C'est un modèle "centralisé" un peu plus intrusif que le modèle ROBERT, puisqu'il transmet également l'identifiant des malades au serveur central.
https://www.ncsc.gov.uk/blog-post/security-behind-nhs-contact-tracing-app
Leur idée semble être de déterminer le risque en fonction du nombre de contacts et de leur effet, ce qui nécessite effectivement de reconstituer des graphes (avec en plus l'heure des contacts).
Ils disent que le système ne voit pas les IP car il y a un front-end commercial pour le load-balancing et protéger contre les DDoS, mais ils n'évoquent pas la possibilité pour celui-ci de déduire des informations en fonction de la nature des échanges.
Au début de l'article, on pourrait croire que l'identifiant est généré en local, mais non, il est aussi connu du serveur dès l'inscription comme pour ROBERT.
Le "blob" envoyé ne change que tous les jours, et pas toutes les 15 min.
Ils indiquent que ça leur permet de donner des informations journalières aux utilisateurs sur le nombre de leurs contacts plus ou moins rapprochés. Ce n'est pas indiqué, mais je suppose que c'est parce qu'ils parlent de données générées localement dans l'application, qui sinon ne pourrait pas compter un contact de plus de 15 min.
Mais l'utilisateur a-t-il besoin qu'une application lui dise de combien de personnes il a été proche pendant plus de 15 min durant la journée ? Il devrait pouvoir le savoir de lui-même.
Ils indiquent que leur système permet d'autoriser les personnes à s'auto-diagnostiquer (et que sans ça ce serait très difficile de gérer l'épidémie), et qu'ils seraient capable de détecter les fausses déclarations. Mais je vois mal comment ça pourrait couvrir tous les cas, leur exemple est assez tordu avec un grand nombre de faux contacts, il n'évoquent pas le cas évident où l'attaquant se déclare malade après un vrai contact.