Comment Apple et Google protègent votre vie privée tout en avertissant de l’exposition au COVID

La Virginie a activé les services de notification d’exposition COVID-19 sans application pour les utilisateurs d’iPhone, rejoignant la Californie, le Colorado, le Connecticut, Hawaï, le Maryland, le Minnesota, le Nevada, Washington, le Wisconsin et le district de Columbia. Cela signifie que les utilisateurs d’iPhone dans ces états n’auront pas besoin d’installer des applications de notification d’exposition et peuvent à la place activer les notifications dans les paramètres du téléphone.

Les services utilisent le système de notification d’exposition au coronavirus construit conjointement par Apple et Google pour leurs systèmes d’exploitation de smartphone, iOS et Android, que les entreprises ont mis à jour pour fonctionner sans applications. Le système utilise la technologie de communication sans fil Bluetooth à courte portée omniprésente.

Depuis janvier, 20 États et le district de Columbia utilisent le système pour les applications de notification d’exposition et les services sans application. Toutes les applications et services sont volontaires; cependant, l’île de Maui à Hawaï oblige désormais les visiteurs à en utiliser un.

Des dizaines d’applications sont utilisées dans le monde pour alerter les gens s’ils ont été exposés à une personne qui a été testée positive au COVID-19. Beaucoup d’entre eux signalent également l’identité des personnes exposées aux autorités de santé publique, ce qui a soulevé des problèmes de confidentialité. Plusieurs autres projets de notification d’exposition, notamment PACT, BlueTrace et le projet COVID Watch, adoptent une approche de protection de la vie privée similaire à l’initiative d’Apple et de Google.

Récemment, une étude a révélé que la recherche des contacts peut être efficace pour contenir des maladies telles que le COVID-19 si une grande partie de la population y participe. Les systèmes de notification d’exposition comme le système Apple-Google ne sont pas de véritables systèmes de traçage des contacts, car ils ne permettent pas aux autorités de santé publique d’identifier les personnes qui ont été exposées à des personnes infectées. Mais les systèmes de notification d’exposition numérique ont un gros avantage: ils peuvent être utilisés par des millions de personnes et avertir rapidement ceux qui ont eux-mêmes été exposés à la quarantaine.

Alors, comment fonctionne le système de notification d’exposition Apple-Google? En tant que chercheurs qui étudient la sécurité et la confidentialité des communications sans fil, nous avons examiné les spécifications du système et évalué son efficacité et ses implications en matière de confidentialité.

Balises Bluetooth

Parce que Bluetooth est pris en charge sur des milliards d’appareils, cela semble être un choix de technologie évident pour ces systèmes. Le protocole utilisé pour cela est Bluetooth Low Energy, ou Bluetooth LE en abrégé. Cette variante est optimisée pour une communication économe en énergie entre les petits appareils, ce qui en fait un protocole populaire pour les smartphones et les appareils portables tels que les smartwatches.

Bluetooth LE communique de deux manières principales. Deux appareils peuvent communiquer entre eux via le canal de données, comme une montre intelligente se synchronisant avec un téléphone. Les appareils peuvent également diffuser des informations utiles aux appareils à proximité via le canal publicitaire. Par exemple, certains appareils annoncent régulièrement leur présence pour faciliter la connexion automatique.

Pour créer une application de notification d’exposition à l’aide de Bluetooth LE, les développeurs peuvent attribuer à tout le monde un identifiant permanent et faire en sorte que chaque téléphone le diffuse sur un canal publicitaire. Ensuite, ils pourraient créer une application qui reçoit les identifiants afin que chaque téléphone puisse conserver un enregistrement des rencontres étroites avec d’autres téléphones. Mais ce serait une violation flagrante de la vie privée. Diffuser des informations personnellement identifiables via Bluetooth LE est une mauvaise idée, car les messages peuvent être lus par toute personne à portée.

Echanges anonymes

Pour contourner ce problème, chaque téléphone diffuse un long numéro aléatoire, qui est fréquemment changé. D’autres appareils reçoivent ces numéros et les stockent s’ils ont été envoyés à proximité. En utilisant des nombres longs, uniques et aléatoires, aucune information personnelle n’est envoyée via Bluetooth LE.

