permettait justement de prendre le contrôle de nombreux équipements (ordinateurs, téléphone, ...) en exploitant ce type de bug. Si certains téléphones n’ont pas été mis à jour depuis 2017, activer le Bluetooth pourrait être très dangereux !
Enfin un site web a été mis en place : https://risques-tracage.fr/
-
Avec le protocole ROBERT, l'état sait dès le début qui est qui (couple IP / Clef) donné à l'initialisation. De plus, par la suite, Alice va régulièrement demander la liste des contaminés pour sa clef.
Hors, il y a déjà des loi obligeant à garder les traces avec IP sur 1an minimum, et sauf si une exception est voté, qui s'appliquerait à StopCovid
Si l'état se dit qu'Alice est une dangereuse journaliste dont il faut connaitre les contacts, ou un dangereux Gillet Vert dont il faudrait connaitre les relations ainsi que les lieux de réunion, pas de problème: L'état sait qui est qui (grace aux IP et aux réquisitions dont les FAI ont l'obligation de répondre), qui fréquente qui avec StopCovid, et ou est qui avec la localisation via émetteurs où là aussi les opérateurs mobiles ont l'obligation de répondre.
A la fois, on pourrait imaginer ajouter de la confiance
- En créant au niveau de smartphone des clé changeant régulièrement
- Que interrogation de contamination ne soit pas fait avec la clé non tournante, mais avec l'ensemble des clefs des x derniers jours
- Que le serveur Stop Covid soit structurellement fait pour ne pas pouvoir stocker d'information > à x jours, par exemple 20jours. Des mode de stockage NoSQL sont conçu comme cela, et cela rendrait la purge structurelle.
- En créant une exception législative pour la conservation des traces coté serveur centrale. Et au contraire, une obligation de purge.
- Audit régulier par la CNIL + Tiers associatif non étatique (association de consommateur, Quadrature du Net, ...) , et capacité de la CNIL de fermer le service si manquement.
Mais non seulement je ne pense pas qu'un gouvernement, quel que soit la couleur, souhaitera se priver d'un instrument pareil [vu les loi votés depuis Jospin par tous les gouvernement et étendu ensuite en douce par décret], mais en plus cela ne servira à rien car il faudrait + de 70% de gens avec l'application installé pour que cela soit valable coté épidémie.
-
La problématique technique du développement d’une application qui implémenterait le protocole ROBERT, c’est qu’elle a besoin d’un accès bas niveau au driver bluetooth, et le système d’exploitation n’offre pas cette possibilité aux applications (sauf peut-être après avoir rooté son smartphone). On risque donc d’être contraint de s’en remettre aux concepteurs des OS et donc à leur choix avec un modèle décentralisé (Apple / Google ont fait le choix du décentralisé).
À noter pour que cette application soit utile, sans même parler des risques, il faut :
1/ Qu’elle remonte les cas pertinents, sans trop de faux positifs (ex : détecter le téléphone du voisin à travers la cloison)
2/ Qu’elle soit installée par plus de 70% de la population (soit presque 100% des possesseurs de smartphones compatibles Bluetooth Low-Energy)
Aujourd’hui les sondages tel que celui de 01net montrent qu’une majorité de Français souhaitent ne pas installer cette application.
Bref, c'est pas gagné...
-
Aujourd’hui les sondages tel que celui de 01net montrent qu’une majorité de Français souhaitent ne pas installer cette application.
Bref, c'est pas gagné...
Une majorité de français ne fait pas confiance à ce gouvernement, donc il est plutôt sain qu'ils ne souhaitent pas installer un truc pareil.
Ensuite, on peut se poser des questions sur des choix et gestion étatiques là où le virus n'a pas de frontière. Par exemple les britanniques utilisent le protocole Apple Google, donc lorsqu'ils viennent dans leurs résidence en Bretagne/Normadie, ...
Si l'on souhaite une utilisation réelle et utile, il n'y a que l'installation automatique et forcée par Apple/Google qui pourrait atteindre les 70%. Est-ce souhaitable, c'est une autre question.
-
Si l'on souhaite une utilisation réelle et utile, il n'y a que l'installation automatique et forcée par Apple/Google qui pourrait atteindre les 70%. Est-ce souhaitable, c'est une autre question.
Je vais offrir un Apple à mon chien et le laisser courrir dans ce cas....
-
A noter que le PDF "Le traçage anonyme, dangereux oxymore Analyse de risques à destination des non-spécialistes" a été écrit par de nombreux chercheurs de l'INRIA dont Anne Canteaut, directrice de recherche, responsable scientifique de l'équipe-projet SECRET de l'Inria et présidente de la Commission d'Evaluation d'Inria. D'autres chercheurs à l'Inria sont co-auteurs : Lucca Hirschi, Steve Kremer, Matthieu Lequesne, Gaëtan Leurent, Léo Perrin, André Schrottenloher, Emmanuel Thomé et Christophe Vuillot, qui sont tous des chercheurs à l'Inria.
Toutefois la communication officielle de l'Inria est elle bien différente :
« Contact tracing » : Bruno Sportisse, PDG d’Inria, donne quelques éléments pour mieux comprendre les enjeux
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202004_inria_contact_tracing_bruno_sportisse.png) (https://lafibre.info/images/doc/202004_inria_contact_tracing_bruno_sportisse.pdf)
Présentation du protocole ROBERT (pour ROBust and privacy-presERving proximity Tracing) développé en commun par l'équipe PRIVATICS de l'Inria et Fraunhofer AISEC : (cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202004_inria_presentation_protocole_robert.png) (https://lafibre.info/images/doc/202004_inria_presentation_protocole_robert.pdf)
-
Avec le protocole ROBERT, l'état sait dès le début qui est qui (couple IP / Clef) donné à l'initialisation. De plus, par la suite, Alice va régulièrement demander la liste des contaminés pour sa clef.
Hors, il y a déjà des loi obligeant à garder les traces avec IP sur 1an minimum, et sauf si une exception est voté, qui s'appliquerait à StopCovid
Tu es sur qu'il y a des loi obligeant à garder les traces avec IP pour ce qui est remonté par StopCovid ?
Le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000023646013&dateTexte=&oldAction=rechJO&categorieLien=id) s'appliquerait ? (il précise l’article 6, paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164))
-
Tu es sur qu'il y a des loi obligeant à garder les traces avec IP pour ce qui est remonté par StopCovid ?
Merci pour le lien.
Spécifique à StopCovid non, mais il n'y a pas de raison à ce que celui ci en soit exclue, particulièrement lorsque tu regardes le II de l'article 6 de la loi du 21 juin 2004 qui s'y rapporte : https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000801164&idArticle=LEGIARTI000006421546&dateTexte=&categorieLien=cid
Il faudrait que StopCovid soit non seulement dispensé, mais ait interdiction de stocker les informations identifiants. En l'état, c'est très dangereux avec un modèle centralisé.
-
Il faudrait que StopCovid soit non seulement dispensé, mais ait interdiction de stocker les informations identifiants. En l'état, c'est très dangereux avec un modèle centralisé.
Il faudrait définir les frontières du service, sinon sans stocker aucun identifiants c'est la porte ouverte aux créations massives de comptes, et aux DDOS.
-
Spécifique à StopCovid non, mais il n'y a pas de raison à ce que celui ci en soit exclue, particulièrement lorsque tu regardes le II de l'article 6 de la loi du 21 juin 2004 qui s'y rapporte : https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000801164&idArticle=LEGIARTI000006421546&dateTexte=&categorieLien=cid
L'appli rentre dans le cadre de la définition juridique à laquelle s'applique cette loi ?
Article 1
(...)
On entend par communication au public en ligne toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur.
-
Pour le protocole D3PT, repose sur un traitement décentralisé des données. Pour savoir si on a rencontré une personne positive, le smartphone télécharge la liste des id du serveur et les compare sa base en locale.
Ce processus consomme-t-il beaucoup d'énergie en plus le bluetooth en permanent.
La solution Robert est aussi européenne dite PE-PPT . Savez vous la position d'autres pays?
-
Toutefois la communication officielle de l'Inria est elle bien différente :
« Contact tracing » : Bruno Sportisse, PDG d’Inria, donne quelques éléments pour mieux comprendre les enjeux[/size]
Le pauvre. Je ne vois pas comment il pourrait dire autre chose puisqu'il répond à une commande. Il ne va pas mordre la main qui le nourrit. :-X
C'est bien que les chercheurs aient publié à titre personnel les risques du trucs...
-
La solution décentralisée est bien plus dangereuse que la solution centralisée, mais oui, dans les deux cas, il y a des trous de sécurité. Toutefois l'application pourrait apporter plus de bénéfices que les risques.
En France, le protocole Robert et toutes les briques logicielles seront open source.
Il faut que la base de donnée doit hyper protégée, sans log des IP et contrôlée par une autorité indépendante qui s'assure que les données ne soient pas utilisé pour autre chose. Reste la problématique d’implémentation sur iOS.
-
La création de multi-comptes est au cœur de beaucoup des attaques proposées (par exemple l’entreprise ripoue qui a été postée par Vivien). Du coup, la solution de hwti avec distribution physique de clés pour générer des comptes est intéressante... mais également contraignante d’un point de vue adoption.
-
En Autriche, L’application “Stopp Corona”, lancée fin mars sous l’égide de la Croix-Rouge a été téléchargé 400 000 fois (c'est un pays de 8,9 millions d'habitants)
https://www.youtube.com/watch?v=9pJF7k4FEYs
-
FAQ de l’application Autrichienne “Stopp Corona”
(traduction Google)
Comment l'application peut-elle interrompre la chaîne d'infection ?
