Archives par mot-clé : traçage

StopCoviD : La première publication du code source de l’application de traçage serait vide et sans intérêt

Le 12 mai c’est-à-dire hier, le gouvernement procédait officiellement à la publication d’une partie du code source de StopCoviD, l’application de traçage mobile qui est censée aider durant la seconde phase du processus de déconfinement.

Les experts n’ont pas manqué immédiatement de signifier que ces bouts de code mis à la disposition étaient tout simplement inutiles. Et cela a propulsé une controverse concernant la possibilité d’accéder à l’intégralité du code source.

Cet article va aussi vous intéresser : StopCoviD, le déploiement de plus en plus polémique

Le 8 avril dernier, soit il y a un mois de cela, M. Cédric O, le secrétaire d’État chargé au numérique promettait que le code source de l’application serait « public, auditable par n’importe qui ». Après la déclaration, plus rien n’avait encore été publié jusqu’au 12 Mai. La personne choisi pour la publication du coude est GitLab, une alternative de Github de Microsoft. « Comme s’y est engagé le gouvernement, l’équipe projet démarre la publication du code source et de la documentation de l’application StopCovid. La suite très vite ! », écrit le secrétaire Cédric O sur Twitter, pour saluer à sa manière le fait que le gouvernement est tenu sa promesse.  Il a alors profité pour partager le lien du GitLab.

Pour le moment des réactions tourne entre déception, dérision et colère. En attendant que le reste du code source soit publié, car les critiques sont plus que négatif. Le code mis en ligne est totalement inutile et vide. Les spécialistes affirment ne va pouvoir travailler sur la question, car il est impossible de pouvoir analyser les instructions de l’application. Et les réponses aux messages de secrétaire numérique mettaient ce problème en avant : « Il n’y a pas le code source de l’application, mais uniquement du protocole Robert », notait le premier intervenant. « Belle transparence, aucun code source applicatif juste la documentation… et ses révisions », ajoute le second. « Pas de sources disponibles du backend serveur », révélait un troisième. « Il n’y a rien du tout, c’est du helloWorld rien de plus… ce n’est même pas une app, c’est des bouts de code d’un début de projet », concluait le dernier intervenant. Concernant le protocole Robert qui avait été publié auparavant, les experts qui avaient fait des remarques et apporté des propositions d’amendement n’ont pas pu vérifier si leurs interventions ont été prises en compte. Cet aspect est mis en avant par Olivier Blazy, maître de conférences, expert en cryptographie : « Il va falloir jouer au jeu des 7 différences pour voir si les problèmes reportés depuis plusieurs semaines ont été patchés ».

En dépit des remous et les critiques, il se pourrait que la situation change d’ici quelques semaines, voire les jours à venir. Peut-être pour défendre l’équipe en charge du développement de l’application, l’on pourrait dire qu’elle préfère procéder étape par étape. Mais cela est mal perçue par les spécialistes et autres personne qui suivant cette actualité. Car ces stratégies ressemblent trop à de la communication politique qui n’apporte rien de concret. Surtout que le déploiement est prévu pour le mois de juin, en d’autres termes dans quelques semaines. Ce qui ne laisse pas suffisamment de temps pour une analyse profonde du code source même s’il était publié ces jours-ci et faire des retours dans la mesure où il y aurait des imperfections à revoir avant son déploiement.

Cette première publication a soulevé un autre problème. En effet si l’application était censée être Open Source c’est-à-dire, vérifiable et auditable par n’importe qui, il a été mentionné dans la publication dire que certaines parties du code de StopCoviD ne pourrons être visionnées par le public, donc demeureront confidentiel. C’est ce qui a été annoncé par l’Institut en charge du projet c’est-à-dire l’INRIA (Institut national de recherche en informatique et en automatique). L’argument avancé par l’Institut explique que la partie qui restera confidentielle porte sur un ensemble de monture pour la sécurité de l’infrastructure. Bien sûr cela s’oppose totalement à ce qui a été prévu depuis le début en adéquation avec les recommandations et exigences faites par les agences gouvernementales et européennes. En effet, l’Agence nationale de la sécurité des systèmes d’information notait à cet effet que « tous les travaux menés dans le cadre du projet StopCovid seront publiés sous licence open source afin de garantir l’amélioration continue du dispositif et la correction d’éventuelles vulnérabilités » et qu’il fallait éviter de mettre en place des méthodes « d’obfuscation du code », en d’autres termes, utiliser des moyens pour cacher du code. Dans cet ordre, Guillaume Poupard le directeur de L’ANSSI déclare suite à la première publication du code source : « Dans le strict champ de la sécurité numérique, si on veut être capable de faire ça proprement, ça veut dire que l’application qui va être mise sur les téléphones doit être bien conçue, propre et de confiance. Ça veut dire qu’elle doit être bien développée, auditée et transparente, avec la publication du contenu de ce code ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La position de la Commission Nationale Informatique et Libertés sur l’appli de traçage mobile

Le plan de déconfinement du gouvernement Français va de pair avec le déploiement d’une application dont le nom n’est plus un secret.

