Il y a 10 ans, l'État a essayé de "protéger" les internautes et l'industrie de la culture avec un logiciel dit de "contrôle des téléchargements" sous la supervision de la Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet, ou Hadopi. La pandémie de l'époque s'appelait le peer2peer, et la loi Internet et Création confiait fin 2009 à la Hadopi la mission de centraliser les constats d'infractions, de prévenir, puis de sanctionner les échanges non marchands de pair à pair.
L'une des missions de la Hadopi, rapidement tombée dans les oubliettes était de spécifier les fonctionnalités de ce logiciel qui n'a jamais vu le jour. Souvenez vous du fameux Hadopipoware, ce logiciel magique de "sécurisation de la connexion Internet". Pas même spécifié, il avait éveillé les appétits de pas mal d'acteurs, Orange en tête (toujours dans les mauvais coups), et c'est ainsi que le Hadopipoware devint failware, et fut retiré de la vente.
Il ne fallait pas être un grand devin pour lui prédire un certificat de décès prénatal. Pensez vous qu'Orange en a tiré un enseignement ? Pas du tout : on prend les mêmes et on recommence.
En confiant aux parlementaires le soin de spécifier un "truc qui doit faire ça, légalement, et débrouillez vous pour que ça fonctionne, on verra pour les effets de bord plus tard", on avait alors trouvé la meilleure méthode pour qu'il ne puisse jamais voir le jour.
Avec un tel succès et devant l'urgence qu'il y avait pour les parlementaires à voter la mise en place de vaporwares afin de sauver tous ces artistes qui mourraient sous les téléchargements de leurs fans ... quelqu'un, quelque part, s'est dit, qu'en 2020, il était temps de retenter le coup pour être bien sûr que ça ne marche pas, une sorte de vaporware témoin, que s'appelerio STOPCOVID.
Same player shoots again
Dix années plus tard, la pandémie se nomme donc COVID-19. La mission, si vous l'acceptez, est de tracer (alias "protéger") la population. On pourrait parler de "trojanoprotection", mais non, on parle de contact tracing. Sur le papier, un sympathique jouet pour geek dont nous avions déjà ici évoqué les quelques protocoles alors existants (il en pousse de nouveaux chaque semaine), et souligné qu'en l'état, c'était plutôt ludique pour faire du mesh Bluetooth dans l'espoir de ne pas recevoir de notification d'une messagerie asynchrone distribuée (une notification indiquant que vous avez évolué à un instant T au contact d'une personne contaminée). Nous assumions alors que nous parlions bien d'un protocole fonctionnant exclusivement en P2P, sans besoin de connexion Internet permanente (sinon dans le métro ça fonctionne moins bien), juste comme ça, en "LAN de proximité physique, mais néanmoins respectueux de toute la distanciation sociale imposée par un lundi matin sur la ligne A du RER".
ROBERT : ze french way
Malgré des retours très mitigés des pays qui l'ont mise en place, la France s'est donc déclarée intéressée par la piste de cette application de traçage des contacts.
- On lui a donné un nom, il s'agira en France de l'Application STOPCOVID.
- On lui a donné un protocole qui sonne plus frenchtech (bien que l'Allemagne soit aussi de la partie) et capillotracté que le singapourien BlueTrace : ROBERT(ROBERT -- ROBust and privacy-presERving proximity Tracing protocol)
- On lui a donné un Git avec des gens dedans
- Et on pourrait tout prochainement lui offrir de dignes funérailles.
Nous avions vu qu'on estimait à au moins 60% la population nécessaire d'utilisateurs d'une telle application pour espérer en tirer le moindre bénéfice. La très mauvaise question est alors "et si on obligeait tout le monde à utiliser cette application ?". Mauvaise pour plein de raisons aussi bien pratiques, techniques, que légales. Avec ce risque non nul de nous retrouver une fois de plus avec une mesure d'exception qui devient une règle sur le long terme "parce que c'est bien pratique®", parce que ça ne fonctionne pas que pour des pandémies, et que tout le monde au final tire un intérêt à fliquer ou se laisser fliquer...
Vers un contact tracing souverain ?
Pour tenter de vendre un peu le contact-tracing, l'INRIA est même venue à la rescousse pour défendre ROBERT par la voix de son PDG. Pas de chance, quelque chose a du mal se goupiller, des mails ont du se perdre, des chercheurs du même INRIA ont lancé dans le même temps le site Risques Traçage qui vient expliquer avec des mots simples qu'une telle application n'est pas sans risque.