L'application Corona raccourcit le temps entre les symptômes d'une personne et le suivi de ses contacts. Cela réduit la fenêtre dans laquelle d'autres personnes peuvent être infectées. Les médecins officiels - qui effectuent désormais ce processus dans tous les cas - peuvent être soulagés. Bien sûr, plus les gens utilisent l'application, mieux elle fonctionne. Par conséquent: chaque téléchargement compte!
L'application est-elle open source ?
La divulgation générale du code source a déjà été décidée et est quelque peu retardée. La raison en est que l'ensemble du développement s'est déroulé extrêmement rapidement et sous une grande pression temporelle. En conséquence, le temps a jusqu'à présent été investi principalement dans les fonctionnalités et la sécurité de l'application, et il n'y a pas encore assez de temps pour préparer la documentation pour le développement de la manière qui est non seulement courante pour un projet open source, mais également nécessaire pour comprendre le code faire. En raison du grand intérêt pour cette application et des questions techniques connexes, l'équipe de développeurs ne serait pas en mesure de répondre à un grand nombre (attendu) de demandes dans la situation actuelle sans une documentation bien préparée. Nous vous demandons votre compréhension. La possibilité existera certainement
Jusqu'à ce que la documentation et le code source soient publiés prochainement, nous aimerions toujours obtenir des commentaires sur le code source. Afin que nous puissions y faire face, nous avons sélectionné les organisations suivantes et mis à votre disposition le code source pour vérification préalable:
- Epicenter.works
- Noyb.eu
- Recherche SBA
- Université de Vienne
La sélection a été effectuée parce que ces organisations ont déjà montré au public ou à nous un intérêt particulier pour les détails techniques de l'application et les analysent sur une base pro bono, comme vous pouvez le voir dans cet exemple .
Et la protection des données ?
La protection des données est très importante pour la Croix-Rouge. Aucune donnée personnelle ne doit être fournie pour utiliser l'application. Les contacts des utilisateurs ne sont enregistrés que sur leur terminal. Ils ne sont pas accessibles à la Croix-Rouge et aucune conclusion ne peut être tirée sur les rencontres. Si vous vous inscrivez comme malade, nous vous demanderons votre numéro de téléphone portable et vous enverrons un TAN comme confirmation. En cas de maladie, tous les membres de la chaîne de contacts reçoivent un message anonyme. Les données personnelles, telles que le nom ou le numéro de téléphone portable des malades, ne seront pas transmises.
Nous tenons à déclarer expressément qu'il n'y a pas de transmission de données personnelles traitées lors de l'utilisation de l'application Stop Corona à UNIQA.
La première évaluation de l'application Stopp Corona a abouti à un résultat très positif en termes de conformité aux exigences d'une protection adéquate des données: Plus d'informations peuvent être trouvées ici .
Pour des informations détaillées sur la protection des données et l'application Stop Corona, veuillez consulter les informations sur la protection des données de l'application . Vous pouvez également trouver le rapport sur l'analyse d'impact de la protection des données (rapport DSFA) ici.
En étroite collaboration avec la Croix-Rouge et Accenture GmbH, l'équipe du Research Institute - Digital Humanrights Center a rapidement réalisé une évaluation de l'impact de la protection des données et a veillé à ce que l'application Stop Corona soit mise en œuvre conformément au RGPD. Vous pouvez trouver toutes les informations ici.
Comment l'application peut-elle interrompre la chaîne d'infection?
L'application Corona raccourcit le temps entre les symptômes d'une personne et le suivi de ses contacts. Cela réduit la fenêtre dans laquelle d'autres personnes peuvent être infectées. Les médecins officiels - qui effectuent désormais ce processus dans tous les cas - peuvent être soulagés. Bien sûr, plus les gens utilisent l'application, mieux elle fonctionne. Par conséquent: chaque téléchargement compte!
Pourquoi l'application est-elle utile si vous gardez vos distances ?
Garder une distance est toujours le meilleur moyen de se protéger des infections. Néanmoins, il existe des situations dans lesquelles un contact local plus étroit ne peut être évité. Par exemple, un voyage en train, se déplacer en utilisant les transports en commun, des réunions au travail ou dans des professions dans lesquelles le contact avec les gens ne peut être évité que dans une mesure limitée. Exactement alors, la mise en réseau des contacts via l'application est cruciale.
Pourquoi seuls mes contacts des deux derniers jours sont-ils informés ?
Si des symptômes surviennent chez une personne indiquant le virus corona, nous savons d'après les rapports actuels que l'infection peut s'être produite jusqu'à deux jours avant l'apparition des premiers symptômes. Par conséquent, tous vos contacts des deux derniers jours sont informés de manière anonyme, plus précisément, les personnes avec qui vous avez eu des contacts au cours des 54 dernières heures.
Est-ce suffisant si je fais la poignée de main numérique une fois par personne ?
Malheureusement non. Si vous rencontrez à nouveau la personne pour une période de deux jours, vous devez renouveler votre poignée de main numérique. C'est la seule façon dont l'application peut vous informer le plus rapidement possible.
Dois-je enregistrer les rencontres avec ma famille ?
Avec les gens avec qui vous vivez au quotidien, il n'est pas nécessaire de créer un réseau via l'application. Parce que vous remarqueriez toute maladie de ces personnes de toute façon. Il serait bien sûr important que tous les membres de la famille notent leurs rencontres restantes en dehors de la famille principale dans leur journal de contact.
Avec qui dois-je échanger une poignée de main numérique ?
Avec toutes ces personnes avec qui vous entrez en contact ou les rencontrez localement. Un piéton qui passe devant vous, probablement pas, mais beaucoup de gens avec qui vous voyagez dans les transports publics, des collègues de travail, des partenaires de rencontre ou d'autres contacts professionnels ou privés qui ne peuvent être évités.
Comment cela fonctionne-t-il exactement avec la prise de contact automatique ?
Tout comme auparavant, il s'agit de documenter une rencontre entre vous et une autre personne au moyen d'une poignée de main numérique si la personne descendait en dessous de la distance et qu'elle était ensemble au même endroit pendant un certain temps. Cette mise en réseau peut désormais également avoir lieu automatiquement en donnant votre consentement. Bien sûr, vous pouvez toujours simplement échanger manuellement une poignée de main numérique. Même avec la poignée de main automatique, aucune donnée personnelle n'est transmise, seule la rencontre est documentée. Si une infection corona est suspectée, que la poignée de main ait été manuelle ou numérique, les personnes avec lesquelles elles ont été en contact au cours des 54 dernières heures seront prévenues afin d'interrompre la chaîne d'infection le plus rapidement possible.
Quand exactement une poignée de main automatique est-elle déclenchée ?
Une poignée de main est toujours échangée automatiquement si vous et une personne êtes tombés en dessous d'une certaine distance minimale et cela se déroule sur une plus longue période de temps (par exemple environ <2 m pendant plus de 15 min). Si tel est le cas, une poignée de main est échangée entre les appareils et la mise en réseau a lieu.
La prise de contact automatique peut-elle également arriver à plusieurs personnes en même temps ?
Si vous autorisez la prise de contact automatique dans l'application, il y a une documentation automatique de tous vos contacts, qui d'une part ont également installé l'application et sont en contact avec eux sous la distance minimale et depuis longtemps. Si tel est le cas, la documentation de plusieurs rencontres peut avoir lieu simultanément.
La prise de contact automatique fonctionne-t-elle sur tous les appareils ?
La prise de contact automatique nécessite un émetteur et un récepteur. Les exigences sont les suivantes:
- un paramètre Bluetooth actif
- une connexion internet
- l'application doit être exclue de l'optimisation de la batterie du fabricant
Lorsque l'application est au premier plan (à l'écran), l'envoi et la réception fonctionnent lorsque les capteurs sont présents et activés. Si l'application s'exécute en arrière-plan, un appareil Android peut envoyer et recevoir, mais un appareil iOS peut uniquement envoyer. Par conséquent, nous vous recommandons de vérifier si l'enregistrement automatique a réussi après avoir rencontré la poignée de main manuelle. Dans ce cas, les contacts sont déjà enregistrés.
Qu'en est-il des nombres à quatre chiffres qui changent à chaque poignée de main ?
Chaque fois que l'application est utilisée pour la négociation numérique, l'application génère un nombre aléatoire en arrière-plan. Les appareils pour la prise de contact commune sont identifiés par ces numéros. Parfois, cela peut différer entre les systèmes d'exploitation Android et iOS, mais cela ne fait aucune différence pour l'utilisation de l'application.
J'ai reçu une notification indiquant qu'un de mes contacts a une infection corona ou est suspecté d'être malade, que dois-je faire ?
L'application est un support pour traverser les chaînes d'infection plus rapidement. Par conséquent, si vous recevez le message qu'un de vos contacts a Corona ou est soupçonné d'être malade, il est important que vous contactiez maintenant le moins de personnes possible. Dans le meilleur des cas et si possible, ils se mettent donc en auto-quarantaine. Vérifiez également si des symptômes apparaissent et, si nécessaire, contactez votre médecin de famille ou le 1450.
Pourquoi le partage de position doit-il être effectué sur les appareils Android ?
La poignée de main automatique utilise la technologie Bluetooth pour la détection des appareils dans votre région. Pour les appareils Android, vous autorisez cela via le partage de position. Vos données de localisation ne seront ni interrogées ni traitées. Si vous n'êtes pas d'accord, vous pouvez enregistrer des rencontres à l'aide d'une poignée de main manuelle.