Si le gouvernement Français estime que le traçage mobile est une solution pour endiguer la propagation du virus, il n’en demeure pas moins que le projet a déjà suscité des remous au sein de la classe des experts en sécurité informatique et les défenseurs des droits de l’homme.

Cet article va aussi vous intéresser : Traçage numérique et Covid-19 : le risque de la cybermalveillance à prendre en compte

Du côté de l’autorité indépendante de régulation de la gestion des données (la CNIL), Elle donne son avis favorable pour le déploiement de StopCoviD. Cependant, cet avis a été donné selon certaines conditions très strictes. Cela dénote clairement de la méfiance qu’observe la Commission à l’égard de ce déploiement.

La Commission Informatique et Libertés n’a pas manqué de soulever les fameux principes du respect de la vie privée et de l’intimité. La condition pour qu’elle accorde alors son crédit au déploiement de StopCoviD, c’est pour le gouvernement de garantir le respect de ces principes. « Le fait de collecter les listes de personnes que les individus ont fréquentées y porte une atteinte forte, qui ne peut, le cas échéant, être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé », souligne alors l’autorité administrative indépendante. Et d’autres termes, le droit à la santé dans ce cas, va primer sur le droit à la vie privée pour le moment. Mais il faudrait faire le maximum de la part du gouvernement pour éviter les débordements.

Par ailleurs, ce qui a été promu a été bien sûr l’anonymat des personnes concernées par ce processus. De la sorte, les données qui seront recueillies ne permettront pas d’identifier de manière directe les utilisateurs, donc, leurs informations devront être associées à des identifiants uniques et temporaires. La Commission nationale de l’Informatique et liberté met en aussi évidence l’obligation pour l’État français « de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives ». Car la nature même de données qu’ils seront collectées l’impose.

D’un autre côté, l’autorité administrative a tenue à saluer le principe du volontariat qui recouvre l’utilisation de l’application StopCoviD. Cependant, elle insiste sur le fait de rendre plus explicite les termes expliquant ce principe. De plus, les personnes qui ont choisi de ne pas installer l’application ne doivent pas être sanctionnées d’une quelconque manière. Par exemple conditionner les tests au CoviD-19, l’accès au transport commun, où la délivrance des attestations de à l’installation de l’application. Surtout, la commission exige la suppression automatique de toutes les données récoltées une fois que l’urgence sera passé sauf dans un cadre exceptionnel, dans un délai très limité pour des besoins de définition de statistique ou d’étude globale, avec l’obligation de rendre anonyme l’ensemble des informations d’identification. Au dela, ces informations devront être « supprimées dès le moment où l’utilité de l’application ne sera plus avérée ».

En outre, l’autorité administrative n’a pas manqué de révéler une réalité bien évidente. Le déploiement de l’application ne pourra pas suffire à lui seul, à la gestion du deconfinement. « Si ce type de dispositif peut potentiellement aider les autorités publiques à surveiller et à contenir la pandémie de COVID-19, en complétant les méthodes traditionnelles de recherche de contacts utilisées pour contenir la propagation des épidémies, il n’en possède pas moins des limites ». Et ces limites l’on peut clairement l’envisager. En effet, l’application doit pouvoir être téléchargeable sur un maximum de boutiques d’applications. Par ailleurs, plusieurs utilisateurs doivent le télécharger et consentir à l’utiliser comme décrit. Alors que « Une partie significative de la population ne dispose pas d’équipements mobiles adéquats ou peut éprouver des difficultés pour installer et utiliser l’application », qui sont généralement les « plus vulnérables à la maladie » ou « les plus jeunes n’ayant pas de téléphone » explique la CNIL.

Par conséquent, la Commission nationale de l’Informatique et des libertés encourage l’État à ne pas trop se précipiter dans le développement cette perspective. En voulant forcément trouver la solution la plus facile, il est clair qu’il faut aussi mettre tout en œuvre pour ne pas causer d’autres problèmes à l’avenir.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les applications de traçage contre le coronavirus, une décision qui doit relever des Etats

Dans les définitions de stratégie de lutte contre la prolifération du coronavirus, l’idée a été émise d’établir un système de traçage des individus.

