Accueil Technologie Apple L'API de contact tracing d'Apple et Google promet de respecter la vie...

L’API de contact tracing d’Apple et Google promet de respecter la vie privée

Dans la dernière partie de cette série, nous avons examiné en détail l’application Aarogya Setu. Il s’agit de l’application de recherche de contacts qui a été conçue par le gouvernement indien et qui est largement soutenue par celui-ci. Avec ses 100 millions de téléchargements, c’est la seule application numérique de recherche de contacts qui ait atteint un tel niveau de popularité en si peu de temps. Il est même question de la rendre obligatoire, ce qui fait l’objet d’un débat.

L’application Aarogya Setu utilise une approche centralisée de la recherche numérique des contacts. Lorsqu’elle est installée et utilisée, certains paramètres ou données (ID Bluetooth et localisation GPS dans ce cas) sont collectés et stockés périodiquement sur l’appareil de l’utilisateur. L’application scanne également la zone à l’aide de Bluetooth et du GPS pour les autres utilisateurs, et stocke également leurs identifiants. Si un utilisateur se déclare positif, toutes ces données (ID Bluetooth virtuelles de l’utilisateur et celles stockées sur l’appareil de l’utilisateur + localisation GPS) sont envoyées à un serveur central. Les données Bluetooth et GPS stockées sont analysées, et les autres utilisateurs de l’application – scannés à partir du téléphone de l’utilisateur positif – reçoivent une notification les informant qu’ils doivent se faire tester ou envisager de se mettre en quarantaine, car ils ont été à proximité d’une personne infectée.

Après avoir obtenu le consentement de l’utilisateur de l’application, ses données Bluetooth et GPS sont téléchargées vers un serveur, où la correspondance a lieu et où des notifications sont finalement envoyées du serveur aux appareils de l’utilisateur. Les décisions sont prises du côté du serveur.

(Lire également : Aarogya Setu : Que cela nous plaise ou non, l’application est là pour rester, mais elle est toujours criblée de problèmes de vie privée qui nécessitent des réponses fortes)

Cette méthode a été adoptée par de nombreux gouvernements, car elle leur permet de collecter des données de localisation pour lutter contre la propagation de COVID-19. Outre l’Inde, d’autres pays utilisent cette méthode, notamment Singapour, la Chine, Taïwan, la Corée du Sud et, plus récemment, le Royaume-Uni et la France. L’argument en faveur de cette méthode est qu’elle permet aux autorités d’identifier les points chauds COVID-19 et de prendre des mesures correctives.

Mais l’approche centralisée est remise en question par les militants de la protection de la vie privée, qui y voient un stratagème des gouvernements pour accumuler des données sur les patients qui pourraient être utilisées au-delà des objectifs déclarés de l’application de recherche des contacts. L’approche décentralisée va à l’encontre de cette méthode.

Après avoir obtenu le consentement de l’utilisateur de l’application, seul son identifiant Bluetooth est envoyé au serveur, et NON ses données GPS. Et cela n’est fait que si l’utilisateur s’est déclaré COVID-19 positif. Les ID Bluetooth des autres téléphones avec lesquels l’utilisateur infecté a été en contact ne sont pas non plus téléchargés. Chaque téléphone de ce système décentralisé télécharge également régulièrement une liste des Bluetooth ID des patients positifs au COVID-19. Le processus de comparaison entre les Bluetooth ID stockés sur le téléphone et la liste des Bluetooth ID positifs au COVID-19 téléchargée quotidiennement se fait par téléphone. En d’autres termes, les décisions sont prises sur l’appareil.

Apple engage un cadre d'Amazon Video pour diriger la division Sports d'Apple TV+
A LIRE
La Suisse est la première à tester les API COVID-19 d'Apple et de Google
A LIRE

Une approche décentralisée ne repose pas non plus sur les données GPS, qui sont l’un des principaux points de données avec l’approche centralisée, et avec Aarogya Setu. La communication se fait uniquement par le biais de poignées de main Bluetooth entre les appareils des utilisateurs.