Pourquoi l'application souhaite-t-elle utiliser mon microphone ?
L'application nécessite les autorisations mentionnées pour localiser les smartphones dans votre région avec lesquels vous pourrez ensuite vous connecter. techniquement, cela se fait en utilisant Google à proximité. Afin de déterminer les distances spatiales entre les partenaires potentiels de prise de contact, votre smartphone émet des tonalités ultrasoniques inaudibles enregistrées par les microphones des autres utilisateurs de votre région. Ce processus ne nécessite pas de connexion Internet pour la communication entre les appareils et ne transfère aucune donnée personnelle à des tiers. La fonction Bluetooth de votre appareil ne s'associe pas avec d'autres appareils, mais répertorie les appareils près de chez vous à court terme.
La prise de contact automatique nécessite-t-elle également Bluetooth et un microphone ?
Seul Bluetooth est requis pour la prise de contact automatique.
Quand dois-je fournir mon numéro de portable ?
Vous n'avez pas à fournir votre numéro de téléphone mobile lors de l'enregistrement ou de l'installation de l'application Stop Corona. Aucune autre donnée personnelle n'est collectée auprès de vous ici. Vous n'avez qu'à fournir votre numéro de téléphone mobile lorsque vous signalez une infection corona confirmée médicalement via l'application Stop Corona.
Comment l'application affecte-t-elle la consommation de la batterie ?
La technologie «Bluetooth Low Energy» est utilisée pour la prise de contact automatique. Une augmentation de la consommation de batterie est envisageable, mais n'a pas été remarquée lors de la phase de test
Et la protection des données ?
La protection des données est très importante pour la Croix-Rouge. Aucune donnée personnelle ne doit être fournie pour utiliser l'application. Les contacts des utilisateurs ne sont enregistrés que sur leur terminal. Ils ne sont pas accessibles à la Croix-Rouge et aucune conclusion ne peut être tirée sur les rencontres. Si vous vous inscrivez comme malade, nous vous demanderons votre numéro de téléphone portable et vous enverrons un TAN comme confirmation. En cas de maladie, tous les membres de la chaîne de contacts reçoivent un message anonyme. Les données personnelles, telles que le nom ou le numéro de téléphone portable des malades, ne seront pas transmises.
Nous tenons à déclarer expressément qu'il n'y a pas de transmission de données personnelles traitées lors de l'utilisation de l'application Stop Corona à UNIQA.
La première évaluation de l'application Stopp Corona a abouti à un résultat très positif en termes de conformité aux exigences d'une protection adéquate des données: Plus d'informations peuvent être trouvées ici .
Pour des informations détaillées sur la protection des données et l'application Stop Corona, veuillez consulter les informations sur la protection des données de l'application . Vous pouvez également trouver le rapport sur l'analyse d'impact de la protection des données (rapport DSFA) ici.
Mes données sont-elles utilisées de manière anonyme ou pseudonyme? Qu'est-ce que cela signifie réellement ?
Votre confidentialité est très importante pour nous, afin que vous puissiez faire confiance à juste titre à l'application. Nous avons donc conçu l'application pour qu'elle recueille le moins de données possible. L'affirmation est que nous ne pouvons pas vous identifier tant que vous ne signalez pas d'infection - alors seulement nous enregistrerons votre numéro de téléphone portable pendant 30 jours afin d'éviter toute utilisation abusive dans la mesure du possible. Sinon, nous ne connaissons qu'une identification d'utilisateur unique (UUID), qui n'est pas liée à d'autres données. Ce n'est qu'à partir de ce numéro et des données dont nous disposons autrement que nous ne pouvons pas savoir qui vous êtes. Cela ne s'applique pas aux 30 jours après un rapport d'infection, vous devez ici donner des raisons valables si votre numéro de téléphone doit être supprimé avant les 30 jours suivant le rapport d'infection. Sinon, nous n'avons aucun moyen Identifiez-vous, comprenez vos mouvements ou vos contacts sociaux. Dans l'utilisation courante, cela s'appelle un traitement anonyme, mais selon une compréhension juridique stricte du terme, ce n'est pas tout à fait correct. Légalement correct, vos données sont (extrêmement élevées) pseudonymisées.
La jurisprudence de la Cour de justice de l'UE ( "CJCE RS Breyer" ) est ici très stricte pour de bonnes raisons. Même de petites probabilités suffisent pour les classer comme données personnelles ou pseudonymisées. Même si une référence personnelle ne pouvait être trouvée légalement que dans des circonstances exceptionnelles et rares - si vous "sortez littéralement tous les arrêts". À l'avenir, nous ne parlerons donc que de données pseudonymisées. Pour la distinction scientifiquement difficile entre la pseudonymisation et l'anonymisation dans les zones frontalières, il y aura bientôt une fiche d'information séparée avec d'autres liens.
-
Mais quelle différence fait-on entre "poignée de main numérique" et "poignée de main automatique" ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
-
L'application Autrichienne semble proposer un mode manuel où tu fais une "poignée de main" (échange de pseudo) manuellement avec ton voisin.
-
Après le Chloroquine , c'est maintenant le traçage,
Un consortium de chercheurs développant vient de se disloquer.
https://www.lemonde.fr/planete/article/2020/04/23/covid-19-les-applications-de-tracage-des-malades-divisent-les-chercheurs-en-europe_6037513_3244.html
Le traçage anonyme, dangereux oxymore - Analyse de risques à destination des non-spécialistes :[/size] (cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202004_stopcovid_risques_tracage.png) (https://lafibre.info/images/doc/202004_stopcovid_risques_tracage.pdf)
-
Le Conseil national du numérique vient de publier son avis sur StopCOVID
Le Conseil national du numérique est une commission consultative indépendante. Il est chargé d'étudier les questions relatives au numérique, en particulier les enjeux et les perspectives de la transition numérique de la société, de l'économie, des organisations, de l'action publique et des territoires.
En réponse à sa saisine par le secrétaire d’État chargé du Numérique le 17 avril dernier, le Conseil national du numérique rend un avis favorable sur l’application StopCOVID.
Cet avis se fonde sur trois éléments :
- L’application peut s’avérer utile dans la lutte contre la pandémie, en tant qu’élément d’une stratégie plus globale. Une telle application doit être unique et spécifiée par l’État afin de garantir sa souveraineté numérique.
- Une série de conditions doivent être assurées afin de garantir l’intérêt général et l'État de droit. Elles touchent à la confiance des citoyens, qui doit s’appuyer sur la transparence et l’indépendance du contrôle de l’application, ainsi que sa limitation dans le temps et la reconnaissance de son caractère exceptionnel.
- L’inclusion, l’accessibilité et la loyauté de l’information sont les facteurs-clés de la réussite de son déploiement. À ce titre, l’accent doit être mis sur l’expérience utilisateur de l’application, l’accompagnement des publics fragiles ou éloignés du numérique et la mobilisation des acteurs de la médiation numérique.
Dans un effort de pédagogie et afin d’éclairer un débat passionnel, le Conseil détaille ses positions en proposant plusieurs pistes de réponses sur des problématiques technique, sociétale, d’acceptabilité, de confiance et de communication soulevées par l’application.
Afin d’accompagner son avis, le Conseil émet quinze recommandations, parmi lesquelles :
- Créer un comité de pilotage, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application.
- Renommer l’application « AlerteCOVID » pour ne pas lui faire porter de fausses promesses.
- Favoriser une seule application pour la France, sous l’autorité du Ministère de la Santé.
- Encadrer l’application par un décret fixant les conditions de sa mise en œuvre, sa durée dans le temps et des garanties sur la protection des données.
- Clarifier les procédures à suivre en cas de réception d’une notification ou de test positif .
- Organiser des séances de questions-réponses entre les citoyens et les responsables politiques, par exemple à travers des directs sur des médias généralistes (sur les mêmes modalités, organiser des séances à destination de la communauté technique et de la médiation).
- Mobiliser les acteurs de terrain (collectivités, structures de médiations, associations) pour évaluer les besoins et accompagner les plus éloignés du numérique, voire participer à leur équipement.
Comme toutes les organisations mobilisées pour accompagner la décision collective dans cette période de crise sanitaire, le Conseil rappelle qu’il n’est qu’en mesure de fournir une lecture sous forme de « photographie », représentative de ses connaissances à la date de sa publication. Le développement de l'application et de toutes les briques qui la composent n'est pas terminé.
L'avis complet : (cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202004_cnnum_avis_covid19.png) (https://lafibre.info/images/doc/202004_cnnum_avis_covid19.pdf)
-
Je n'ai toujours pas confiance sur l'anonymat d'une telle démarche ! (https://lafibre.info/images/smileys/@GregLand/ed.gif)
-
lemonde.fr :
Berlin fait volte-face sur une application de traçage nationale et se rapproche de Google et d'Apple
Le gouvernement allemand a décidé, dimanche, de changer son fusil d'épaule concernant son application de traçage de porteurs du coronavirus. Selon le ministre allemand de la santé, Jens Spahn, et le chef de cabinet de la chancelière Angela Merkel, Helge Braun, Berlin privilégie désormais une « architecture décentralisée » qui permettrait de stocker les données des utilisateurs sur leur propre téléphone plutôt que dans une base de données centrale. Jusqu'ici, l'Allemagne étudiait, comme la France, l'option d'une application basée sur une infrastructure plus centralisée qui a fait l'objet de critiques pour son défaut de protection de la vie privée.
