StopCovid : les secrets d'un challenge technique ! On vous dit tout !

[Didier]

J’ai relu 2 fois l’article sans y trouver une caractéristique importante de ROBERT : le serveur stocke le graphe social des COVID+. Cette information, personne ne la possède aujourd’hui : Facebook ne sait pas qui vous avez rencontré hier, etc.

Facebook et Google savent parfaitement qui tu as rencontré hier, tu es localisé avec un GPS. Ici, pas de données de localisation, et tout est anonyme... donc même en cas de piratage, il faudrait encore que le serveur moucharde tes adresses IP, ou ce genre de chose. Et pour ça, il y a des audits...

[Didier]

Un des points qu'il soulève, que j'ai trouvés intéressants et qui est toujours écarté des débats (alors que crucial !) est que la fonction d'identification des cas potentiels de Covid-19 à partir du % de la population qui a installé l'application est quadratique : si 20% d'une population a installé l'application, alors dans le meilleur des cas seulement 20% x 20% = 4% des cas potentiels seront détectés (puisqu'il faut que l'application ait été installée 2 fois, par le malade et par la personne potentiellement contaminée)... Autrement dit, de manière objective, étant donné le scepticisme ambiant en France, ce n'est pas gagné.

Il est clair que l'app devrait être obligatoire pour que ça marche au mieux, comme l'a d'ailleurs été le confinement. Mais si ça peut sauver même 10% des potentiels malades, c'est toujours ça de moins dans les hopitaux non ? Et comme je le dis plus haut, ça sera toujours un "test" grandeur nature pour la fois où on aura une épidémie vraiment grave, qui touche toutes les catégories de population.

En Corée, ils ont donné des bracelets bluetooth pour les personnes qui n'avaient pas de smartphone. Là encore, il faut partir gagnant et pas regarder uniquement ce qui ne marche pas...

[Alin]

500 lignes pour rien , beaucoup d’infos intéressantes et on reste dans la confusion améliorée avec un point d’interrogation: c’est comme la météo : je vous dirai demain qu’elle temps il a fait aujourd’hui , c’est la seule façon de ne pas se tromper .

[diligiant]

J’ai relu 2 fois l’article sans y trouver une caractéristique importante de ROBERT : le serveur stocke le graphe social des COVID+. Cette information, personne ne la possède aujourd’hui : Facebook ne sait pas qui vous avez rencontré hier, etc.

Facebook et Google savent parfaitement qui tu as rencontré hier, tu es localisé avec un GPS. Ici, pas de données de localisation, et tout est anonyme... donc même en cas de piratage, il faudrait encore que le serveur moucharde tes adresses IP, ou ce genre de chose. Et pour ça, il y a des audits...

C'est inexact : Si d'aventure j'avais donné un accès permanent à ma localisation à Facebook et consorts, ils sauraient effectivement que j'étais chez Monoprix de 12h à 12h15. Ils pourraient dans les mêmes conditions savoir que Mr X était chez Monoprix de 11h55 à 12h20. Mais ni Facebook ni personne ne sait que j'ai parlé quelques minutes avec Mr. X à cette occasion. Personne. Ceci serait la plus grande intrusion dans ma vie privée jusqu'à présent, un « Hot Social Graph ».

C'est d'ailleurs ce que veut accomplir (pas la surveillance) l'administration avec les brigades de suivi des cas contacts. C'est StopCOVID en bien plus intrusif puisque c'est explicitement nominatif, sans demander leur autorisation à nos supposés contacts.

Donc s'agissant de StopCOVID et des brigades, c'est non. Si je suis diagnostiqué COVID+, je préviendrais mes cas contacts (si je suis en mesure de me souvenir de leurs noms et de leur numéro de téléphone, je pense être capable de décrocher mon téléphone ou de leur envoyer un message . )

Concernant Facebook, vous retrouvez les statistiques d'Apple montrant que depuis les nouvelles mode d'accès et les alertes sur la localisation (iOS 13), « Toujours » a diminué de façon drastique. Ce qui prouve bien que lorsque les gens réfléchissent, ils ne veulent pas être suivis.

Vous finissez en parlant d'audit nous permettant de nous assurer qu'il n'y a pas de loup. Si vous avez raison, pourquoi demander que les sources des App soient publiés, un audit devrait suffire ? Surtout que rien ne nous empêche de les désassembler ? C'est la raison pour laquelle le serveur doit ne rien faire, ne rien savoir. Pour que nous n'ayons pas besoin d'avoir confiance en « lui ». C'est d'ailleurs un domaine de recherche très important en sécurité (#zerotrust).