C'est aussi avec ROBERT, Google et Apple que pointent de vrais problèmes. Là où les autres protocoles proposaient du vrai P2P, ROBERT veut faire "mieux", plus "efficace", et de fait bien plus effrayant que le jouet pour geek en Bluetooth qui plante en moins de 10 minutes et vide votre batterie en moins de 20...
Du souverain qui "fonctionnera" moins bien ?
Imaginez que ça fonctionne ? Ça pourrait, si Apple et Google donnaient à ROBERT les clés de la baraque. C'est en tout cas ce que Google et Apple veulent permettre aux États (les autorités de santé) en proposant dans leurs OS mobiles respectifs une API Bluetooth et un framework dédiés au contact tracing, mais leur contact tracing à eux, bien normé, avec rien qui dépasse, et surtout pas un ROBERT. Il s'agit en fait de lever des restrictions qu'ils avaient posé face à des utilisations abusives (notamment à des fins de tracking publicitaire). Voici les nouvelles spécifications. "Dans un premier temps, en mai, les deux sociétés lanceront des API permettant l’interopérabilité entre appareils Android et iOS utilisant des apps provenant des autorités de santé. Ces apps officielles pourront être téléchargées par les utilisateurs via leurs app stores respectifs. "
Openbar sur le Bluetooth ?
En se positionnant en amont des applications, directement au niveau du système d'exploitation, fermé, les deux sociétés offrent la possibilité aux États de faire à peu près ce qu'ils veulent du chipset Bluetooth via l'OS, en fonction de leur approche et de leur législation. C'est "intelligent" et on comprend la "légitimité" qu'ils ont à le faire, mais très risqué. C'est à partir de maintenant dans notre petite histoire que l'on peut commencer à se dire que ça peut mal se terminer. Une fois que cette fonctionnalité existe pour un État, et qu'il décide d'utiliser ce système pour un autre sujet et à des fins moins "nobles" ? Qui va décider du curseur moral justifiant telle ou telle fonctionnalité ? Google et Apple pourront selon quels critères décider que l'utilisation de cette trousse à outils est moralement acceptable pour telle ou telle utilisation ?
Vu les abus déjà constatés, Google et Apple vont offrir ces nouvelles levées de restrictions (ne serait-ce que sur la gestion de la veille automatique du Bluetooth) aux États et non aux sociétés privées, ou aux développeurs qui souhaiteraient réaliser une implementation libre d'un protocole de contact tracing. Les données seraient collectées en Bluetooth, traitées par Apple et Google, et accessibles aux autorités de santé, toujours "anonymisées"... plus à la seule destination des utilsateurs réciproquement en contact à un instant T pendant N minutes.
Avec ce système, nous avons l'assurance d'avoir ce que nous ne voulons pas : une base de données d'identifiants "anonymisés" de personnes contaminées. Du proof of concept pour geek en peer2peer, on passerait donc à quelque chose de plus inquiétant. Apple et Google offrent la méthode et les capacités de traitement aux autorités de santé des États, et à terme, une solution "clé en main". Manque de chance, ROBERT n'avait pas anticipé le projet commun d'Apple et Google, et Cédric O peste de son côté sur ces limitations qu'il aimerait bien voir levées. À ce stade, l'impasse est bien réelle.
Le recours au contact tracing va faire l'objet d'un vote au Parlement. Ses modalités, les fonctionnalités attendues, ses défis en matière de sécurité (comment l'application va gérer/détecter une bête attaque replay ou les MITM, qui pourra se déclarer malade de l'utilisateur ou du médecin traitant, etc.) seront donc discutées par les parlementaires à qui on a juré la main sur le coeur la plus grande sécurité, le plus grand anonymat (...). Ils découvriront l'application une fois installée sur leur téléphone et constateront que celui-ci n'a plus que 2 heures d'autonomie en veille. Enfin, ils feront comme tout le monde, ils désinstalleront cette application.
En pratique, ce débat n'aura pas servi à grand chose, car en dehors du proof of concept, le contact tracing en Bluetooth n'a aucun avenir avec nos terminaux actuels si l'on souhaite atteindre un seuil d'utilisation exploitable, un seuil péniblement atteignable même au cas ou cette improbable application devenait "obligatoire".