A l'instar de la France, l'Allemagne cherche à se prémunir d'une relance de l'épidémie lors du déconfinement et étudie ce type de dispositif, qui repose sur la technologie Bluetooth permettant à des smartphones de communiquer entre eux.
Jusqu'à présent, Berlin travaillait sous l'égide d'un consortium scientifique européen, PEPP-PT, fort de 130 scientifiques dont des experts de l'institut de recherche allemand Fraunhofer et de l'Institut national de santé publique Robert-Koch. Ces derniers avaient privilégié une solution dans laquelle les données devaient être stockées sur un serveur central, une solution qui limite certains risques mais suscite des craintes que des gouvernements récupèrent ces données personnelles et s'en servent à des fins de surveillance.
Dans une lettre ouverte publiée en début de semaine, quelque 300 universitaires ont exhorté les gouvernements à rejeter cette approche centralisée au profit d'une autre, plus décentralisée, que soutient notamment Apple et Google. Les deux firmes ont annoncé des modifications en ce sens de leurs logiciels, qui équipent la quasi-totalité des téléphones dans le monde.
-
J'étais étonné du protocole centralisé avec les allemands, cela n'aura pas tenu ;D
Sortons le Pop Corn et voyons ce que la France va faire. Allons nous changer pour notre protocole "européen" ? Va t'on faire plier Google et Apple avec un protocole Européen Français?
-
Vu la communication de Cédric O sur l'avis de la CNIL, qui retient surtout le "oui" du "oui, à condition ...", et le fait que la présentation au députés suivie d'un débat et d'un vote (qu'ils n'avaient pas prévu au départ) mardi sera noyée dans les annonces générales du déconfinement (et donc pas de vote dédié), je crois que la décision est prise...
Google et Apple feront des boucs émissaires parfaits en cas d'échec de l'application.
-
Berlin fait volte-face sur une application de traçage nationale et se rapproche de Google et d'Apple
Le journaliste est ambiguë, ce n'est pas la solution d'Apple/Google qui est choisie mais DP-3T ( https://github.com/DP-3T/documents ) mis au point par un consortium européen émanant principalement de l'école polytechnique de Lausanne (Suisse).
C'est une approche décentralisée comme celle d'Apple/Google mais il y a des différences: https://github.com/DP-3T/documents/issues/128
Je n'ai pas creusé plus pour voir si c'est vraiment différent ou surtout si Apple/Google doivent être impliqués pour déployer la solution.
-
En comparaison, en Australie ça semble être une appli dérivée de celle de Singapour.
L'installation est sur la base du volontariat, mais elle demande le nom et le numéro de téléphone (+vérification SMS) dès le début, officiellement pour le travail des enquêteurs.
Et avec potentiellement une obligation légale de confinement pour les cas contacts.
https://twitter.com/G1NCHY/status/1254376640357908481
-
J'espère que vous ne m'en voudrez pas ;D
(https://lafibre.info/os-mobile/stopcovid/?action=dlattach;attach=82793)
-
Je me pose des questions sur l'implémentation Apple / Google : Si je comprends bien, la génération, la diffusion radio et la collecte radio des ID sont embarquées dans l'OS même et qu'elles démarrent dès la mise à jour des OS peu importe que l'utilisateur ait installé l'app de contact tracing ou pas ?
Le suivi s'activerait dès que l'utilisateur accepte la mise à jour du système d'exploitation, même si a décidé de ne pas installer une application de suivi des contacts!
Even though the data collection related to contact tracing starts as soon as you accept the operating system update, real contact tracing only starts to happen when people install a contact tracing app that uses the API to find contacts based on the data phones have already collected. But this assumes that both Apple and Google indeed refrain from offering other apps access to the contact tracing platform (through the API) through force or economic incentives, or suddenly decide to use the platform themselves. GACT creates a dormant functionality for mass surveillance, that can be turned on with the flip of a virtual switch at Apple or Google HQ.
at some point in time operating system updates (through Google Play Services updates in the case of Android) will contain the new contact tracing code, ensuring that all users of a modern iPhone or Android smartphone will be tracked as soon as they accept the OS update. (Again, to be clear: this happens already even if you decide not to install a contact tracing app!)
This generating, broadcasting and collecting proximity identifiers happens as soon as users install an Android or iOS update containing the new standard. It is important to note here that this is not limited to users that actually have a Covid-19 tracing app installed.
Extrait de https://blog.xot.nl/2020/04/19/google-apple-contact-tracing-gact-a-wolf-in-sheeps-clothes/
-
https://www.nextinpact.com/news/108892-covid-19-comment-google-et-apple-veulent-generaliser-tracage-contacts-par-bluetooth.htm
Vers la mi-mai, les utilisateurs auront le choix d’activer volontairement, via une application tierce, une fonction de traçage des contacts. Par « contact », on entend les personnes croisées. Le fonctionnement en est simple.
Ca nécessite déjà une mise à jour, pour ajouter l'API.
D’ici quelques mois, Android et iOS intègreront de manière plus approfondie la technologie. Devra-t-on pour cela attendre les prochaines versions majeures à la rentrée de septembre ? Possible, même si cela paraît assez tardif.
La principale différence est qu’il n’y aura normalement plus besoin d’application spécifique pour exploiter le traçage Bluetooth. On n’en sait encore guère plus sur ce point, mais la possibilité est prévue que les gouvernements puissent utiliser leurs propres serveurs pour gérer les données sur leur territoire.
Effectivement, cette 2ème phase est très floue...
Mais il faut dans tous les cas un système pour envoyer les clés des 15 derniers jours quand une personne est testée positive.
C'est uniquement à ce moment là que tout le monde, en téléchargeant les données du serveur, peut savoir s'il a été en contact, et potentiellement quand / où s'il a enregistré l'information (et donc retracer une journée de déplacements pour celui qui a un réseau de sniffers).
Sans cet envoi, les identifiants générés sur le téléphone changent toutes les 15 minutes et ne peuvent pas être reliés entre eux.
-
Ils n'ont pas fait l'effort de lire la source chez NI ?
https://www.apple.com/covid19/contacttracing/
puis
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.0.pdf
In the second phase, available in the coming months, this capability will be introduced at the
operating system level to help ensure broad adoption, which is vital to the success of contact
tracing. After the operating system update is installed and the user has opted in, the system will
send out and listen for the Bluetooth beacons as in the first phase, but without requiring an app
to be installed. If a match is detected the user will be notified, and if the user has not already
downloaded an official app they will be prompted to download an official app and advised on
next steps. Only public health authorities will have access to this technology and their apps
must meet specific criteria around privacy, security, and data control.
phase 2: l'OS s'occupe du téléchargement des balises et notifie l'utilisateur s'il a croisé une de ces balises. La notification invite l'utilisateur a installer une app (liste par pays sans doute). S'il a deja l'app installé ca doit sans doute la lancer directement.
Un peu donc comme sous Windows quand on double click un type de fichier inconnu ca demande la premiere fois qu'elle application on veut utiliser voir installer.
Apres d'ici la maj dans l'OS il va se passer des mois les choses/specs peuvent encore changer.
Perso je ne vois pas trop l'interet de mettre cela dans l'OS si y'a un opt-in... et sans opt-in c'est intrusif et pas le role d'un OS. Meme si l'API ajoutée aux OS ne sera utilisable que par les apps validées.
-
Il reste que pour notifier l'utilisateur, il faut que l'OS se connecte de lui-même au serveur pour télécharger les clés des personnes qui se sont déclarées positives à l'aide de l'application (il y a donc un lien entre les deux).
Sachant que pour éviter les fausses déclarations, il faut que ça soit subordonné à un test ou diagnostic médical, donc le serveur doit être mis en place par les autorités de santé, ou en lien avec celles-ci pour donner les "autorisations" pour l'envoi.
-
Il reste que pour notifier l'utilisateur, il faut que l'OS se connecte de lui-même au serveur pour télécharger les clés des personnes qui se sont déclarées positives à l'aide de l'application (il y a donc un lien entre les deux).
pourquoi l'OS ? c'est comme relever ton courrier ou lire tes tweets, ce n'est pas l'OS qui fait cela et l'OS n'a pas de code spécifique utilisé par les apps gmail ou twitter.
Je ne vois pas ou un détail m'échappe.
-
Perso je ne vois pas trop l'interet de mettre cela dans l'OS si y'a un opt-in... et sans opt-in c'est intrusif et pas le role d'un OS. Meme si l'API ajoutée aux OS ne sera utilisable que par les apps validées.
Pour obtenir une couverture plus large, il est plus simple de valider une popup (voire une notification régulière), que d'aller installer une application.
Bien sûr, cela ne concernerait pas tous les smartphones pour autant : il faut un support BLE, une version minimale d'Android pour avoir les Play Services à jour (et que l'appareil soit certifié, et pas sur une ROM sans gapps bien sûr), et une connexion internet (wifi par défaut, mobile aussi suivant le réglage des mises à jours d'applications).
pourquoi l'OS ? c'est comme relever ton courrier ou lire tes tweets, ce n'est pas l'OS qui fait cela et l'OS n'a pas de code spécifique utilisé par les apps gmail ou twitter.
Je ne vois pas ou un détail m'échappe.
Je dis que pour que l'OS puisse notifier l'utilisateur sans avoir besoin que l'application soit installée, comme ils semblent vouloir faire dans la 2ème phase, il faut qu'il contacte le serveur lui-même (et qu'il connaisse l'url donc).