Apple et Google suivent ce principe dans leurs spécifications mais ajoutent un peu de cryptographie. Tout d’abord, chaque téléphone génère une clé de traçage unique qui est conservée de manière confidentielle sur le téléphone. Chaque jour, la clé de traçage génère une nouvelle clé de traçage quotidienne. Bien que la clé de traçage puisse être utilisée pour identifier le téléphone, la clé de traçage quotidienne ne peut pas être utilisée pour déterminer la clé de traçage permanente du téléphone. Ensuite, toutes les 10 à 20 minutes, la clé de traçage quotidienne génère un nouvel identifiant de proximité glissant, qui ressemble à un long nombre aléatoire. C’est ce qui est diffusé sur d’autres appareils via le canal publicitaire Bluetooth.

Une personne testée positive au COVID-19 peut divulguer une liste de ses clés de traçage quotidiennes, généralement des 14 jours précédents. Les téléphones de tous les autres utilisent les clés révélées pour recréer les identifiants de proximité mobiles de la personne infectée. Les téléphones comparent ensuite les identifiants positifs au COVID-19 avec leurs propres enregistrements des identifiants qu’ils ont reçus des téléphones à proximité. Une correspondance révèle une exposition potentielle au virus, mais elle n’identifie pas le patient.

La plupart des propositions concurrentes utilisent une approche similaire. La principale différence est que les mises à jour du système d’exploitation d’Apple et de Google atteignent automatiquement beaucoup plus de téléphones qu’une seule application. De plus, en proposant une norme multiplateforme, Apple et Google permettent aux applications existantes de se superposer et d’utiliser une approche de communication commune et compatible qui pourrait fonctionner dans de nombreuses applications.

Aucun plan n’est parfait

Le système de notification d’exposition Apple-Google est très sécurisé, mais il ne garantit ni l’exactitude ni la confidentialité. Le système peut produire un grand nombre de faux positifs car être à portée Bluetooth d’une personne infectée ne signifie pas nécessairement que le virus a été transmis. Et même si une application n’enregistre que des signaux très forts comme proxy pour un contact étroit, elle ne peut pas savoir s’il y avait un mur, une fenêtre ou un sol entre les téléphones.

Même si cela est peu probable, il existe des moyens par lesquels les gouvernements ou les pirates informatiques pourraient suivre ou identifier les personnes utilisant le système. Les appareils Bluetooth LE utilisent une adresse publicitaire lors de la diffusion sur un canal publicitaire. Bien que ces adresses puissent être randomisées pour protéger l’identité de l’expéditeur, nous avons démontré l’année dernière qu’il est théoriquement possible de suivre les appareils pendant de longues périodes si le message publicitaire et l’adresse publicitaire ne sont pas synchronisés. Au crédit d’Apple et de Google, ils demandent que ceux-ci soient modifiés de manière synchrone.

Mais même si l’adresse publicitaire et l’identifiant mobile d’une application de coronavirus sont modifiés de manière synchronisée, il peut toujours être possible de suivre le téléphone de quelqu’un. S’il n’y a pas un nombre suffisamment grand d’autres appareils à proximité qui changent également leurs adresses publicitaires et leurs identifiants de roulement de manière synchronisée – un processus connu sous le nom de mixage -, quelqu’un peut toujours suivre des appareils individuels. Par exemple, s’il y a un seul téléphone dans une pièce, quelqu’un pourrait le suivre car c’est le seul téléphone qui pourrait diffuser les identifiants aléatoires.

Une autre attaque potentielle consiste à enregistrer des informations supplémentaires avec les identifiants de roulement. Même si le protocole n’envoie pas d’informations personnelles ou de données de localisation, les applications de réception peuvent enregistrer quand et où elles ont reçu des clés d’autres téléphones. Si cela était fait à grande échelle, comme une application qui collecte systématiquement ces informations supplémentaires, elle pourrait être utilisée pour identifier et suivre les individus. Par exemple, si un supermarché enregistrait la date et l’heure exactes des identifiants de proximité roulants entrants à ses couloirs de caisse et combinait ces données avec des balayages de carte de crédit, le personnel du magasin aurait une chance raisonnable d’identifier quels clients étaient COVID-19 positifs.

Et comme les balises publicitaires Bluetooth LE utilisent des messages en texte brut, il est possible d’envoyer de faux messages. Cela pourrait être utilisé pour troller les autres en répétant à de nombreuses personnes des identifiants de proximité roulants positifs au COVID-19, ce qui entraîne des faux positifs délibérés.

Néanmoins, le système Apple-Google pourrait être la clé pour alerter des milliers de personnes qui ont été exposées au coronavirus tout en protégeant leur identité, contrairement aux applications de traçage des contacts qui rapportent des informations d’identification au gouvernement central ou aux bases de données d’entreprise.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.