[diligiant]

Enfin, dire que les autres étaient en retard par rapport à la France est simplement faux : les sources DP-3T sont disponibles depuis longtemps. En France nous n’avons que des PDFs…

Il faut arrêter de dire ça car c'est totalement faux : aujourd'hui, 100% des apps en production utilisent un protocole centralisé et indépendant d'Apple et de Google. le DP-3T a été développé début avril à l'EPFL et il est en beta-test actuellement SANS les API d'Apple et de Google... qui seront peut-être intégrées, car Apple/Google s'est inspiré de ce dernier pour créer sa solution -mais Apple aurait très bien pu choisir ROBERT et dans ce cas, la France aurait aussi fait la bascule, très certainement. Quant à l'Angleterre, elle n'a pas encore fait la bascule chez Apple/Google, c'était juste une "interrogation" qui n'a pas abouti pour l'instant.

On peut au maximum les qualifier d'expérimentations tant cela a été déceptif (Singapour par exemple). Et puisque vous suivez l'actualité, vous savez que tout le monde est en train de converger vers le décentralisé.

S'agissant de ROBERT, si vous avez vu autre chose que des PDFs, je suis preneur…

Non, Apple et Google n'auraient pas pu pu choisir un protocole centralisé car il donne trop de pouvoir à un objet central ce qui est à l'extrême opposé de la démarche d'Apple. Vous avez peut-être raison d'avoir toute confiance dans l'administration française mais les chinois ne peuvent pas se payer ce luxe, pour ne citer qu'eux.

D'agissant de DP-3T (ne pas oublier que PACT du MIT est sorti en même temps), la question ne se pose pas de choisir A&G, c'est une évidence technique bien explicité dans les readme du projet :

Our immediate roadmap is: to support the Apple/Google wire protocol, to be forward-compatible, and to support the actual Apple/Google API as soon as it is released to iOS and Android devices.

Les autorités françaises qui se retrouvent de plus en plus seule ici essaient de créer une polémique de souveraineté mais dans ce cas, il faudrait être cohérent et n'utiliser aucun Framework « sécurité » fourni par Apple et Google, TLS en premier lieu. Dans aucune application gouvernementale.

[Debb]

@diligiant

Tu as des raisonnements tellement bas du front, c'est affreusement pénible à lire. Relis l'article, tu verras qu'aucun programme proposé au public pour l'instant n'est décentralisé, c'est pas un hasard et c'est pas spécifique à la France. Et si tu étais un peu + perspicace, tu saurais que la forme décentralisée offre au moins autant de risques qu'un serveur central, tout est bien expliqué ici. Enfin, j'espère que si t'as le COVID, tu te souviendra de tous les gens que tu as croisé dans le métro, chez le fleuriste ou à la caisse... ah bah non, vu que tu les connais pas ! Merci pour eux !

[diligiant]

@diligiant

Tu as des raisonnements tellement bas du front, c'est affreusement pénible à lire. Relis l'article, tu verras qu'aucun programme proposé au public pour l'instant n'est décentralisé, c'est pas un hasard et c'est pas spécifique à la France. Et si tu étais un peu + perspicace, tu saurais que la forme décentralisée offre au moins autant de risques qu'un serveur central, tout est bien expliqué ici. Enfin, j'espère que si t'as le COVID, tu te souviendra de tous les gens que tu as croisé dans le métro, chez le fleuriste ou à la caisse... ah bah non, vu que tu les connais pas ! Merci pour eux !

Tout d'abord, le tutoiement est réservé aux personnes qui l'on connait ; c'est important la courtoisie.

Ensuite, permettez-moi de vous suggérer quelques lectures :
- https://www.reuters.com/article/us-health-coronavirus-europe-tech/european-coalition-takes-shape-on-coronavirus-contact-tracing-idUSKBN22J1N8 : 7 pays d'Europe.
- https://www.reuters.com/article/us-health-coronavirus-europe-tech/germany-flips-on-smartphone-contact-tracing-backs-apple-and-google-idUSKCN22807J : + 1, cela fait 8 pays d'Europe.
- https://www.ft.com/content/d44beb06-5e3e-434f-a3a0-f806ce06576c : je vais être sport, je ne vais pas encore le compter.

Donc 8 pays ont d'ores et déjà fait le choix du modèle décentralisé, l'un d'eux (l'Allemagne) ayant bruyamment renvoyé son partenaire universitaire co-auteur de ROBERT.