-
Pour obtenir une couverture plus large, il est plus simple de valider une popup (voire une notification régulière), que d'aller installer une application.
oui y'a mais y'a un opt-in apres la maj de l'OS...
After the operating system update is installed and the user has opted in,
donc comme je disais opt-in dans l'OS ou installer une app ca revient au meme en terme de 'couverture' non ?
-
Un opt-in dans une mise à jour, ce serait le téléphone qui présente spontanément (sur Android, pour iOS ce serait peut-être au reboot après mise à jour) un écran "Voulez-vous activer le suivi Covid19 (CGU de 3 pages que presque personne ne lit) ? oui / pas maintenant / jamais", voire même sans l'option jamais (avec donc la demande qui revient de temps en temps sous forme d'écran ou de notification).
Il y a plus de chances que l'utilisateur valide (peut-être même par réflexe...), alors même qu'il n'aurait pas fait l'effort de rechercher l'application officielle et de l'installer.
-
si c'est 'juste' pour ca il suffit qu'Apple et Google modifient le code de leur stores respectifs (App Store et Play Store qui sont updatés indépendamment de l'OS) pour faciliter l'installation d'une app officielle par pays (via une simple acceptation de notification). Ca se fait en quelques jours et c'est pushable sur quasi tout le parc de smartphones. D'un point de vue UX c'est pareil.
Alors qu'une nouvelle version de l'OS c'est pas du meme niveau et dans le monde Android ca ne dépent pas que de Google...
-
si c'est 'juste' pour ca il suffit qu'Apple et Google modifient le code de leur stores respectifs (App Store et Play Store qui sont updatés indépendamment de l'OS) pour faciliter l'installation d'une app officielle par pays (via une simple acceptation de notification). Ca se fait en quelques jours et c'est pushable sur quasi tout le parc de smartphones. D'un point de vue UX c'est pareil.
Alors qu'une nouvelle version de l'OS c'est pas du meme niveau et dans le monde Android ca ne dépent pas que de Google...
Je ne suis pas DEV Android, donc désolé de l'imprécision, mais j'avais compris que vu que les fabriquant ne mettent pas à jour les OS, Google avait mis en place une couche intermédaire avec une partie d'OS+API appelé "Services Google Play", mettable à jour via le store. Et c'est là dedans que Google a tendance à fourrer de plus en plus de truc car cela permet de by-passer la passivité des fabriquant.
https://play.google.com/store/apps/details?id=com.google.android.gms&hl=fr
-
Je pense que les deux phases sont via les services google play, vu le temps pour qu'une version majeure d'Android soit déployée sur une part conséquente du parc...
Côté Apple, il faut à priori une mise à jour système dès la première phase, pour ajouter les APIs.
si c'est 'juste' pour ca il suffit qu'Apple et Google modifient le code de leur stores respectifs (App Store et Play Store qui sont updatés indépendamment de l'OS) pour faciliter l'installation d'une app officielle par pays (via une simple acceptation de notification). Ca se fait en quelques jours et c'est pushable sur quasi tout le parc de smartphones. D'un point de vue UX c'est pareil.
Pour une simple notification (pas un écran bloquant), c'est suffisant effectivement.
Pour Google, pousser une mise à jour des services ou de l'application, ça ne doit pas changer grand chose (dans les deux cas c'est automatique si le smartphone est en wifi, et bien sûr est configuré avec un compte Google).
-
Je ne suis pas DEV Android, donc désolé de l'imprécision, mais j'avais compris que vu que les fabriquant ne mettent pas à jour les OS, Google avait mis en place une couche intermédaire avec une partie d'OS+API appelé "Services Google Play", mettable à jour via le store. Et c'est là dedans que Google a tendance à fourrer de plus en plus de truc car cela permet de by-passer la passivité des fabriquant.
https://play.google.com/store/apps/details?id=com.google.android.gms&hl=fr
oui c'est ce qu'ils font si cela nécessite pas de 'drivers' ou autre trucs très bas niveau. Ce n'est pas une mise a jour d'OS donc.
C'est ce qu'ils feront pour la phase 1 en mai pour la fourniture de l'API.
La c'est la phase 2 qui me chagrine, la présence dans l'OS du code actif d'envoi/réception des balises sans app. Si ca prend des mois et nécessite entre autre le concours de Samsung c'est que ca va bien plus loin qu'une simple mise a jour des Services Google Play.
-
Si je comprends bien, dans la deuxième phase, disponible dans les prochains mois, la capacité d'envoyer régulièrement une balise via Bluetooth qui comprend un identifiant préservant la confidentialité sera introduite au niveau du système d'exploitation pour assurer une large adoption.
Une fois que la mise à jour du système d'exploitation est installée et que l'utilisateur a accepté les conditions, le système enverra et écoutera les balises Bluetooth comme dans la première phase, mais sans nécessiter d'application.
Sans application comment savoir si une correspondance est détectée ? Il faut bien avoir à la liste gérée par les autorités qui indique les balises positives au covid-19, non ?
-
Sans application comment savoir si une correspondance est détectée ? Il faut bien avoir à la liste gérée par les autorités qui indique les balises positives au covid-19, non ?
Ca veut dire qu'il faudra forcément un mécanisme de configuration, peut-être que Apple/Google mettront en place un service qui donnera les paramètres en fonction du pays, et qui sera alimenté par les autorités (adresse du serveur, identifiant de l'application à proposer en cas de contact avéré, possiblement des paramètres de sensibilité pour piloter les faux positifs/négatifs, désactivation à la fin de la crise, ...).
-
Il est indiqué dans les specs: les smartphones téléchargent une fois par jour voir plus la liste des balises donc a priori depuis les serveurs de Google pour Android et Apple pour iOS (appelés "Diagnosis Servers", ils centralisent les balises des 2 plateformes).
Apple/Google alimentent leur serveurs à partir des balises émissent par les smartphones de gens positifs qui ont accepté de se déclarer. L'app est la pour valider que l'utilisateur a le 'droit' d'envoyer ses balises (pour éviter les abus et le spam).
https://www.blog.google/documents/63/Exposure_Notification_-_FAQ_v1.0.pdf
-
Il est indiqué dans les specs: les smartphones téléchargent une fois par jour voir plus la liste des balises donc a priori depuis les serveurs de Google pour Android et Apple pour iOS (appelés "Diagnosis Servers", ils centralisent les balises des 2 plateformes).
L'app est la pour valider que l'utilisateur a le 'droit' d'envoyer ses balises (pour éviter les abus et le spam).
Si les serveurs sont chez Google et Apple, il faut qu'ils puissent valider que l'envoi a bien été autorisé, donc ils doivent avoir par exemple une clé publique correspondant à une clé privée détenue par l'autorité de santé (et non présente dans l'application).
Sinon le spam serait possible en modifiant l'application, ou en appelant le serveur directement.
-
C'est bien là que l'on voit que même s'il y a des différences notables entre les protocoles précédemment discutés, parler de modèle "centralisé" et "décentralisé" est quand même assez trompeur...
Je me demande s'il n'y aurait pas eu une meilleure terminologie, parce que la seule chose qui est centralisée ou non, c'est l'attribution des jeux d'identifiants.
-
C'est surtout le comparaison qui est centralisé ou non :
Décentralisé : le système téléchargera une liste des balises qui ont été vérifiées comme appartenant à des personnes confirmées positives pour COVID-19. Chaque appareil vérifiera en local la liste des balises qu'il a enregistrées par rapport à la liste téléchargée depuis le serveur. En cas de correspondance entre les balises stockées sur l'appareil et la liste de diagnostics positifs, l'utilisateur peut être averti et informé des étapes à suivre. La liste des balises positifs est publique. Cela demande un peu plus de CPU sur le terminal, mais cela reste raisonnable.
Centralisé : le système central calcul qui a été en contact avec qui et prévient le propriétaire. Le liste des balises positifs n'est connu que du serveur central.
-
Centralisé : le système central calcul qui a été en contact avec qui et prévient le propriétaire. Le liste des balises positifs n'est connu que du serveur central.
N'est-ce pas plutôt: la liste des balises positifs n'est connue de personne (hors moyens d'attaque) ?
Car dans le cas du "centralisé", les balises qui sont remontées au serveur sont les balises des gens qui ont été en contact avec des positifs, mais pas celles des gens testés positifs.
-
Il me semble que dans le cas centralisé, le serveur a toutes les balises et il sait celles qui sont positives quand elle se déclare positive, ce qui lui permet de calculer si la personne a été suffisamment longtemps proche d'une balise positive pour lui notifier.
-
Hormis le problème sécuritaire posé par ce type d'application quel que soit le protocole utilisé (Robert ou api Google/Apple), la consommation batterie/Cpu ne sera négligeable avec le Bluetooth allumé en permanence (que je n'active jamais)
Puis, ensuite, les échanges de données permanents, véritable mine d'or pour Apple/Google, en argumentant sur le fait que notre santé n'a pas de prix, personne ne pourras dire le contraire ;)
-
Puis, ensuite, les échanges de données permanents, véritable mine d'or pour Apple/Google, en argumentant sur le fait que notre santé n'a pas de prix, personne ne pourras dire le contraire ;)
quels "échanges de données permanents" ?
s'ils respectent leur specs & cahier des charges ils ne devraient pouvoir rien exploiter des données échangées.
De toute façon ils n'ont pas besoin de ca, avec Android et iOS ils sont déjà la position et l'identité de leur clients...l'échange bluetooth de données non traçables n'apporte aucune information supplémentaire. A moins d'un mouchard dans l'algo de génération des balises.