Le jury n’est pas encore fixé sur ce point, car les deux méthodes doivent encore être adoptées en masse ou donner des résultats concrets.

Les pays asiatiques, dont la Chine, Singapour et Taïwan, ont essayé un mélange d’applications de recherche de contacts et de réponse sur le terrain. Tous trois ont utilisé l’approche centralisée, et deux d’entre eux (la Chine et Taïwan) ont réussi à contenir la propagation – mais la réponse sur le terrain dans les deux pays a également été intensive. Le gouvernement de Singapour a été le premier à développer une application centralisée de recherche des contacts, mais étant donné que seulement 20 % de la population a téléchargé cette application et qu’une deuxième vague de cas COVID-19 s’y est produite, ce n’est pas vraiment le meilleur modèle pour étudier l’approche centralisée. La Corée du Sud et Taïwan ont également utilisé des images de vidéosurveillance et des techniques telles que la clôture électronique – des pratiques qui ne sont pas courantes dans de nombreuses démocraties occidentales.

Voyons voir qui fait quoi.

Qu’est-ce que l’approche AppleGoogle et comment fonctionne-t-elle ?
L’une des choses sans précédent qui se sont produites à la suite de la pandémie est la collaboration entre les concurrents technologiques Apple et Google. Les deux géants de la vallée avaient annoncé à la mi-avril qu’ils travaillaient sur une interface de programmation d’applications (API) pour aider les autorités de santé publique dans la recherche numérique des contacts. Plus récemment, les deux entreprises ont même renoncé à utiliser le terme “recherche des contacts” et ont commencé à qualifier leur système d'”outil de notification d’exposition”.

Certains des principes directeurs de l’approche décentralisée AppleGoogle sont les suivants

Consentement explicite de l’utilisateur requis
Ne collecte ni n’utilise les données de localisation de votre téléphone
Les balises et les clés Bluetooth ne révèlent pas l’identité ni la localisation de l’utilisateur
L’utilisateur contrôle toutes les données qu’il souhaite partager, ainsi que la décision de les partager
Les personnes dont le test est positif ne sont pas identifiées auprès des autres utilisateurs, de Google ou d’Apple
Ne sera utilisé que pour la notification de l’exposition par les autorités de santé publique pour
Gestion de la pandémie COVID-19

Google Cloud remporte un contrat de cybersécurité avec le ministère américain de la défense
A LIRE

Peu importe que vous ayez un téléphone Android ou un iPhone – fonctionne dans les deux cas
Les principes de fonctionnement de base sont les mêmes que ceux des applications de recherche de contacts. Si vous avez téléchargé une application conçue par les autorités régionales de santé publique de votre région, qui utilise l’API AppleGoogle, votre téléphone enverra une balise via Bluetooth LE, qui aura un identifiant Bluetooth aléatoire appelé “clé d’exposition temporaire”. Il s’agit, en gros, d’une chaîne de chiffres aléatoires qui ne sont pas liés à l’identité de l’utilisateur et qui changent toutes les 10 à 20 minutes pour une meilleure protection de la vie privée. Les autres téléphones à proximité écouteront votre balise et émettront leurs propres signaux. Chaque utilisateur qui reçoit cette balise l’enregistre et la stocke en toute sécurité sur son appareil. À aucun moment, une clé Bluetooth stockée sur votre téléphone ne peut identifier un utilisateur spécifique.

Apple engage un cadre d'Amazon Video pour diriger la division Sports d'Apple TV+
A LIRE

Une fois par jour, chaque téléphone téléchargera une liste de clés pour les balises qui ont été identifiées comme appartenant à des personnes positives au test COVID-19. Ces clés sont appelées “clés de diagnostic” et constituent un sous-ensemble des clés d’exposition temporaire. Ces clés de diagnostic sont téléchargées sur le cloud après avoir obtenu le consentement d’un utilisateur infecté. Les clés d’exposition temporaire des autres téléphones stockés sur l’appareil ne sont pas téléchargées sur le cloud. L’application, qui est construite au sommet de cette API, aura un moyen d’enregistrer un statut COVID-19 positif.