De la sorte, les individus pourraient alors être alertés lorsqu’ils ont été en contact avec des personnes détectées positif au CoviD-19. Si cela est encore un projet pour certains États et autres institutions, d’autres l’ont déjà mis en pratique l’instar de la Corée du Sud. Pourtant la question reste toujours sensible. Pour beaucoup de personnes, cette question ne doit pas être traité de manière banale.

Cet article va aussi vous intéresser : Traçage numérique et Covid-19 : le risque de la cybermalveillance à prendre en compte

Le PDG de l’Inria (l’Institut national de recherche en sciences et technologies du numérique), Bruno Sportisse estime que le projet de création de système de traçage des citoyens ne doit relever que des Etats. Sa position se situe après un rapport qui devrait être produit par son institution concernant la future application qui sera utilisée pour aider à la circonscription de l’épidémie. La proposition de l’Institut national de recherche en sciences et technologies du numérique dans le document qui sera fourni porte essentiellement sur la gestion des données, qui devraient être confiées aux autorités sanitaires, pour non seulement gagner en efficacité mais pour éviter de mauvaises interprétations de données. Cela gagnera en crédibilité mais aussi permettra de réduire au maximum les faux positifs. « Si l’application génère trop de faux positifs, ce n’est pas tolérable, ça veut dire qu’il faut changer des choses dans le système. Pour que ça puisse avoir lieu, il faut que l’autorité sanitaire ait la main » sur le système et son algorithme, Soulignait à l’AFP M. Sportisse.

« Les données, partagées volontairement à la suite d’un dépistage, seraient les identifiants anonymes et temporaires des appareils croisés pendant la période d’incubation du virus: rien qui permette de retrouver l’identité des personnes concernées ou de recomposer leurs interactions sociales. » décrit le Dirigeant de l’INRIA.

Mais cela ne suffit pas pour mettre fin au débat. L’importance du serveur central dans ce débat rend encore plus difficile la prise de position, surtout que cela a pratiquement stoppé une initiative à l’échelle européenne. Si le principe de l’anonymat et du respect des règles de protection relatives aux données personnelles a été mis en avant, il n’empêche que rien n’est si évident en matière de gestion des données. Par ailleurs, des chercheurs de l’École polytechnique de Lausanne, en Suisse, qui avaient auparavant proposé un projet un peu plus décentralisé, se sont inquiétés face au manque de transparence dans l’organisation et l’orientation dont font preuve les États lors de tel projet. Pour ces derniers, les solutions centralisés sont des risques et facilitent à coup sûr les manipulations de données. Sur cette question, M. Sportisse rassure en expliquant que : « Plusieurs protocoles sont mis en concurrence. C’est sain, c’est le jeu des échanges scientifiques. ». Il ne partage pas clairement les idées qui partent sur « les qualités supposées d’un système décentralisé. » qui « ne relèvent pas de la rigueur scientifique. » « Le pair à pair n’existe pas pour ce type de projets principalement en raison de l’impact des failles de sécurité qui pourraient exister. » ajoute-il. Pour lui : « Des approches supposées être très décentralisées, qui pourraient avoir les faveurs de communautés réticentes à accorder leur confiance à une autorité centrale » qui obligerait clairement à mettre en place et système qui va consister à stocker dans chaque terminal appartement aux utilisateurs différents identifiants. Il y aura trop des détails à prendre en compte et cela risque de porter atteinte à l’efficacité de l’outil. C’est d’ailleurs pour cette raison qu’il maintient sa position selon laquelle les protocoles doivent « relever des Etats. ».

Concernant l’implémentation logicielle du protocole proposé par l’Inria, le PDG de l’Institut a assuré que le code sera partagé librement. Cependant, il ne fait pas allusion aux partenaires produits qui seront engagés sur le problème, ni même le calendrier. Ce qui est certain, c’est que ce projet sera difficilement développé sans la participation des deux géants que sont Apple et Google, qui possèdent à eux deux, la quasi-totalité des parcs logiciels de smartphones à travers leurs différents systèmes d’exploitation. Sans oublier le fait que ces deux Américains ont décidé de collaborer sur un projet similaire. Cependant le leur est beaucoup plus inspiré des chercheurs de la Lausanne avec un système décentralisé qui est hors du contrôle des autorités sanitaires. « Notre protocole repose sur d’autres hypothèses (…) Les paramètres du modèle de transmission et les données statistiques ne doivent pas être entre les mains d’une compagnie privée, aussi innovante soit-elle. » leur répondait à l’AFP concernant une possible collaboration avec le privé, M. Sportisse qui ne manque pas d’ailleurs de saluer cette alliance « sans précédent dans l’histoire de l’informatique. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un système de traçage lancé de concert par Google et Apple

Il est rare de voir Google Apple collaborer sur un projet commun.