Autant en période normale on peut estimer que tout ce qu'ils font est a des fins mercantiles ce qui somme toute est un peu leur raison d'être, autant la, au vue des specs, je ne pense pas qu'ils aient des arrières-pensée.
-
quels "échanges de données permanents" ?
Autant en période normale on peut estimer que tout ce qu'ils font est a des fins mercantiles ce qui somme toute est un peu leur raison d'être, autant la, au vue des specs, je ne pense pas qu'ils aient des arrières-pensée.
Ils ne se priveront pas et nous ne seront pas dupes, ces informations sont trop précieuses pour qu'ils s'en privent.
Leur empressement à proposer leur application est tout de même plus que douteux, non!
Par ailleurs, nous n'avons aucun contrôle sur les infos envoyées...
Des spécialistes en cryptographie, sécurité ou droit des technologies, notamment issus de l'Inria ont écrit un document qui récapitule les risques d'un application de traçage automatisé des contacts à l'aide d'une application sur smartphone.
Le PDF de 10 pages détaille :
Enfin un site web a été mis en place : https://risques-tracage.fr/
Tous est décris dans le pdf.
-
Autant en période normale on peut estimer que tout ce qu'ils font est a des fins mercantiles ce qui somme toute est un peu leur raison d'être, autant la, au vue des specs, je ne pense pas qu'ils aient des arrières-pensée.
Peut-être pas.
Mais on m'a bien expliqué que tout programme est par définition buggué (faille de sécurité) et donc ce n'est pas rassurant...
-
Ils ne se priveront pas et nous ne seront pas dupes, ces informations sont trop précieuses pour qu'ils s'en privent.
mais quelles informations ?
Leur empressement à proposer leur application est tout de même plus que douteux, non!
Le sensationnaliste et la théorie des complots c'est amusant, après on peut être un peu sérieux cinq minutes.
On parle de Google et Apple qui ont DEJA les informations qu'ils veulent. qui ont déjà la main sur l'OS et sur ce qu'on fait avec.
A la limite ils sont les mieux placés car cela évite qu'un tiers douteux vienne mettre son nez la ou il ne faut pas.
Par ailleurs, nous n'avons aucun contrôle sur les infos envoyées...
...
Enfin un site web a été mis en place : https://risques-tracage.fr/
Il y a un opt-in , tu veux quoi de plus ?
Ce document est un peu sensationnaliste car ne présente que des cas extrêmes (recruteur ripou, activiste avec son chien). Aucun système n'est 100% sécurisé mais ce qui compte ici c'est l' effet de "masse" pas les rares dérives qu'il y aura et surtout le bénéfice a en retirer pour la majorité des gens.
Apres si on ne fait pas quelque chose d'utile a l'ensemble de la collectivité parce que dans <1% des cas il y a un risque de dérive , on ne fait plus grand chose alors. On reste confiné un an jusqu’à la disponibilité du vaccin ?
pourtant on n’empêche pas les gens de rouler malgré les milliers de morts par an sur la route...
L'important c'est surtout de comprendre comment cela fonctionne et connaitre les risques et dérives associés.
-
L'important c'est surtout de comprendre comment cela fonctionne et connaitre les risques et dérives associés.
Sur ce point, on est d'accord, après, chacun l’installe ou pas en connaissance de cause.
-
L'application stopcovid fait un carton sur l'Apple store mais c'est la version géorgienne : https://www.zdnet.fr/actualites/la-version-georgienne-de-stopcovid-fait-un-carton-sur-l-appstore-francais-39903027.htm
-
Il me semble que dans le cas centralisé, le serveur a toutes les balises et il sait celles qui sont positives quand elle se déclare positive, ce qui lui permet de calculer si la personne a été suffisamment longtemps proche d'une balise positive pour lui notifier.
Je suis allé vérifier ici : https://www.inria.fr/sites/default/files/2020-04/Pr%C3%A9sentation%20du%20protocole%20Robert.pdf
On peut y lire:
Quelques jours plus tard, Alice présente les symp-tômes du Covid19 et se fait tester. Il s'avère qu'Alice a été contaminée depuis un certain temps déjà.
Pour aider à protéger les personnes qu’elle a pu rencontrer au cours des deux dernières semaines, Alice accepte de partager leurs pseudonymes avec la base de données centrale.
L'application de Charles envoie son pseudonyme à la base de données centrale plusieurs fois par jour. Charles reçoit une alerte sur son téléphone portable : au cours des 2 dernières semaines, il a été en contact avec une personne contaminée par le Covid19 ! Bernard reçoit la même alerte sur son téléphone portable.
QUELQU'UN D'AUTRE QUE SON MÉDECIN PEUT-IL APPRENDRE QU'ALICE A ÉTÉ INFECTÉE ?
Non. Le protocole ROBERT garantit que personne, à l'exception du médecin, n'a accès à cette information. Même la base de données centrale n’a pas l'informa-tion sur qui a été diagnostiqué positif au COVID-19. La base de données centrale ne reçoit que les pseudonymes temporaires de toutes les personnes qui ont été en contact avec une personne infectée. Dans notre exemple, la base de données centrale ne reçoit que les pseudonymes de Bernard et Charles, mais ne contient aucune information sur Alice.
-
Les passages indiqués indiquent que la base ne sait pas qui sait qui est infecté. Oui elle ne connait pas le nom, mais elle connait les balises associées.
-
Quelle que soit la solution (à moins peut-être d'avoir quelque chose de totalement décentralisé, ou de passer par TOR), au moment où une personne se déclare positive, le serveur a son IP. Donc il faut avoir confiance sur le fait qu'elle ne soit pas enregistrée dans un log quelque part.
En fonction de l'implémentation, la nature des échanges (un envoi, suivi de l'arrêt des vérifications régulières du statut) peut même révéler l'information à un observateur externe (le FAI par exemple).
Pour l'éviter, il faudrait que les vérifications régulières de statut soient bien à des moments aléatoires, et que leur trafic ressemble à l'envoi des contacts (de sorte qu'il soit impossible pour quelqu'un qui surveille le volume des échanges entre le téléphone et le serveur puisse faire la différence entre quelqu'un qui a été testé positif, et quelqu'un qui a arrêté d'utiliser l'application).
-
Quelle que soit la solution (à moins peut-être d'avoir quelque chose de totalement décentralisé, ou de passer par TOR), au moment où une personne se déclare positive, le serveur a son IP. Donc il faut avoir confiance sur le fait qu'elle ne soit pas enregistrée dans un log quelque part.
sauf si c'est le serveur de l'autorité sanitaire qui a son IP et personne d'autre. Dans la solution Apple/Google (DP3T) il faudrait donc que l'app de l'autorité envoie non pas directement au back-end d'Apple/Google mais a un back-end de l'autorité qui ensuite relais les balises a diffuser a Apple/Google.
Ainsi seule l'autorité sanitaire aurait les IP des gens qui se déclarent positifs via l'app (+ brouillage des échanges comme tu indiques pour éviter de détecter un 'post' 'je suis positif')
Le souci est que l'autorité doit avoir son propre back-end (ou relais) ce qui peut poser des problèmes de coûts , scaling et sécurité si des tiers sont impliqués (notamment des CDNs).
-
Les passages indiqués indiquent que la base ne sait pas qui sait qui est infecté. Oui elle ne connait pas le nom, mais elle connait les balises associées.
Quelques jours plus tard, Alice présente les symptômes du Covid19 et se fait tester. Il s'avère qu'Alice a été contaminée depuis un certain temps déjà.
Pour aider à protéger les personnes qu’elle a pu rencontrer au cours des deux dernières semaines, Alice accepte de partager leurs pseudonymes avec la base de données centrale.
L'application de Charles envoie son pseudonyme à la base de données centrale plusieurs fois par jour. Charles reçoit une alerte sur son téléphone portable : au cours des 2 dernières semaines, il a été en contact avec une personne contaminée par le Covid19 ! Bernard reçoit la même alerte sur son téléphone portable.
QUELQU'UN D'AUTRE QUE SON MÉDECIN PEUT-IL APPRENDRE QU'ALICE A ÉTÉ INFECTÉE ?
Non. Le protocole ROBERT garantit que personne, à l'exception du médecin, n'a accès à cette information. Même la base de données centrale n’a pas l'information sur qui a été diagnostiqué positif au COVID-19. La base de données centrale ne reçoit que les pseudonymes temporaires de toutes les personnes qui ont été en contact avec une personne infectée. Dans notre exemple, la base de données centrale ne reçoit que les pseudonymes de Bernard et Charles, mais ne contient aucune information sur Alice.
Il me semble pourtant que ces passages indiquent clairement que ce que la base reçoit, ce sont les balises des personnes en contact avec des positifs, et pas celles des positifs. Qu'est ce qui te fait penser autrement ?
Alors bien sûr si l'on fait de l'analyse sur les messages reçus de la base, on peut se dire que si une balise est envoyée de nombreuses fois, elle a de fortes chances d'être positive. Et encore faut-il enregistrer le nombre d'envois.
-
sauf si c'est le serveur de l'autorité sanitaire qui a son IP et personne d'autre. Dans la solution Apple/Google (DP3T) il faudrait donc que l'app de l'autorité envoie non pas directement au back-end d'Apple/Google mais a un back-end de l'autorité qui ensuite relais les balises a diffuser a Apple/Google.
Ainsi seule l'autorité sanitaire aurait les IP des gens qui se déclarent positifs via l'app (+ brouillage des échanges comme tu indiques pour éviter de détecter un 'post' 'je suis positif')
Le souci est que l'autorité doit avoir son propre back-end (ou relais) ce qui peut poser des problèmes de coûts , scaling et sécurité si des tiers sont impliqués (notamment des CDNs).
Je viens de penser à une possibilité avec le système Apple/Google : une fois par jour (par exemple), l'appli pourrait envoyer non pas ses balises, mais des valeurs aléatoires. Ainsi, on a donc un message "XX est positif", le XX pouvant aussi bien être l'utilisateur qu'une personne imaginaire.
Le problème serait le volume de données à télécharger par les utilisateurs pour comparer avec les balises qu'ils ont reçues.
Ça imposerait probablement un protocole où on devrait envoyer les premiers octets des balises qu'on a vues pour filtrer ce qu'on reçoit.
-
Vous l'attendiez (ou non), voici le code source de l'application du Royaume-Uni.
https://github.com/NHSX
C'est un modèle "centralisé" un peu plus intrusif que le modèle ROBERT, puisqu'il transmet également l'identifiant des malades au serveur central.
https://www.ncsc.gov.uk/blog-post/security-behind-nhs-contact-tracing-app
-
C'est un modèle "centralisé" un peu plus intrusif que le modèle ROBERT, puisqu'il transmet également l'identifiant des malades au serveur central.
https://www.ncsc.gov.uk/blog-post/security-behind-nhs-contact-tracing-app
Leur idée semble être de déterminer le risque en fonction du nombre de contacts et de leur effet, ce qui nécessite effectivement de reconstituer des graphes (avec en plus l'heure des contacts).
Ils disent que le système ne voit pas les IP car il y a un front-end commercial pour le load-balancing et protéger contre les DDoS, mais ils n'évoquent pas la possibilité pour celui-ci de déduire des informations en fonction de la nature des échanges.
Au début de l'article, on pourrait croire que l'identifiant est généré en local, mais non, il est aussi connu du serveur dès l'inscription comme pour ROBERT.
Le "blob" envoyé ne change que tous les jours, et pas toutes les 15 min.
Ils indiquent que ça leur permet de donner des informations journalières aux utilisateurs sur le nombre de leurs contacts plus ou moins rapprochés. Ce n'est pas indiqué, mais je suppose que c'est parce qu'ils parlent de données générées localement dans l'application, qui sinon ne pourrait pas compter un contact de plus de 15 min.
Mais l'utilisateur a-t-il besoin qu'une application lui dise de combien de personnes il a été proche pendant plus de 15 min durant la journée ? Il devrait pouvoir le savoir de lui-même.
Ils indiquent que leur système permet d'autoriser les personnes à s'auto-diagnostiquer (et que sans ça ce serait très difficile de gérer l'épidémie), et qu'ils seraient capable de détecter les fausses déclarations. Mais je vois mal comment ça pourrait couvrir tous les cas, leur exemple est assez tordu avec un grand nombre de faux contacts, il n'évoquent pas le cas évident où l'attaquant se déclare malade après un vrai contact.
-
Quelques infos intéressantes sur les techniques qu’utilise l’application pour accéder au Bluetooth même en arrière plan:
https://reincubate.com/blog/nhs-covid-19-background-tracing-details/
-
Plus fort qu'une application, la gravure directe dans la peau du carnet de santé...
https://www.santenatureinnovation.com/carnet-sante-grave/
-
Plus fort qu'une application, la gravure directe dans la peau du carnet de santé...
https://www.santenatureinnovation.com/carnet-sante-grave/
Quand on connaît le sérieux de ce site... (https://lafibre.info/images/smileys/@GregLand/cs.gif)
-
Juste l'aspect scientifique grand public : https://www.sciencesetavenir.fr/sante/e-sante/un-carnet-de-vaccination-invisible-sous-la-peau_139973
Facile d'imaginer les dérives...
-
Le rapport avec l'appli est très éloigné...
-
Juste l'aspect scientifique grand public : https://www.sciencesetavenir.fr/sante/e-sante/un-carnet-de-vaccination-invisible-sous-la-peau_139973
Facile d'imaginer les dérives...
Là, c'est déjà beaucoup plus crédible ! (https://lafibre.info/images/smileys/@GregLand/ay.gif)
-
Le rapport avec l'appli est très éloigné...
Pas tant que cela : Des gens réfléchissent à intégrer des puces intelligentes aux humains...
-
Alternatives Économiques publie un document (payant) "Pourquoi StopCovid risque de ne servir à rien ? La preuve en 6 graphiques"
On a juste la photo de début d'article qui fait réfléchir...
(https://lafibre.info/images/doc/202005_alternatives-economiques_stopcovid.jpg)
-
Crise sanitaire : l’informatique instrumentalisée par le gouvernement
https://cgt.fercsup.net/syndicats/auvergne-rhone-alpes/grenoble-uga-g-inp/article/crise-sanitaire-l-informatique-instrumentalisee-par-le-gouvernement
-
Est-ce qu'il y a un moyen de savoir combien de pair on a croisé chaque jour ?
En gros, y a -t'il des logs locaux pour savoir si ça match un peu ou si ça tourne dans le vide ?
-
Non, cela ne semble pas possible.
-
Quelques captures d'écran :
Installation :
(https://lafibre.info/testdebit/android/202006_StopCovid_android_01.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_02.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_03.png)
-
Les autorisations :
(https://lafibre.info/testdebit/android/202006_StopCovid_android_04.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_05.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_06.png)
(https://lafibre.info/testdebit/android/202006_StopCovid_android_07.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_08.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_09.png)
(https://lafibre.info/testdebit/android/202006_StopCovid_android_10.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_11.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_12.png)
-
Ensuite il faut activer StopCovid, ce qui chez moi à bloqué :
(https://lafibre.info/testdebit/android/202006_StopCovid_android_13.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_14.png)
J'ai réussi, mais en me connectant en 4G (impossible via le WiFi) :
(https://lafibre.info/testdebit/android/202006_StopCovid_android_15.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_16.png)
-
Et ça s'appelle StopCovid comme prévu au départ...
-
C'est un bon exemple pour le RGPD : il est vraiment facile de désactiver ou effacer ses données :
(https://lafibre.info/testdebit/android/202006_StopCovid_android_17.png) (https://lafibre.info/testdebit/android/202006_StopCovid_android_18.png)
Il ne reste que la mention du reCAPTCHA Google qui semble avoir été oublié...
-
A noter que le compte twitter @StopCovidApp (https://twitter.com/StopCovidApp) n'est pas un compte officiel, même si la communication est bien faite.
On s'en aperçois rapidement avec certains messages amusants :
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_1.jpg)
La communication officielle est différente :
(https://lafibre.info/testdebit/android/202006_StopCovid_transports.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_2.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_3.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_4.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_5.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_6.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_7.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_8.jpg)
(https://lafibre.info/testdebit/android/202006_StopCovid_compte_parodique_9.jpg)
-
ca me dépasse qu'on dépense autant d'énergie à faire ces tweets parodiques...y'a quelqu'un qui finance ca derrière ou quoi ?
-
C'est un bon exemple pour le RGPD : il est vraiment facile de désactiver ou effacer ses données :
L'effacement des pseudo-identifiants remontés par les autres utilisateurs n'est valable qu'à un instant donné.
Ils peuvent ensuite être remontés par d'autres utilisateurs.
Je ne sais pas si se désinscrire permet au serveur de filtrer automatiquement les données futures (comme n'ayant pas été générées avec une clé connue).
A noter aussi un abus de langage sur le RGPD, qui ne garantit pas la protection des données (ce n'est pas une solution technique).
Le fait de suivre la réglementation n'est pas non plus une garantie.
-
Quelques captures d'écran :
StopCovid détecte les téléphones des autres utilisateur qui restent à proximité du vôtre
C'est "qui sont à proximité", l'aspect durée n'intervient nécessairement qu'ensuite pour filtrer (je ne sais pas si c'est au fur et à mesure, ou au moment de l'envoi des données après un test positif, voire sur le serveur).
-
Les modèles statistiques ne sont hélas pas publics.
Pour éviter le cas ci-dessous, il est prévu que si un téléphone n’a pas suffisamment de « contacts », pas d’alerte, pour éviter « l’effet paparazzi ».
(https://lafibre.info/images/doc/202004_stopcovid_risques_tracage.jpg)
-
Pas encore disponible pour iOS visiblement.
-
Si si il est bien disponible pour iOS.
=> https://apps.apple.com/app/id1511279125
-
Ah oui en effet... merci !
J'avais du chercher trop tôt cet après-midi, et la recherche avait du rester en cache.
-
Les modèles statistiques ne sont hélas pas publics.
Pour éviter le cas ci-dessous, il est prévu que si un téléphone n’a pas suffisamment de « contacts », pas d’alerte, pour éviter « l’effet paparazzi ».
Je ne vois pas comment, parce ce que le serveur connaît, ce sont les contacts de celui qui se déclare positif.
Le serveur ne connaît pas les contacts de A/B/C, ils sont en local dans l'application, donc s'il y a une sécurité elle est contournable.
Et quand bien même, on pourrait très bien leur créer des contacts virtuels avec d'autres instances E/F/G, ce ne sont que des comptes à créer dans l'application (ou une version modifiée), la protection contre les comptes multiples n'est à priori que le captcha (ou alors les serveurs retiennent des données pouvant identifier l'utilisateur comme l'IP...).