Les clés de diagnostic téléchargées sont constamment vérifiées par rapport à la liste des clés déjà stockées sur l’appareil. S’il y a une correspondance entre les clés stockées sur l’appareil et celles qui ont été identifiées comme COVID-19 positif, l’utilisateur en est informé et les autorités sanitaires lui indiquent les étapes suivantes. Ce PDF illustre assez bien le processus.

Combien de temps devez-vous être à proximité pour recevoir la notification de test ? Google et Apple ont laissé cette décision aux autorités sanitaires qui sont en train de mettre au point leurs applications au sommet de l’API.

“Les autorités de santé publique fixeront un seuil minimum pour le temps passé ensemble, de sorte qu’un utilisateur doit se trouver dans la zone Bluetooth pendant au moins 5 minutes pour enregistrer une correspondance. Si le contact dure plus de 5 minutes, le système rapportera le temps par incréments de 5 minutes jusqu’à un maximum de 30 minutes afin de garantir la confidentialité. Pour obtenir une distance approximative, le système compare la puissance du signal Bluetooth entre les deux appareils en contact. Plus les appareils sont proches, plus la puissance du signal enregistré est élevée”, indique le livre blanc de Google et Apple.

De nombreuses extension du Chrome Store gonflent leurs statistiques
A LIRE

Une API commune à Apple et Google signifie que, quel que soit le système d’exploitation mobile utilisé, les applications pourront communiquer entre elles tout en protégeant la vie privée des utilisateurs. Dans un premier temps, les utilisateurs devront télécharger une application qui sera construite au sommet de cette API.

Dans un deuxième temps, l’API sera intégrée à Android et iOS au niveau du système d’exploitation pour permettre une adoption plus large. Une fois que vous aurez consenti à l’utilisation de ces API dans la deuxième phase, le téléphone enverra des balises Bluetooth comme il l’a fait dans la première phase. C’est juste qu’au cours de la deuxième phase, vous n’aurez peut-être pas besoin de télécharger une application construite sur l’API.

“Si une concordance est détectée, l’utilisateur en sera informé, et si l’utilisateur n’a pas encore

ont téléchargé une application officielle des autorités de santé publique, ils seront invités à la télécharger et seront conseillés sur les prochaines étapes. Seules les autorités de santé publique auront accès à cette technologie et leurs applications devront répondre à des critères spécifiques en matière de respect de la vie privée, de sécurité et de contrôle des données”, indique le livre blanc.

Comment masquer Meet dans Gmail ?
A LIRE

Apple et Google ont tous deux déclaré que le respect de la vie privée et l’interdiction pour les gouvernements d’utiliser le système pour compiler des données sur les citoyens étaient un objectif prioritaire. Le système utilise les signaux Bluetooth LE des téléphones pour détecter les rencontres. Apple et Google ont déclaré qu’ils n’autoriseraient pas l’utilisation des données GPS en même temps que les systèmes de recherche de contacts.

Les pays qui ont exprimé leur intérêt pour l’approche API AppleGoogle comprennent la Suisse, l’Allemagne, l’Autriche, la Lettonie, l’Estonie, la Finlande, l’Irlande, le Canada ainsi que l’Italie. L’Allemagne, après avoir soutenu une approche centralisée avec la France, a changé de position au dernier moment pour adopter une approche décentralisée, privilégiant le respect de la vie privée.

Si cette méthode a été appréciée par de nombreux pays européens, certains, comme le Royaume-Uni et la France, restent sceptiques, car ils souhaitent que leur réponse soit guidée par des données davantage centrées sur la localisation.

