Gérer les risques
Aujourd'hui et demain

Risques industriels et environnementaux

Une application de traçage numérique éthique, Open Source et décentralisée

Pour réussir le déconfinement, les députés feront un choix décisif ce mardi concernant la technologie de traçage numérique des personnes. Ils choisiront peut-être OpenStopCovid, une initiative Open Source issue de la société civile, qui défend un protocole décentralisé et ouvert.

architecture-de-openstopcovid

Voici l’architecture d’OpenStopCovid. © D.R.

Ce mardi 28 avril, l’Assemblée nationale va voter le plan de dé-confinement du premier ministre, Édouard Philippe. Dans ce cadre, une partie des débats portera sur le traçage numérique. Les députés auront le choix entre STOPC19, l’application centralisée d’Orange, Dassault Systèmes, Sopra Steria, Capgemini, SIA Partners, Accenture et Robert, le protocole centralisé que développe Inria (2). Mais vient de surgir OpenStopCovid, une application décentralisée et respectueuse du RGPD (1), issue d’un collectif de la société civile. En outre, cette application a le mérite d’être quasiment terminée.

Des applications qui fonctionnent avec Bluetooth

Pour rappel, le traçage numérique ou « Contact Tracing » consiste à installer une application smartphone spécifique qui, à l’aide de la technologie Bluetooth, repère d’autres appareils à proximité. Ensuite, l’application enregistre les pseudonymes que ces appareils diffusent plus ou moins aléatoirement (selon les protocoles). Notons que ces pseudonymes ne peuvent être attrapés que par des smartphones équipés de la même application.

Un risque pour la protection des données personnelles

Lorsqu’un utilisateur tombe malade, plusieurs choix sont possibles. Avec STOPC19 et Robert, le smartphone envoie au serveur central la liste de tous les pseudonymes qui ont croisé l’utilisateur. Et ce, durant les 14 jours qui ont précédé l’infection. De leur côté : les autorités identifient la personne infectée. Ainsi, à partir de ces deux informations, le serveur va calculer qui a croisé qui. Le but étant de prévenir les personnes à risque. Ce qui enfreint le RGPD.

« Les autorités assurent s’en prémunir. Mais un risque existe : la constitution d’un gigantesque fichier centralisant toutes les interactions des Français », dénonce un membre du collectif OpenStopCovid. Reste que les grandes manœuvres ont commencé. Dimanche, Inria annonçait un rapprochement entre le protocole Robert et un « écosystème de contributeurs ». Dont Orange et Dassault Systèmes. « Cela donne à penser que l’État misera sur cette solution centralisée », poursuit le membre du collectif OpenStopCovid.

Alternative décentralisée et Open Source

Point fort, OpenStopCovid se base sur le protocole DP-3T de l’EPFL (3) qui élimine le spectre de la surveillance généralisée. En effet, chaque smartphone télécharge régulièrement la liste des pseudonymes des utilisateurs infectés. Puis, chacun compare automatiquement sur son propre appareil les listes de personnes croisées dans les 14 jours. Ainsi chacun est en mesure de déterminer le risque pour lui-même.

Protection cryptographique

Ensuite, la cryptographie vient au secours d’OpenStopCovid afin d’empêcher un utilisateur malveillant de lire ou exploiter ces données. De fait, le protocole DP-3T offre la possibilité d’atteindre, pour un coût réduit, de très hauts niveaux de confidentialité. En revanche, les députés vont-ils la choisir ?

Erick Haehnsen

(1) Règlement général sur la protection des données
(2) Institut national de recherche en informatique et automatique
(3) École polytechnique fédérale de Lausanne

Commentez

Participez à la discussion