Donc une protection contre un utilisateur malveillant utilisant l'appli officielle non modifiée oui, contre un utilisateur malveillant un peu plus avancé (ou si quelqu'un met à disposition une version modifiée de l'application, qui ensuite se diffuse largement), non.
-
Attention, StopCovid est la solution avec serveur centralisé.
C'est lui qui décide d'avertir ou non un smartphone.
- Le modèle dit «décentralisé» (protocoles DP3T, PACT et Apple/Google) : Lorsque le malade est diagnostiqué, il envoie à tout le monde la liste des pseudonymes émis ces derniers jours. Les protocoles de traçage décentralisés nécessitent la constitution d’un fichier des malades du COVID-19 : la liste des pseudonymes des malades est publique. Si les utilisateurs unissent leurs forces, ils peuvent reconstruire une information globale, comme dans les applications de détection de radars routiers. Par exemple, on ne peut empêcher l’apparition d’une application « améliorée » (appelons-la GeoTraceVIRUS) qui enregistrerait les endroits où se trouvent des malades, en plus de tracer les contacts directs avec des malades. Dans un système décentralisé, il suffit que GeoTraceVIRUS enregistre les coordonnées GPS en même temps que les messages Bluetooth qu’il reçoit. Quand un pseudonyme est déclaré malade, GeoTraceVIRUS permet de savoir exactement où il se trouvait lorsqu’il l’a reçu, et partage cette information avec les autres utilisateurs.
- Le modèle dit « centralisé » (protocole ROBERT) : Lorsque le malade est diagnostiqué, il envoie à l’autorité centrale la liste des pseudonymes qu’elle a enregistrés ces derniers jours. Cette liste des contacts à risque n’est pas diffusée et n’est connue que de l’autorité centrale. Dans ce modèle, les différents smartphones contactent chaque jour l’autorité centrale, et lui fournit la liste des pseudonymes qu’il a émis pour savoir si l’un d’entre eux figure dans la base de données des contacts à risque. Le cas échéant, il reçoit une notification. C'est le cas du protocole ROBERT, où l’autorité centrale calcule l’ensemble des pseudonymes. Le modèle centralisé nécessite de faire confiance à une autorité centrale. L’autorité peut exploiter la liste des contacts reçus par les «nouveaux» malades, et y détecter des individus qui ont été précédemment déclarés exposés au virus, constatant ainsi que ces derniers méprisent leur consigne de quarantaine.
-
Autre problème, reproduit sur plusieurs smartphones : StopCovid ne se lance pas automatiquement au redémarrage du tél
C'est peut-être un crash quand elle se lance au démarrage du téléphone, en tout cas pas de StopCovid après un démarrage du tel sur Redmi note 7 ou Samsung S8.
-
Attention, StopCovid est la solution avec serveur centralisé.
C'est lui qui décide d'avertir ou non un smartphone.
Si P est positif, il envoie les identifiants de C1, C2, C3 ses contacts.
Le serveur n'a pas de données sur les autres contacts de C1, C2 et C3. Peut-être qu'ils n'ont été allumés que face à P, ce qui permettrait de l'identifier.
-
J'ai compris que le calcul est fait à distance et donc chaque téléphone envoi tous ses contacts au serveurs, car seul le serveur sait qui est positif et qui ne l'est pas.
-
Un système anti-DDOS est (légitimement) en place, en tout cas c'était une demande de la CNIL. L'inquiétude qu'il pourrait y avoir, en tout cas c'est la mienne, c'est par exemple si les associations IP/identifiants sont stockés quelques part.
Cela ne sera pas visible dans les sources tels qu'elles ont été diffusés (l'aspect déploiement/conf y est absent). Hors, c'est par exemple ce qui permettrait une ré-identification avec la constitution de graph de "gens qui se fréquentent": Les journalistes et leurs sources, militants anti-gouvernementaux, religions,.. qu'un pouvoir abusif pourrait consulter.
-
Sachant que l'ip est souvent diluée par le CG-NAT... (pour le cas où elle serait transmise, et j'ai un doute sur ce point)
-
Avec le captcha Google est en mesure d'identifier directement le client, sans avoir besoin de son IP.
Je vois bien quand je visite un site avec un captcha Google depuis un PC de test : il me demande des trucs compliqués alors que depuis mon PC (même IP) il ne me demande rien car il m'identifie.
-
Sachant que l'ip est souvent diluée par le CG-NAT... (pour le cas où elle serait transmise, et j'ai un doute sur ce point)
Malgré le CG-NAT, il est possible d'identifier avec le triplet IP/Horaire/Port. Des discussions avaient eu lieu autour d'Hadopi à ce sujet.
-
encore faut-il que le port soit loggué ...
-
encore faut-il que le port soit loggué ...
Il l'est potentiellement, ne serait-ce que pour les mesures DDOS. Après, on n'en sait rien, c'est le problème.
Publier une partie du code source n'est que de l'affichage si les aspects déploiement ne le sont pas aussi, et que des audits indépendant ne sont pas fait.
Sait-on également si Stop Covid est dispensé des obligations légale de conservation des informations d'identification imposés aux services numérique?
-
Sait-on également si Stop Covid est dispensé des obligations légale de conservation des informations d'identification imposés aux services numérique?
Ces obligations légales ne concernent que la création de contenu mis en ligne publiquement.
-
J'ai bien envie de savoir combien de tune a encore été dépensé pour la réalisation de cette merde...
-
J'ai cru comprendre que la réalisation avait été faite par les sociétés partenaires (Inria, Cap, Orange) sans budget spécifique. (bon là vous pouvez relever qu'à minima pour l'Inria c'est le contribuable qui a payé)
Ensuite il est question de 200-300k€/mois d'hébergement.
-
Je suis tombé sur cette pub : https://identifier-mon-animal.fr/
et ça m'a fait penser à tous ces gens qui obéissent volontairement à leur téléphone... :'(
-
Paye ton rapport avec la choucroute.
Le n'importe quoi n'est pas forcément obligatoire!
-
J'espère en effet que ton animal est identifié, car en utilisant le lien que tu nous a donné, cela te permettra de participer au quizz-concours pour gagner...
... une gamelle connectée ! ;D
Malheureusement pas de concours pour nos poissons rouges, il faut avoir un chien ou un chat.
Hors sujet dites-vous ? Mais non, il y a un lien ! :)
-
Au moins c'est marrant ;)
-
Non, c'est dramatique.
-
L'appli envoie aux serveurs centraux tous les contacts détectés, quelles que soit la distance et la durée.
C'est le serveur central qui ensuite va (doit) faire le tri en ne retenant que les critères de contacts (distance 1m, durée 15min).
L'appli n'est donc pas conforme, ni au décret qui l'a autorisée, ni au cahier des charges sur lequel s'est prononcé la Cnil...
https://www.numerama.com/tech/631458-stopcovid-a-ete-lance-alors-que-meme-la-cnil-ne-savait-pas-comment-lapp-fonctionnait.html (https://www.numerama.com/tech/631458-stopcovid-a-ete-lance-alors-que-meme-la-cnil-ne-savait-pas-comment-lapp-fonctionnait.html)
-
J’ai l’impression qu’il y a de gros raccourcis dans cet article...
Qu’avait annoncé le gouvernement ? En résumé simplifié : que si deux personnes se croisent avec StopCovid allumé, leurs informations remonteront au serveur central seulement si elles restent en contact à moins d’un mètre pendant plus de 15 minutes.
Ce qu’il se passe dans les faits est différent : si deux personnes se croisent à plusieurs mètres et pendant moins de 15 minutes, leurs informations remontent également au serveur central qui, ensuite, fait le tri.
Parce que ce qui se passe « dans les faits » est différent : tous ces processus n’ont lieu que si l’utilisateur se déclare malade. C’est ici beaucoup plus qu’un détail !
Pour un article qui critique le manque de précision de la communication autour de cette application, ça fait un peu tache...
-
Ce qui n'enlève rien à la grosse problématique de non conformité à l'avis de la CNIL ni au décret.
-
Ce qui n'enlève rien à la grosse problématique de non conformité à l'avis de la CNIL ni au décret.
Incompétence? Tout le monde s'en fou? C'est fait exprès? La faute à qui?
Parfois, je me demande s'il faut en rire ou en pleurer...
-
Et le Royaume Uni a annoncé abandonner son appli centralisée pour le framework Google/Apple.
https://www.bbc.com/news/technology-53095336 (https://www.bbc.com/news/technology-53095336)
-
L'appli envoie aux serveurs centraux tous les contacts détectés, quelles que soit la distance et la durée.
C'est le serveur central qui ensuite va (doit) faire le tri en ne retenant que les critères de contacts (distance 1m, durée 15min).
L'appli n'est donc pas conforme, ni au décret qui l'a autorisée, ni au cahier des charges sur lequel s'est prononcé la Cnil...
Il y a moins que ça de toute façon, le programme communique avec un serveur du gouvernement, comme c'est un programme pour smartphone on peut largement supposé que la majorité des smartphones vont établir la connexion à travers le réseau de l'opérateur mobile. En France, la loi oblige les opérateurs à collecter les informations personnelles de leurs clients, donc ils ont la possiblité de savoir qui utilise le programme quoi qu'il en soit. Généralement chaque smartphone à son abonnement propre, avec les coordonnées de son propriétaire, donc ils ont encore plus de précision.
Bien sûr ils auraient pu implémenter Tor, mais Tor c'est le « darknet », c'est pour les terroristes et autres criminels. :-)