Covid-19 : une application de “contact tracing” déjà épinglée aux Pays-Bas
Si les applications de “contact tracing” – qui visent à permettre aux utilisateurs de savoir s’ils sont entrés en contact avec un porteur du virus récemment – ont le vent en poupe, leur développement ne va pas sans aléas de sécurité. C’est ainsi qu’un application mobile proposée aux autorités néerlandaise comme moyen de tracer l’évolution de la pandémie a été jugée en-deçà des normes de sécurité acceptables en raison de la fuite de données d’utilisateurs.
L’application, Covid19 Alert, était l’une des sept applications présentées au gouvernement néerlandais, comme le rapporte ce lundi le site RTL Nieuws. Le code source de l’application mobile présélectionnée a été publié en ligne le week-end dernier afin d’être examiné par le gouvernement qui décidera de la solution à adopter. Las, il n’a pas fallu longtemps pour que les développeurs se rendent compte que les fichiers sources contenaient des données utilisateur provenant d’une autre application.
L’application contenait en effet près de 200 noms complets, adresses e-mail et mots de passe d’utilisateurs hachés, stockés dans une base de données provenant d’un autre projet lié à un développeur d’Immotef. Si le code-source a été rapidement retiré, le mal semble être fait, un développeur critiquant déjà la fuite comme étant le fait “d’amateurs”. Reste donc à voir si Covid19 Alert ira plus loin dans le processus de sélection, qui est en cours chez nos voisins néerlandais.
Différentes options à l’étude en France
Que ce soit à l’international ou en France, les applications de “contact tracing” font pourtant des émules. Alors que les autorités sont actuellement en train de mettre au point une application de “contact tracing” via l’Inria, un nouveau candidat vient de se déclarer pour développer une solution similaire. Il s’agit d’Orange, qui l’a annoncé ce vendredi par la voix de son PDG, Stéphane Richard.
Reste que le fait de forcer le grand public à installer ce type d’applications commence à susciter un certain nombre de préoccupations en matière de protection de la vie privée et de sécurité, notamment en ce qui concerne la manière dont les données de géolocalisation sont stockées et pourraient être détournées. La question qui se pose est de savoir si les informations pourront être anonymisées correctement, et comment le fait de suivre la population pourrait à l’avenir avoir une incidence sur nos droits fondamentaux.
Début avril, 130 scientifiques, universitaires et experts en technologie ont lancé l’initiative paneuropéenne PEPP-PT, un programme européen conçu pour superviser le développement des applications de traçage du Covid-19. Des chercheurs de l’université de Boston ont également proposé une méthode alternative pour le suivi de Covid-19 qui n’entrave pas notre vie privée. Celle-ci consiste en une application mobile volontaire installée sur nos smartphones, qui exploite des technologies de diffusion à courte portée – comme la NFC ou Bluetooth – et transmet les numéros d’identification, qui changent fréquemment, aux personnes se trouvant à proximité.
Il s’agit de la voie adoptée par l’Inria, qui pilotera le projet d’application Stop Covid dans le cadre du Pan European Privacy Preserving Proximity Tracking (PEPP-PT). Initié par l’Inria, le Fraunhofer Heinrich Hertz Institut et l’Ecole fédérale Polytechnique de Lausanne, ce projet vise à développer des solutions de pistage des individus respectueuses de la vie privée et du RGPD. Fondée au mois de mars, l’organisation basée en Suisse regroupe aujourd’hui plus de 120 organisations et acteurs européens, qui travaillent sur le développement de technologies utilisables par les gouvernements et propose un premier aperçu du cahier des charges envisagé pour la mise en place d’une application de ce type.