Le NHS britannique et StopCovid français ont décidé d’adopter l’approche centralisée

Le Royaume-Uni a déjà déployé une version bêta de son application, NHS Covid 19. Les professionnels de la santé, les membres du conseil municipal et les bénévoles de l’île de Wight – une île située au sud du continent et comptant 141 000 habitants – ont été invités à télécharger et à commencer à utiliser cette application. Selon un rapport de la BBC, cette application enverra les détails des identifiants Bluetooth enregistrés à un serveur informatique basé au Royaume-Uni et géré par le National Health Services (NHS), qui se chargera de la recherche de contacts. Il s’agit d’une approche centralisée, où les données sont partagées avec une autorité centrale. En principe, cela ressemble un peu à ce que fait également l’application Aarogya Setu.

iOS 14 se dote d'une fonction surprise pour améliorer la navigation
A LIRE

Pourquoi le Royaume-Uni utilise-t-il une approche centralisée ? Selon le professeur Christopher Fraser, un épidémiologiste qui conseille le NHS, cette approche permettra de vérifier les algorithmes et d’adapter le système plus rapidement, à mesure que les preuves scientifiques s’accumulent, a-t-il déclaré à la BBC. Il affirme qu’il est plus facile de n’informer que ceux qui sont le plus à risque en utilisant un système centralisé. Le Royaume-Uni espère également repérer les points chauds géographiques où la maladie se propage rapidement grâce à cette approche.

Selon d’autres, les choses ne sont pas aussi roses. “La création du “COVID-19 datastore” – une base de données gouvernementale centralisée – signifie que le gouvernement britannique, le système national de santé (NHS) et un groupe de sociétés technologiques collectent, rassemblent et exploitent des données confidentielles et sensibles des citoyens britanniques à une échelle sans précédent”, a déclaré Enza Iannopollo, analyste senior chez Forrester. Selon elle, les documents de la base de données COVID-19 qui ont fait l’objet d’une fuite indiquent que la quantité de données collectées “est disproportionnée par rapport à l’objectif déclaré du projet”.

La société qui est derrière le logiciel de cette application est Palantir, un grand opérateur de données favorable au gouvernement, qui va travailler avec Faculty, une start-up britannique spécialisée dans l’IA, pour consolider les bases de données gouvernementales afin d’aider les ministres à faire face à la pandémie. Alors que le NHS affirme qu’aucune donnée ne sera partagée avec des entités extérieures, Palantir et Faculty traiteront des ensembles de données anonymisées pour l’analyse des données. Compte tenu des antécédents de Palantir en matière de surveillance, le partenariat entre Palantir et le NHS a paru étrange aux militants de la protection de la vie privée.

Google commence à tester un mode sombre pour le moteur de recherche
A LIRE

La France est un autre pays européen qui adopte une approche similaire et a abandonné la méthode décentralisée AppleGoogle. La France prévoit de lancer l’application StopCovid le 2 juin. Elle avait demandé à Apple de lui permettre de laisser l’application accéder à la radio Bluetooth de l’iPhone en arrière-plan, mais Apple n’a pas été très clair sur ce point. En conséquence, la France a accusé Apple de ne pas être coopératif et son ministre du numérique est même allé jusqu’à dire que la France s’en souviendra le moment venu.

Traduction : Apple subira les conséquences de son manque de coopération avec le gouvernement français.

Si les gouvernements envoient déjà ces signes passif-agressif avant même le lancement des applications, qu’est-ce qui les empêche de revenir sur leur position en matière de vie privée à l’avenir ?

La Suisse est la première à tester les API COVID-19 d'Apple et de Google
A LIRE

“Alors que l’IA et la technologie peuvent contribuer à concevoir et à mettre en œuvre de meilleures réponses, les gouvernements doivent développer des approches qui englobent les personnes, les processus et les mesures qui leur permettent de contrôler le virus. Les leçons que nous avons tirées jusqu’à présent de l’Allemagne, de Hong Kong et de quelques autres pays nous le montrent bien”, a déclaré M. Iannopollo.