Mais cela ne s'arrête pas là,
- https://techcrunch.com/2020/04/20/academics-contact-tracing/, la déclaration initiale est ici https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view. Il y a une pétition en ligne dont je n'ai pas retrouvé le lien avec des centaines de noms supplémentaires.
- https://www.acteurspublics.fr/evenement/recours-aux-gafam-centralisation-les-choix-techniques-sur-stopcovid-ont-attise-les-tensions-au-sein-de-letat permet peut-être de comprendre pourquoi la France est isolée.

Pour terminer, vous ne connaissez peut-être pas les auteurs de DP-3T mais vous connaissez peut-être certains auteurs de son cousin germain PACT du MIT ; en particulier, Ron Rivest, le R de RSA, l'algorithme de chiffrement asymétrique sur lequel repose en grande partie le chiffrement d'Internet.

Mais si je suis votre raisonnement, ces 8 pays européens (et il y en a d'autres), ces centaines de chercheurs (dont certains de l'INRIA, patrie de ROBERT) se trompent et la France (en tout état de cause une partie de l'administration et de l'INRIA) aurait raison, envers et contre tous.

Je salue votre patriotisme !

[Macintosh]

Du coup les iphone vont pouvoir échanger leurs "id" avec les androids mais un appareil android peut aussi faire le "pont" entre deux iphone s'ils se trouvent tous les trois à proximité au même moment ? Ou c'est plus approximatif et ça va juste supposer sans véritable précision que les deux utilisateurs d'iphone ont pu se croiser s'ils ont tous deux croisé l'utilisateur android à un moment proche.

Les iPhone ont juste besoin de se faire "réveiller" si jamais ils sont tous en veille et pour cela, ils ont besoin d'un Android/iBeacon. Une fois réveiller, tout le monde discute, iPhone et Android, peu importe.

Merci c'est beaucoup plus clair

[Didier]

Vous finissez en parlant d'audit nous permettant de nous assurer qu'il n'y a pas de loup. Si vous avez raison, pourquoi demander que les sources des App soient publiés, un audit devrait suffire ? Surtout que rien ne nous empêche de les désassembler ? C'est la raison pour laquelle le serveur doit ne rien faire, ne rien savoir. Pour que nous n'ayons pas besoin d'avoir confiance en « lui ». C'est d'ailleurs un domaine de recherche très important en sécurité (#zerotrust).

Sans autorité sanitaire centralisée, même le DP-3T ne peut pas fonctionner (l'auto-diagnostique n'est pas possible). Comme je l'explique dans l'articles, les risques sont assez comparables entre les 2 approches, il n'y en a pas une vraiment meilleure que l'autre. Pour le moment, il n'y a aucune app "décentralisée" en production.

Quant à la prétendue "isolation" de la France, elle n'est pas plus isolée que Singapour, l'Australie, l'Angleterre ou la Pologne. D'ailleurs, je précise qu'une bonne moitié des pays de la planète (et pas tous sont des disctatures) ont carrément opté pour de la pure localisation (voir la liste ici)

[diligiant]

Vous finissez en parlant d'audit nous permettant de nous assurer qu'il n'y a pas de loup. Si vous avez raison, pourquoi demander que les sources des App soient publiés, un audit devrait suffire ? Surtout que rien ne nous empêche de les désassembler ? C'est la raison pour laquelle le serveur doit ne rien faire, ne rien savoir. Pour que nous n'ayons pas besoin d'avoir confiance en « lui ». C'est d'ailleurs un domaine de recherche très important en sécurité (#zerotrust).

Sans autorité sanitaire centralisée, même le DP-3T ne peut pas fonctionner (l'auto-diagnostique n'est pas possible). Comme je l'explique dans l'articles, les risques sont assez comparables entre les 2 approches, il n'y en a pas une vraiment meilleure que l'autre. Pour le moment, il n'y a aucune app "décentralisée" en production.

Quant à la prétendue "isolation" de la France, elle n'est pas plus isolée que Singapour, l'Australie, l'Angleterre ou la Pologne. D'ailleurs, je précise qu'une bonne moitié des pays de la planète (et pas tous sont des disctatures) ont carrément opté pour de la pure localisation (voir la liste ici)

Vous avez raison, il n'est pas question de se passer d'un autorité de santé. Il est même question de lui confier la « certification » des diagnostics positifs (cf par exemple https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Upload%20Authorisation%20Analysis%20and%20Guidelines.pdf ; Apple et Google en parlent également). Rien ne serait pire que de fausses déclarations (Le problème reste entier avec le suivi manuel puisque si vous êtes contact on vous demande de vous isoler 7j avant de faire un test.)