Que ce soit à cause de la concurrence ou encore d’une certaine rivalité qui existe depuis longtemps entre ces Firmes américaines, il a fallu l’apparition du coronavirus, pour voir l’une des rares collaboration entre elles.

Cet article va aussi vous intéresser : Faille de sécurité sur Safari : Google met à nu la vulnérabilité du navigateur de Apple

En effet, le 10 avril, c’est-à-dire qu’il y a 2 jours de cela, Google et Apple ont annoncé collaborer sur la mise en place d’un système de traçage des personnes infectées du CoviD-19 ou potentiellement infectées ou encore en contact avec des infectés. L’objectif étant de limiter au maximum la propagation des virus. « Google et Apple annoncent un effort conjoint pour permettre l’utilisation de la technologie Bluetooth dans le but d’aider les gouvernements et les agences de santé à réduire la propagation du virus, en intégrant la confidentialité et la sécurité des utilisateurs au cœur de la conception. » déclaraient les deux firmes américaines.

Pour réaliser ce coup, il y aura une possibilité que les terminaux fonctionnant sous iOS et sous Android puissent échanger les informations via bluetooth, de sorte a marqué un certain suivi de contact entre les individus, et si besoin d’alerter d’autres individus. Ce système de traçage compte entrer en vigueur à partir du mois de Mai prochain. Et ce n’est pas tout, les utilisateurs auront la possibilité de pouvoir avoir accès à certaines informations provenant des institutions publiques de santé via certaines applications, et aussi partager avec ses mêmes applications des informations sanitaires. Ces logiciels seront disponibles sur les boutiques d’application des deux géants américains.

De plus, il semblerait que cela ne va pas se limiter qu’à ce simple programme. En effet « Apple et Google prévoient, dans un second temps, de développer une plateforme de suivi des contacts plus large […] qui permettrait à davantage de personnes d’y participer, si elles choisissent d’y adhérer. ». Cela sera très intéressant sur le plan technique quand on sait que les systèmes d’exploitations de ces deux géants sont actuellement les plus utilisés dans le monde. Ce qui fait de ce projet quelque chose de réalisable, mais aussi de passionnant sur le plan de la collaboration de ces rivaux « Compte tenu de l’urgence du besoin, l’objectif est de mettre en œuvre cette solution en deux étapes tout en maintenant de solides protections pour assurer le respect de la vie privée des utilisateurs. » firent la promesse les firmes de Redmond et de Cupertino.

Interrogé sur cette collaboration, les PDG de ces deux grandes entreprises, Sundar Pichai et Tim Cook n’ont pas manqué de réagir. Tim Cook sur Twitter écrivait : « Le suivi des contacts peut aider à ralentir la propagation du Covid-19 et peut se faire sans compromettre la vie privée des utilisateurs. »

Cependant d’un autre côté, des experts de la sécurité et même des associations de défense des droits expriment leur perplexité face à l’efficacité du système qui est sensé naître de cette collaboration. Selon un chercheur de l’université de Washington du nom de Ryan Calo, par ailleurs affilié au Centre pour internet et la société de Stanford note avec inquiétude : « Il est difficile de savoir quel usage ils comptent faire » des données numériques qui seront récoltées dans tout ce processus. Il ajoute par ailleurs : « S’ils pensent que le suivi numérique des contacts va permettre aux gens d’arrêter la distanciation sociale, je suis sceptique (…) Mais s’ils créent une plateforme de recherche pour les autorités sanitaires, ça pourrait être utile ». Par ailleurs, c’est au tour de l’ACLU, une organisation de défense des droits civiques d’émettre certaines réserves. si d’un côté, elle l’estime que l’idée est bien pensée et peut avoir un bénéfice, il n’en demeure pas moins que les conséquences négatives sont à prévoir certainement. Jennifer Granick, chargée de la surveillance et de la cybersécurité pour l’ACLU avertit donc : « De telles méthodes de suivi des contacts sont susceptibles d’exclure de nombreux membres vulnérables de notre société dont l’accès aux technologies est limité et qui sont déjà affectés de manière disproportionnée par la pandémie. »

Ashkan Soltani, un chercheur en sécurité informatique s’inquiète de son côté de la gestion des données par les 2 géants américains : « Si j’imagine que ces outils seront proposés sur la base du volontariat, ils finiront par devenir obligatoires une fois que les législateurs se mettront à se fier à eux pour prendre des décisions telles que qui peut quitter son domicile ou qui peut retourner au travail. (…) Cela créera un précédent incroyablement dangereux. ». A l’opposé, John Verdi, du Future of Privacy Forum de son côté n’est pas inquiet « Les plateformes mobiles ont mis en place des garde-fous techniques pour atténuer les risques de traçage et de ré-identification, qui semblent assez solides. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage