Du coup j'ai sûrement manqué quelque chose. Qu'est ce qui garantit une meilleure protection dans le cadre de Google/Apple que dans le cas de ROBERT ?
Du point de vue d'un observateur passif avec des sniffers :
- avec le protocole Google/Apple, il reconstitue les trajets des personnes positives (sans connaître leur identité) sur une journée (et celui qui a la main sur le serveur peut à priori lier toutes les journées), ou avec un sniffer muni d'une caméra il prend des photos qu'il pourra associer à des tests positifs par la suite
- avec ROBERT, sans la main sur le serveur l'observateur n'a aucune information, en revanche celui qui a accès au serveur (donc potentiellement l'Etat) peut suivre les trajets de TOUS les utilisateurs entre les sniffers (bien sûr ça reste anonyme, sauf à identifier par un autre moyen comme une caméra au niveau d'un sniffer, l'IP, ...)
=> le protocole ROBERT protège les personnes qui se déclarent positives vis à vis des observateurs passifs, mais à l'inverse il peut donner beaucoup de (meta-)données concernant tous les utilisateurs de l'application à l'Etat
Pour quelqu'un qui veut pouvoir identifier si les personnes avec qui il a été en contact sont testées positives par la suite :
- avec le protocole Google/Apple, on pourrait enregistrer les messages reçus par son téléphone, avec l'heure et la position : par la suite, si certains sont publiés, on peut faire le lien avec les personnes qu'on a rencontré
- avec ROBERT, pour faire la même chose il faut présenter une nouvelle identité à chaque contact (pour que quand le serveur notifie l'utilisateur qu'une de ses identités a été en contact avec une personne positive, il puisse deviner qui) : il est préférable d'empêcher la création de comptes multiples, mais ce n'est pas forcément facile sans casser l'anonymat (si le serveur retient l'IP ou le numéro de téléphone...). Sur GitHub j'ai proposé que l'enregistrement se fasse avec des codes aléatoires sous papier scellé distribués en mairie ou en boîte aux lettres en même temps que des masques (compliqué, mais si on peut faire d'une pierre deux coups...)
=> le protocole ROBERT rend plus difficile l'identification de celui qui se déclare positif par ceux qu'il a pu contaminer, mais pour que ce soit le plus efficace possible il faut empêcher la création de comptes multiples, ce qui n'est pas actuellement spécifié