Pardon si je ne me suis pas fait comprendre plus haut : Dans le scénario centralisé, les contacts d'un COVID+ quittent le téléphone de cette personne. De ce fait, un endroit central possède le graphe social "chaud" des COVID+. Cette information est extrêmement personnelle et c'est précisément la raison pour laquelle il y a une telle mobilisation contre ce dispositif. C'est la même raison qui a déclenché une résistance des médecins à être le premier maillon du suivi des cas contacts.

Et s'agissant de les comparer, vous avez raison, il n'y en a pas une meilleure que l'autre, il y en a une qui présente un risque d'usage malveillant (par l'administration ou un hackeur) bien plus important.

D'ailleurs, vous devriez y voir un parallèle avec Apple vs Google : Dans Photos, l'algorithme de ML tourne localement, dans Google Photos, cela se passe dans les serveurs de Google. Idem Group FaceTime vs Zoom, quand le monde a découvert à l'occasion de cette pandémie que les serveurs de Zoom avaient accès aux conversations, ce qui vient de les contraindre à acheter Keybase pour déployer un chiffrage de bout en bout.

Nous allons laisser de côté pour l'instant les pays qui se moquent des droits de leurs citoyens (Singapour a abandonné son app qui ne fonctionnait pas et a adopté un système approximatif mais infiniment plus intrusif, SafeEntry. Mes contacts a SG me disent que cependant, une v2 de TraceTogether est en cours de réalisation.)

En Europe la quasi totalité de nos voisins (je parie volontiers s'agissant de la Grande-Bretagne) travaillent à la mise en place d'une réponse commune. Cela ne vous interpelle pas ? Même si nous avions raison seuls (c'était le cas pour le SECAM ), que va-t-il se passer lorsque les frontières seront rouvertes ?

Mais je suis optimiste, je pense que cela va se régler.

[Didier]

Dans le scénario centralisé, les contacts d'un COVID+ quittent le téléphone de cette personne. De ce fait, un endroit central possède le graphe social "chaud" des COVID+. Cette information est extrêmement personnelle et c'est précisément la raison pour laquelle il y a une telle mobilisation contre ce dispositif. C'est la même raison qui a déclenché une résistance des médecins à être le premier maillon du suivi des cas contacts.

Ça n'a rien à voir : les médecins ont les identités des patients, qui vont dénoncer leurs contacts, avec leurs identités et leurs No de sécu. Dans le cas de ROBERT par exemple, il n'y a aucune information personnelle : un graphe anonyme reste bien moins gênant d'un point de vue de la vie privée et il reste complexe à pirater.

Et s'agissant de les comparer, vous avez raison, il n'y en a pas une meilleure que l'autre, il y en a une qui présente un risque d'usage malveillant (par l'administration ou un hackeur) bien plus important..

Vous n'avez pas bien lu l'article alors : votre employeur ou votre assureur peut savoir si vous avez été malade, avec le modèle décentralisé. Sans hack, sans rien, ça se fait super facilement, j'ai même mis un lien vers l'app en question. Avec un serveur central, il faut non seulement le piratage du serveur, mais une prise de contrôle de logging par exemple. Ça demande beaucoup plus de moyens... Mais la même chose peut-être faite du côté de l'app en mode décentralisée, qui moucharde à un serveur tiers par exemple. Chez Apple, la distribution des apps se fait de manière centralisée, et elle pourrait se faire pirater de la même manière qu'une administration publique.

En Europe la quasi totalité de nos voisins (je parie volontiers s'agissant de la Grande-Bretagne) travaillent à la mise en place d'une réponse commune. Cela ne vous interpelle pas ? Même si nous avions raison seuls (c'était le cas pour le SECAM ), que va-t-il se passer lorsque les frontières seront rouvertes ?

Quand les frontières se rouvriront, ces apps ne seront sans doute plus vraiment utiles, donc l'interopérabilité reste assez hypothétique pour l'instant -mais c'est une vraie question, cf fin de l'article. La comparaison avec le SECAM est ridicule, je pourrais aussi prendre l'histoire des prises électriques ou des couleurs des panneaux d'autoroute, la France n'a pas plus, pas moins de systèmes propriétaires que les autres, par contre, elle a des citoyens qui ont le don de le croire. Je rappelle encore une fois que 100% des apps actuellement en production utilisent un système centralisé et que rien n'empêche la France de créer une version décentralisée dans un second temps s'il s'agit d'une meilleure alternative, tout comme va le faire (a priori) l'Allemagne.

[cirenobel]

Merci à la rédaction pour cet état des lieux subjectif.
Merci à @blmfiresback pour ses précisions un peu moins subjectives, mais je partage ses craintes......

[fred33]

«  dans quelle mesure Apple a-t-elle la légitimité de nous imposer son protocole ? »

Juste pour dormir moins bête, Apple et Google auraient pu choisir un protocole américain mais ont préféré la proposition technologique des chercheurs Suisses à quelques heures de Paris.

Ce qui aurait pu être vu comme une reconnaissance légitime du savoir de la culture technologique et savoir faire Européen passe maintenant pour une menace.

Google, Waze, Facebook et Consors pillent tous les jours bien plus de données dans la quasi indifférence mais c’est moins grave ?

Apple et Google proposent chacun « leur implémentation » ce qui est différent. Il sera facile de tester et de vérifier le bon fonctionnement du protocole, voire d’obtenir le code pour les états.

C’est le cas de nombreux protocoles bien connus. C’est le cas de TCP IP a qui été adopté sans heurt alors qu’à l’origine cela provient du Département de La Défense (DoD) US.

[mhausherr]

Pardon si je ne me suis pas fait comprendre plus haut : Dans le scénario centralisé, les contacts d'un COVID+ quittent le téléphone de cette personne. De ce fait, un endroit central possède le graphe social "chaud" des COVID+. Cette information est extrêmement personnelle et c'est précisément la raison pour laquelle il y a une telle mobilisation contre ce dispositif. C'est la même raison qui a déclenché une résistance des médecins à être le premier maillon du suivi des cas contacts.

Je me permet d'intervenir sur le propos : ce n'est pas ce que fait ROBERT. C'est ce que ferait un protocole centralisé virtuel tel que décrit dans le white paper de DP-3T.
En fait dans le cas de ROBERT ainsi que dans ce que propose l'Angleterre par exemple le graphe social n'est jamais stocké sur le serveur. Des identifiants éphémères non reliable à des personnes sont bien sur le serveur mais c'est bien moins pire que dans DP-3T où les identifiants éphémères de chaque malade testé sont à la fois sur le serveur et sur chaque téléphone de chaque utilisateur. Il existe bien un identifiant stable mais celui-ci n'est jamais stocké sur le serveur.

D'ailleurs le vocabulaire ici est un peu trompeur. Il y a un serveur autant dans les système centralisé que décentralisé. Ce qui caractérise chaque type est de savoir si le calcul du risque est fait sur le serveur ou sur le téléphone, pas si des données sont envoyées à un serveur central.

En fait avec ROBERT, le "seul" risque serait qu'un état ajoute un logeur quelque part sur le serveur pour stocker des informations qu'il ne faut surtout pas stocker d'après le protocole. C'est un risque que je trouve mesuré en France ou en Angleterre mais qui ne l'est pas forcement partout dans le monde. C'est surement ce qui a justifié le choix d'Apple et de Google d'un protocole décentralisé. D'un autre coté les protocoles décentralisés ouvrent des pistes d'attaque différentes sur votre propre téléphone si on est proche de vous. Par exemple on pourrait imaginer arriver à vous identifier, a relier vos identifiants éphémères à votre identité, pour déterminer plus tard si vous êtes malade ou non. Ce risque est beaucoup moins important dans le cas de ROBERT. Et c'est a priori ce qui motive les états français et anglais dans leur stratégie.

Si vous avez un peu de temps devant vous je vous recommande vraiment de lire les whites paper ROBERT et DP-3T (et pas juste les papiers de vulgarisation) qui sont très instructif.
Je vois des arguments similaire aux vôtres un peu partout et ils se basent sur une compréhension faussée de ROBERT ce qui me désespère. Il y a beaucoup d'arguments pour préférer la solution d'Apple+Google, principalement sur l'accès au Bluetooth mais essayons d'en rester à des choses factuelles pour faire avancer le débat.

[Hubble]

1) les sources de cette application sont disponibles , mais inutilisables ..
2) il faut comprendre que sans les tests , cette app ne sert à rien
3) les 5 millions de cas enregistrés dans le monde sont déjà sortis de quarantaine et donc pas concernés
4) il faut que les personnes nouvellement touchées se fassent tester et également reçoivent un code à appliquer et qu'elles chargent l'app pour l'enregistrer
5) en principe, une personne testée positivement reste à la maison et donc n'a aucune chance d'être détectée .
Ces personnes ne prendront pas le métro juste pour faire plaisir aux développeurs !
6) les cas asymptomatiques restent indétectables puisque non testés
7) le nombre de nouveaux cas est en nette diminution et donc statistiquement moins probables d'être détectés en plus des conditions précédentes .