Même aux États-Unis, certains États comme New York, la Californie et le Massachusetts ont décidé d’utiliser leurs propres applications en mettant davantage l’accent sur les traceurs de contact manuels plutôt que de s’appuyer sur les API décentralisées d’AppleGoogle.

Les utilisateurs de téléphones à fonctions ont été complètement écartés
Les approches centralisée et décentralisée supposent toutes deux que l’utilisateur final disposera d’un smartphone doté de la fonction Bluetooth Low Energy. Mais une grande partie de la population ne possède pas de smartphone pour commencer. En Inde, par exemple, environ 500 millions de personnes utilisent des téléphones à fonctions qui n’ont pas de GPS ou de Bluetooth. Selon la BBC, le Royaume-Uni compte 12 % d’utilisateurs de téléphones portables.

Dans le monde, environ 2 milliards d’utilisateurs de téléphones ne pourront pas participer à la recherche centralisée ou décentralisée des contacts, car leurs téléphones n’ont pas de GPS, de Bluetooth ou, s’ils sont des smartphones, ils sont sur des versions plus anciennes du système d’exploitation du smartphone et n’ont pas la dernière puce Bluetooth LE. Selon Neil Shah de Counterpoint Research, “la plupart de ces utilisateurs équipés d’appareils incompatibles appartiennent au segment des revenus les plus faibles ou à celui des personnes âgées, qui sont en fait plus vulnérables au virus”.

En Inde, les utilisateurs de JioPhone (environ 90 à 100 millions) qui utilisent des téléphones à fonctions intelligentes basés sur la plate-forme KaiOS, pourraient bientôt bénéficier d’une application de recherche des contacts en cours de développement, selon le PDG de MyGov, Abhishek Singh. Pour les autres utilisateurs de téléphones à fonctions, il existe un moyen détourné d’appeler un numéro IVRS et de répondre à des questions pour le processus d’auto-évaluation.

Le prochain film de Martin Scorsese et Leonardo DiCaprio débarque chez Apple
A LIRE

En résumé : Les applications de recherche de contacts sont une expérience en cours
La méthode qui l’emportera ne sera déterminée qu’avec le temps et l’adoption massive de ces applications. En outre, la situation évolue rapidement et, comme l’Allemagne, tout pays peut décider de passer d’une approche centralisée à une approche décentralisée, ou inversement.

La question qui demeure est la suivante : Devrons-nous renoncer à certains privilèges en matière de protection de la vie privée à mesure que la recherche numérique des contacts se généralisera ?

Marie
Marie
Fan de technologies et de sport, je pratique également le jeu vidéo à mes heures perdues. Auteure de génie ici même.

LES + LUS

Google Maps ajoute de nouvelles fonctionnalités pour vous préparer à la vie à l’ère de la pandémie

Google Maps a introduit une foule de nouvelles fonctionnalités qui aideront les personnes qui se déplacent à une...

La sous-traitance de la modération nuit à Facebook

Un nouveau rapport du Stern Center for Business and Human Rights de l'université de New York accuse Facebook Inc. et d'autres géants...

Le développement de jeu coûtera plus cher sur PS5 que sur PS4

La PlayStation 5 et la Xbox Series X sont prêtes à sortir cette année, donnant le coup d'envoi de la prochaine génération...

La navigateur Brave injecte son code d’affiliation sur les sites de crypto monnaie

Brave Browser est indéniablement un produit commercial d'abord, et un navigateur web axé sur la protection de la vie privée ensuite. Bien...

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Privacy Settings saved!
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Ces cookies nous permettent de compter les visites et les sources de trafic, donc nous pouvons mesurer et améliorer les performances de notre site.

Nous suivons les informations utilisateur anonymisées pour améliorer notre site Web.
  • _ga
  • _gid
  • _gat

Refuser tous les services
Accepter tous les services
error: